Bind + Squid 3.1

Iniciado por lucascatani, 17 de Julho de 2012, 13:51

tópico anterior - próximo tópico

lucascatani

Citação de: zekkerj online 19 de Julho de 2012, 18:20
Bem, veja só: quando a máquina não tem proxy configurado, ela mesma consulta o DNS e tenta abrir a página.

Quando você tem o proxy transparente, ele captura a tentativa de abertura, já com o DNS resolvido; assim, não haveria motivo pro squid reclamar que não encontrou página.

Já quando o proxy está configurado, ao invés de fazer a consulta DNS, a estação fala com o proxy, e pede "abre o site tal pra mim". Daí o próprio squid faz a consulta, com as próprias configurações de DNS (servidor, domínio primário, domínio de busca, etc). Daí quando o site não é encontrado, aí sim o squid dá a mensagem de erro, pq ele que pesquisou. Isso que eu estou estranhando no momento.

O motivo do erro, em si, pra mim está claro: você não configurou corretamente o servidor. Provavelmente você não adicionou uma linha "domain l9web" ou "search l9web" no arquivo /etc/resolv.conf.

Só não entendo pq isso está criando problema com proxy transparente...

com o resolv.conf assim:

domain l9web
search l9web
nameserver 127.0.0.1

não funciona

com o hosts

127.0.0.1 localhost
127.0.0.1 servidora
192.168.0.254 sarg.l9web

também não. O Squid dá a mensagem

Porém digitando sarg.l9web sempre funciona.


zekkerj

Mostra o squid.conf completo.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 19 de Julho de 2012, 20:11
Mostra o squid.conf completo.

http_port 3128 transparent
visible_hostname firewall.l9web.local
cache_mem 2048 MB
quick_abort_min -1
maximum_object_size 200 MB
cache_dir ufs /var/cache/squid 30000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
emulate_httpd_log on
error_directory /usr/share/squid3/errors/pt-br

refresh_pattern microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
refresh_pattern -i my.windowsupdate.website.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

acl manager url_regex -i ^cache_object:// +i ^https?://[^/]+/squid-internal-mgr/

acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

#acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network
#acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC 1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl redeinterna src 192.168.0.0/24  # rede interna

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT


##### ACL Dominios do Windows Update #####
acl windowsupdate dstdomain au.download.windowsupdate.com
acl windowsupdate dstdomain download.microsoft.com
acl windowsupdate dstdomain msgruser.dlservice.microsoft.com
acl windowsupdate dstdomain windowsupdate.com
acl windowsupdate dstdomain microsoft.com
################################

range_offset_limit -1 windowsupdate
range_offset_limit 0

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow redeinterna
http_access allow localnet
http_access deny all



zekkerj

Então, cara; não tem nenhuma configuração aí que possa estar interferindo no DNS. O squid tem que estar usando o DNS do servidor. Você consegue resolver "sarg.l9web" na linha de comandos?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 19 de Julho de 2012, 20:52
Então, cara; não tem nenhuma configuração aí que possa estar interferindo no DNS. O squid tem que estar usando o DNS do servidor. Você consegue resolver "sarg.l9web" na linha de comandos?

NA linha de comandos, pingando tanto sarg, quanto sarg.l9web , ele acha o destino correto.

Mesma coisa com o traceroute.

Só não rola no navegador (justamente por causa de algo no squid)

zekkerj

Então faça um teste... volte o squid.conf original, veja se assim acessa.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 20 de Julho de 2012, 10:10
Então faça um teste... volte o squid.conf original, veja se assim acessa.

o squid.conf original não é transparente... e não tem nada de variáveis configuradas...

zekkerj

Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 20 de Julho de 2012, 10:55
Exatamente por isso.

Aí o tráfego não passará pelo squid. Vai funcionar.

Não será transparente, e terei que remover a linha do redirecionamento do iptables...


tem alguma outra maneira de debuggar isso?

zekkerj

#24
Como não vai passar pelo squid, Lucas? Não confunda as coisas... quem faz o tráfego passar pelo squid é o iptables, não o squid.conf.

O squid.conf só diz como o squid vai responder ao tráfego que passa por ele. Só colocar um "transparent" na primeira linha do squid não faz ele ser transparente. O meu squid também tem essa linha, e nem por isso é transparente, eu só uso ele configurado nas estações.

Você tem um problema que acha que é causado pelo squid.conf, a primeira coisa a fazer é usar uma configuração o mais próxima o possível do padrão. Se não funcionar, mesmo assim, não pode ser o Squid, concorda?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 20 de Julho de 2012, 12:41
Como não vai passar pelo squid, Lucas? Não confunda as coisas... quem faz o tráfego passar pelo squid é o iptables, não o squid.conf.

O squid.conf só diz como o squid vai responder ao tráfego que passa por ele. Só colocar um "transparent" na primeira linha do squid não faz ele ser transparente. O meu squid também tem essa linha, e nem por isso é transparente, eu só uso ele configurado nas estações.

Você tem um problema que acha que é causado pelo squid.conf, a primeira coisa a fazer é usar uma configuração o mais próxima o possível do padrão. Se não funcionar, mesmo assim, não pode ser o Squid, concorda?

Concordo, em tempo, para que server a palavra transparent no SQUID?

zekkerj

Citarpara que server a palavra transparent no SQUID?
Serve pra indicar ao Squid que ele vai ser usado assim, e mudar a forma como ele responde aos pedidos.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 20 de Julho de 2012, 12:41
Como não vai passar pelo squid, Lucas? Não confunda as coisas... quem faz o tráfego passar pelo squid é o iptables, não o squid.conf.

O squid.conf só diz como o squid vai responder ao tráfego que passa por ele. Só colocar um "transparent" na primeira linha do squid não faz ele ser transparente. O meu squid também tem essa linha, e nem por isso é transparente, eu só uso ele configurado nas estações.

Você tem um problema que acha que é causado pelo squid.conf, a primeira coisa a fazer é usar uma configuração o mais próxima o possível do padrão. Se não funcionar, mesmo assim, não pode ser o Squid, concorda?

Cara, com o squid original, mesma coisa. Só coloquei a minha rede local, para poder navegar
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.0.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all
http_port 3128 transparent
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern . 0 20% 4320

zekkerj

Então não pode ser o squid, tem que ser alguma coisa fora dele. Reveja a configuração de DNS do servidor...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

lucascatani

Citação de: zekkerj online 20 de Julho de 2012, 15:41
Então não pode ser o squid, tem que ser alguma coisa fora dele. Reveja a configuração de DNS do servidor...

o dns é esse:

$TTL 86400
@ IN SOA servidor.l9web. root.servidor.l9web. (
2012070707 8H 2H 4W 1D )
@ IN NS servidor.
@ IN A 192.168.0.254

servidor IN A 192.168.0.254
sarg IN A 192.168.0.254

em negrito o que pode estar errado. o que acha?