forum.opennet.ru

Составление сообщения

Исходное сообщение

"Squid и сайт sberbank.ru"
Отправлено Cheburashka, 22-Май-15 08:40

Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает - This part of the page can't be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего:
1432272664.391    121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 -
Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации - тоже самое:
1432272926.972    215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person - HIER_DIRECT/194.54.14.159 -
если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо.
Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах...
Вот конфиг сквида (адрес прокси прописан в браузерах пользователей)
http_port 192.168.0.9:3128
http_port 192.168.2.9:3128
http_port 10.0.105.204:3128
# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off
# LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях,
# по умолчанию 3600, частое обращение к AD не очень хорошо)
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" -h dc.domain.local
acl SSL_ports         port 443    # ssl
acl SSL_ports         port 9091    # BKS-bank
acl SSL_ports         port 9443    # sberbank
acl Safe_ports         port 80        # http
acl Safe_ports         port 21     # ftp
acl Safe_ports         port 443     # https
acl Safe_ports         port 70     # gopher
acl Safe_ports         port 210     # wais
acl Safe_ports         port 1025-65535    # unregistered ports
acl Safe_ports         port 280     # http-mgmt
acl Safe_ports         port 488     # gss-http
acl Safe_ports         port 591     # filemaker
acl Safe_ports         port 777     # multiling http
acl CONNECT         method             CONNECT
# Списки доступа клиентов
acl IP_Full_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt"
acl IP_Restrict_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt"
acl IP_Kadr_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt"
acl IP_Razvlech_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt"
acl IP_SocSeti_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt"
acl IP_Standard_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt"
acl IP_Video_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt"
acl lan         src            192.168.0.0/24
acl lan2 src            10.0.105.0/24 192.168.2.0/24
acl auth         proxy_auth         REQUIRED
acl Blocked_Access    external memberof     Internet-Blocked
acl Restricted_Access    external memberof     Internet-Restricted
acl Standard_Access    external memberof     Internet-Standard
acl Full_Access        external memberof    Internet-Full
acl Kadr_Access        external memberof    Internet-Kadr
acl Video_Access    external memberof    Internet-Video
acl Razvlech_Access    external memberof    Internet-Razvlecheniya
acl SocSeti_Access    external memberof    Internet-SocSeti
acl Steam_Access    src            192.168.0.50
acl sber        dstdomain        .sberbank.ru
#Списки доступа к сайтам
acl Allowed_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt"
acl Priority_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt"
acl Porno_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt"
acl Video_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt"
acl Kadr_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt"
acl Razvlech_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt"
acl SocSeti_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt"
acl Steam        dstdomain         "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt"
acl SteamRegEx        urlpath_regex -i     serverlist server-status
# Списки доступа серверов WSUS (без авторизации)
acl LocalWU_Servers    src            "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt"
acl GlobalWU_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt"
http_access    allow    localhost manager
http_access    allow    lan manager
http_access    deny    manager
http_access    deny    !Safe_ports
http_access    deny    CONNECT !SSL_ports
http_access    allow    sber all
#######
# Правила доступа для клиентов по IP
######
# block porno-sites
http_access    deny    Porno_Sites
# Allow unrestricted access to prioritysites
http_access    allow    Priority_Sites
# Allow direct access to Windows Update
http_access    allow    GlobalWU_Sites    LocalWU_Servers
# Allow direct access to steam
http_access    allow    Steam        Steam_Access
http_access    allow    SteamRegEx    Steam_Access
http_access    deny    IP_Restrict_Access    all
http_access    allow    IP_Full_Access
http_access    allow    Video_Sites        IP_Video_Access
http_access    deny    Video_Sites        lan2
http_access    allow    Razvlech_Sites        IP_Razvlech_Access
http_access    deny    Razvlech_Sites        lan2
http_access    allow    Kadr_Sites        IP_Kadr_Access
http_access    deny    Kadr_Sites        lan2
http_access    allow    SocSeti_Sites        IP_SocSeti_Access
http_access    deny    SocSeti_Sites        lan2
http_access    allow    IP_Standard_Access
http_access    deny    lan2 all
# Enforce authentication, order of rules is important for authorization levels
http_access    deny    !auth
######
# Правила доступа для авторизованных пользователей
######
# Prevent access to basic auth prompt for BlockedAccess users
http_access    deny    Blocked_Access        all
http_access    allow    Allowed_Sites                    lan
http_access    deny    Restricted_Access    all
http_access    deny    IP_Restrict_Access    all
http_access    allow    Full_Access                auth    lan
http_access    allow    Video_Sites        Video_Access     auth    lan
http_access    deny    Video_Sites
http_access    allow    Razvlech_Sites        Razvlech_Access    auth    lan
http_access    deny    Razvlech_Sites
http_access    allow    Kadr_Sites        Kadr_Access    auth    lan
http_access    deny    Kadr_Sites
http_access    allow    SocSeti_Sites        SocSeti_Access    auth    lan
http_access    deny    SocSeti_Sites
http_access    allow    Standard_Access                auth    lan
http_access    deny    all

Исходное сообщение
"Squid и сайт sberbank.ru" Отправлено Cheburashka, 22-Май-15 08:40
Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает - This part of the page can't be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего: 1432272664.391 121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 - Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации - тоже самое: 1432272926.972 215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person - HIER_DIRECT/194.54.14.159 - если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо. Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах... Вот конфиг сквида (адрес прокси прописан в браузерах пользователей) http_port 192.168.0.9:3128 http_port 192.168.2.9:3128 http_port 10.0.105.204:3128 # Negotiate Kerberos and NTLM authentication auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local auth_param negotiate children 200 startup=50 idle=10 auth_param negotiate keep_alive off # LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях, # по умолчанию 3600, частое обращение к AD не очень хорошо) external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" -h dc.domain.local acl SSL_ports port 443 # ssl acl SSL_ports port 9091 # BKS-bank acl SSL_ports port 9443 # sberbank acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Списки доступа клиентов acl IP_Full_Access src "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt" acl IP_Restrict_Access src "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt" acl IP_Kadr_Access src "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt" acl IP_Razvlech_Access src "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt" acl IP_SocSeti_Access src "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt" acl IP_Standard_Access src "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt" acl IP_Video_Access src "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt" acl lan src 192.168.0.0/24 acl lan2 src 10.0.105.0/24 192.168.2.0/24 acl auth proxy_auth REQUIRED acl Blocked_Access external memberof Internet-Blocked acl Restricted_Access external memberof Internet-Restricted acl Standard_Access external memberof Internet-Standard acl Full_Access external memberof Internet-Full acl Kadr_Access external memberof Internet-Kadr acl Video_Access external memberof Internet-Video acl Razvlech_Access external memberof Internet-Razvlecheniya acl SocSeti_Access external memberof Internet-SocSeti acl Steam_Access src 192.168.0.50 acl sber dstdomain .sberbank.ru #Списки доступа к сайтам acl Allowed_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt" acl Priority_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt" acl Porno_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt" acl Video_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt" acl Kadr_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt" acl Razvlech_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt" acl SocSeti_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt" acl Steam dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt" acl SteamRegEx urlpath_regex -i serverlist server-status # Списки доступа серверов WSUS (без авторизации) acl LocalWU_Servers src "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt" acl GlobalWU_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt" http_access allow localhost manager http_access allow lan manager http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow sber all ####### # Правила доступа для клиентов по IP ###### # block porno-sites http_access deny Porno_Sites # Allow unrestricted access to prioritysites http_access allow Priority_Sites # Allow direct access to Windows Update http_access allow GlobalWU_Sites LocalWU_Servers # Allow direct access to steam http_access allow Steam Steam_Access http_access allow SteamRegEx Steam_Access http_access deny IP_Restrict_Access all http_access allow IP_Full_Access http_access allow Video_Sites IP_Video_Access http_access deny Video_Sites lan2 http_access allow Razvlech_Sites IP_Razvlech_Access http_access deny Razvlech_Sites lan2 http_access allow Kadr_Sites IP_Kadr_Access http_access deny Kadr_Sites lan2 http_access allow SocSeti_Sites IP_SocSeti_Access http_access deny SocSeti_Sites lan2 http_access allow IP_Standard_Access http_access deny lan2 all # Enforce authentication, order of rules is important for authorization levels http_access deny !auth ###### # Правила доступа для авторизованных пользователей ###### # Prevent access to basic auth prompt for BlockedAccess users http_access deny Blocked_Access all http_access allow Allowed_Sites lan http_access deny Restricted_Access all http_access deny IP_Restrict_Access all http_access allow Full_Access auth lan http_access allow Video_Sites Video_Access auth lan http_access deny Video_Sites http_access allow Razvlech_Sites Razvlech_Access auth lan http_access deny Razvlech_Sites http_access allow Kadr_Sites Kadr_Access auth lan http_access deny Kadr_Sites http_access allow SocSeti_Sites SocSeti_Access auth lan http_access deny SocSeti_Sites http_access allow Standard_Access auth lan http_access deny all

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables > и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера > не открывается (в IE выдаёт ошибку 500, в хроме и мозилле > показывает - This part of the page can't be rendered. Please > contact your administrator.). В логах сквида в кеш.лог никаких записей нет > по этому поводу, а в access.log такая запись появляется только и > больше ничего: > 1432272664.391 121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person > p.mokrushin HIER_DIRECT/194.54.14.159 - > Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, > с проблемами по крайней мере не обращались, пробовал сайт сбера пускать > без авторизации - тоже самое: > 1432272926.972 215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person > - HIER_DIRECT/194.54.14.159 - > если сайт пускать в обход сквида через нат напрямую, то всё открывается > хорошо. > Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не > париться, но какая вероятность столкнуться с проблемами на других сайтах... > Вот конфиг сквида (адрес прокси прописан в браузерах пользователей) > http_port 192.168.0.9:3128 > http_port 192.168.2.9:3128 > http_port 10.0.105.204:3128 > # Negotiate Kerberos and NTLM authentication > auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth > --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth > -r -s HTTP/domail.local > auth_param negotiate children 200 startup=50 idle=10 > auth_param negotiate keep_alive off > # LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP > об информации о пользователях, > # по умолчанию 3600, частое обращение к AD не очень хорошо) > external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl > -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX > -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" > -h dc.domain.local > acl SSL_ports port 443 # ssl > acl SSL_ports port 9091 # BKS-bank > acl SSL_ports port 9443 # sberbank > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 # https > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl CONNECT method CONNECT > # Списки доступа клиентов > acl IP_Full_Access src "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt" > acl IP_Restrict_Access src "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt" > acl IP_Kadr_Access src "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt" > acl IP_Razvlech_Access src "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt" > acl IP_SocSeti_Access src "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt" > acl IP_Standard_Access src "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt" > acl IP_Video_Access src "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt" > acl lan src 192.168.0.0/24 > acl lan2 src 10.0.105.0/24 192.168.2.0/24 > acl auth proxy_auth REQUIRED > acl Blocked_Access external memberof Internet-Blocked > acl Restricted_Access external memberof Internet-Restricted > acl Standard_Access external memberof Internet-Standard > acl Full_Access external memberof Internet-Full > acl Kadr_Access external memberof Internet-Kadr > acl Video_Access external memberof Internet-Video > acl Razvlech_Access external memberof Internet-Razvlecheniya > acl SocSeti_Access external memberof Internet-SocSeti > acl Steam_Access src 192.168.0.50 > acl sber dstdomain .sberbank.ru > #Списки доступа к сайтам > acl Allowed_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt" > acl Priority_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt" > acl Porno_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt" > acl Video_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt" > acl Kadr_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt" > acl Razvlech_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt" > acl SocSeti_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt" > acl Steam dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt" > acl SteamRegEx urlpath_regex -i serverlist server-status > # Списки доступа серверов WSUS (без авторизации) > acl LocalWU_Servers src "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt" > acl GlobalWU_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt" > http_access allow localhost manager > http_access allow lan manager > http_access deny manager > http_access deny !Safe_ports > http_access deny CONNECT !SSL_ports > http_access allow sber all > ####### > # Правила доступа для клиентов по IP > ###### > # block porno-sites > http_access deny Porno_Sites > # Allow unrestricted access to prioritysites > http_access allow Priority_Sites > # Allow direct access to Windows Update > http_access allow GlobalWU_Sites LocalWU_Servers > # Allow direct access to steam > http_access allow Steam Steam_Access > http_access allow SteamRegEx Steam_Access > http_access deny IP_Restrict_Access all > http_access allow IP_Full_Access > http_access allow Video_Sites IP_Video_Access > http_access deny Video_Sites lan2 > http_access allow Razvlech_Sites IP_Razvlech_Access > http_access deny Razvlech_Sites lan2 > http_access allow Kadr_Sites IP_Kadr_Access > http_access deny Kadr_Sites lan2 > http_access allow SocSeti_Sites IP_SocSeti_Access > http_access deny SocSeti_Sites lan2 > http_access allow IP_Standard_Access > http_access deny lan2 all > # Enforce authentication, order of rules is important for authorization levels > http_access deny !auth > ###### > # Правила доступа для авторизованных пользователей > ###### > # Prevent access to basic auth prompt for BlockedAccess users > http_access deny Blocked_Access all > http_access allow Allowed_Sites lan > http_access deny Restricted_Access all > http_access deny IP_Restrict_Access all > http_access allow Full_Access auth lan > http_access allow Video_Sites Video_Access auth lan > http_access deny Video_Sites > http_access allow Razvlech_Sites Razvlech_Access auth lan > http_access deny Razvlech_Sites > http_access allow Kadr_Sites Kadr_Access auth lan > http_access deny Kadr_Sites > http_access allow SocSeti_Sites SocSeti_Access auth lan > http_access deny SocSeti_Sites > http_access allow Standard_Access auth lan > http_access deny all
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру