squid mail.ru агент не подключается

Автор armjer, 01 Апреля 2010, 00:00

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

armjer

У меня Fedora 8 и Squid.
Некоторые страницы не открываются, например mail.ru агент или games.mail.ru(не удается авторизоваться). Помогите, пожалуйста,решить проблему.

Vicpo

Цитата: armjer от 01 Апреля 2010, 00:00У меня Fedora 8 и Squid.
Некоторые страницы не открываются, например mail.ru агент или games.mail.ru(не удается авторизоваться). Помогите, пожалуйста,решить проблему.

Конфиг сквида покажите.

Dexter


sotrud_nik


gaziz

Присоединяюсь к посту
FreeBSD 8.2 Squid
конфиг сквида
http_port 3128
icp_port 3130
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 32 MB

maximum_object_size 4096 KB
maximum_object_size_in_memory 512 KB

cache_dir ufs /var/squid/cache 250000 64 512
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localnet src 192.168.0.0/24
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Icq_port port 2041          # icq
acl Icq_port port 2042          # icq
acl Icq_port port 5190          # icq
acl Icq_port port 5222          # icq
acl Icq_port port 5223          # icq
acl Icq_port port 5223          # icq
acl Irc_port port 6667          # irc
acl MSN_port port 1863          # msn messager
acl CONNECT method CONNECT
acl erasha src 10.48.22.0/255.255.255.0
acl user1 src 192.168.0.0/255.255.255.0
acl user2 src 10.48.21.0/255.255.255.0
acl user3 src 10.48.20.0/255.255.255.0
acl stop_files url_regex -i .mp3$ .vqf$ .rpm$ .avi$ .mpeg$ .rm$ .raw$ .wav$ .mov$ .ogg$ .exe$ .com$
acl StopWWW dstdomain "/usr/local/etc/squid/stopWWW.acl"
http_access allow erasha
http_access deny stop_files
http_access deny StopWWW
http_access allow user1
http_access allow user2
http_access allow user3
http_access allow CONNECT Icq_port
http_access allow localnet Icq_port
http_access allow CONNECT Irc_port
http_access allow localnet Irc_port
http_access allow CONNECT MSN_port
http_access allow localnet MSN_port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname proxy
icon_directory /usr/local/etc/squid/icons
error_directory /usr/local/etc/squid/errors/Russian-koi8-r

delay_pools 3

delay_class 1 2
delay_parameters 1 6000/2000 3000/2000
delay_access 1 allow user1
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 15000/3000 15000/3000
delay_access 2 allow user2
delay_access 2 deny all

delay_class 3 2
delay_parameters 3 60000/3000 60000/3000
delay_access 3 allow user3
delay_access 3 deny all

coredump_dir /usr/local/squid/cache

вот конфиг фаера
#!/bin/sh
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
# VAR
if_inet="rl0"              # внешний сетевой интерфейс
ip_inet="192.168.0.55"   # ip внешнего сетового интерфейса
net="10.48.22.0/24"        # ваша подсетка
# Local
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any
# тут разрешаю SSH чтоб безбоязненно можно было удаленно
# править правила которые идут дальше
${fwcmd} add allow tcp from any to any ssh
${fwcmd} add allow tcp from any ssh to any
# anti spoofing #1
${fwcmd} add deny all from any to 10.0.0.0/8 via ${if_inet}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${if_inet}
#${fwcmd} add deny all from any to 192.168.0.0/16 via ${if_inet}
${fwcmd} add deny all from any to 0.0.0.0/8 via ${if_inet}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${if_inet}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${if_inet}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${if_inet}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${if_inet}
# NAT
${fwcmd} add divert 8668 ip from ${net} to any out via ${if_inet}
${fwcmd} add divert 8668 ip from any to ${ip_inet} in via ${if_inet}
# anti spoofing #2
${fwcmd} add deny all from 10.0.0.0/8 to any via ${if_inet}
${fwcmd} add deny all from 172.16.0.0/12 to any via ${if_inet}
#${fwcmd} add deny all from 192.168.0.0/16 to any via ${if_inet}
${fwcmd} add deny all from 0.0.0.0/8 to any via ${if_inet}
${fwcmd} add deny all from 169.254.0.0/16 to any via ${if_inet}
${fwcmd} add deny all from 192.0.2.0/24 to any via ${if_inet}
${fwcmd} add deny all from 224.0.0.0/4 to any via ${if_inet}
${fwcmd} add deny all from 240.0.0.0/4 to any via ${if_inet}
# все остальное разрешить (желательно только то что нужно =) )
${fwcmd} add allow all from any to any

Прикол в том , что учетка автризуется в майл-агенте но список контактов не загружается
пробовал двумя мессенджерами и квип2012  и агентом
Интерсно что учетка от квип коннектиться и грузит список контактов нормально , аналогично и однокакашники и аська
а вот  список контактов от агента не загружается.Причем если заходишь в  веб-интерфейс почты , то майл-веб-агент загружается нормально и список появляется
в натсрйоках самих мессенджеров перепробовал кучу вариантов подключения и ничего

Vicpo

смотрите логи, с конфигами похоже все хорошо

gaziz

а в логах вроде ничего криминального
proxy# tail -f access.log
1347534273.931 178 10.48.22.77 TCP_MISS/200 1384 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.141.143 -
1347534304.082 334 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.141.143 -
1347534364.446 696 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/94.100.190.201 -
1347534424.047 295 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.141.143 -
1347534454.066 312 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.141.143 -
1347534484.180 422 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.141.145 -
1347534512.866 240914 10.48.22.77 TCP_MISS/200 6605 CONNECT www.odnoklassniki.ru:443 - DIRECT/217.20.147.94 -
1347534513.996 248 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.141.145 -
1347534574.115 360 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.129.188 -
1347534604.113 334 10.48.22.77 TCP_MISS/200 4641 CONNECT mail.radar.imgsmail.ru:443 - DIRECT/217.69.129.188 -

Этоя одлной тачки внутри сети экспериментил потому один адрес и светиться
proxy# tail -f cache.log
2012/09/14 16:53:15| NETDB state saved; 196 entries, 2 msec
2012/09/14 17:48:45| logfileOpen: opening log /var/squid/logs/netdb.state
2012/09/14 17:48:45| logfileClose: closing log /var/squid/logs/netdb.state
2012/09/14 17:48:45| NETDB state saved; 196 entries, 2 msec
2012/09/14 18:50:01| logfileOpen: opening log /var/squid/logs/netdb.state
2012/09/14 18:50:01| logfileClose: closing log /var/squid/logs/netdb.state
2012/09/14 18:50:01| NETDB state saved; 196 entries, 2 msec
2012/09/14 20:05:40| logfileOpen: opening log /var/squid/logs/netdb.state
2012/09/14 20:05:40| logfileClose: closing log /var/squid/logs/netdb.state
2012/09/14 20:05:40| NETDB state saved; 196 entries, 2 msec
и ввот еще
proxy# tail -f store.log
1347620412.901 RELEASE 00 00001E0D A3833C5759C90B4E4CE3BC69EEA21248 200 1347616812 1347557102 -1 application/octet-stream 74846/74846 GET http://nod.office.kz/update.ver
1347620413.231 SWAPOUT 00 00001E0E 50DCBBD099218D192E4BB8744949A85E 200 1347620412 1347593184 -1 application/octet-stream 74603/74603 GET http://nod.officekz/update.ver
1347620416.678 RELEASE 00 00001E01 E52FFFCB308DF82E5FA67BBD6F6378E1 ? ? ? ? ?/? ?/? ? ?
1347620417.196 SWAPOUT 00 00001E0F 65FEA8A8628098F088912E6021D6CB6E 200 1347620416 1347616824 -1 application/octet-stream 9274/9274 GET http://nod.office.kz/download/engine3/em002_32_n1.nup
1347620417.201 RELEASE 00 00001E02 B18E6B650C98E0A2C9B45ABCB230AB9E ? ? ? ? ?/? ?/? ? ?
1347620417.306 SWAPOUT 00 00001E10 87690958E301659F0E5894F457456D09 200 1347620417 1347616842 -1 application/octet-stream 12385/12385 GET http://nod.kz/download/engine3/em023_32_n1.nup
1347622418.090 RELEASE -1 FFFFFFFF A4A96004A70CC2F59093265A6DC17372 200 1347618818 1347618818 1347622418 application/cache-digest 5546/5546 GET internal://proxy/squid-internal-periodic/store_digest
1347626018.109 RELEASE -1 FFFFFFFF A3C44F07CB9A10C66ED507A3C9701192 200 1347622418 1347622418 1347626018 application/cache-digest 5546/5546 GET internal://proxy/squid-internal-periodic/store_digest
1347629618.129 RELEASE -1 FFFFFFFF 1EA49DB97061A484B37D0BA325B65D91 200 1347626018 1347626018 1347629618 application/cache-digest 5546/5546 GET internal://proxy/squid-internal-periodic/store_digest
1347633218.148 RELEASE -1 FFFFFFFF 33670CB6AC56D91D60BC0FDC30CFAD7A 200 1347629618 1347629618 1347633218 application/cache-digest 5546/5546 GET internal://proxy/squid-internal-periodic/store_digest
ну это антивирус базы сосал с зеркала
пробовал включать дебаг левел 0 но тка и особо ничего нового в логах не появилось
возможно надо какие то еще протоколы в конфиге задокументировать?
на форумах читал что майл агент еще порт 440 для служебной передачи использует октрыл его в конфиге , результат 0
у кого естьк акие идеи ?
извиняюсьт конечно , что воткнулся в ветку не свосем по моей ОС но как бы тема то едина....

B@F

Без прокси работает? (Чисто роутинг/нат)
Поправьте, если я ошибаюсь, буду тока рад.

B@F

15 Сентября 2012, 09:05 #8 Последнее редактирование: 15 Сентября 2012, 09:09 от B@F
Цитироватьgaziz  
 Сегодня, 00:38
 почему дейтствует ограничение на 2 сообщения в день?флуд не развожу.хотел добиться действующего сквида. по моим сабжам написано же что все дейтсвует. не идет именно загрузка списка контактов и майл учетки агента . все отсльное работает норма!


Прозрачный или нет? Попробуй разрешить все, будет работать или нет?

Содержимое можно глянуть /usr/local/etc/squid/stopWWW.acl


Поправьте, если я ошибаюсь, буду тока рад.

gaziz

15 Сентября 2012, 21:30 #9 Последнее редактирование: 15 Сентября 2012, 21:47 от gaziz
Цитата: B@F от 15 Сентября 2012, 09:05Прозрачный или нет? Попробуй разрешить все, будет работать или нет?

Содержимое можно глянуть /usr/local/etc/squid/stopWWW.acl



непрозрачный в конфиге транспарент не указан
в стоп ацл листе просто неколько сайтов порнушных указаны для проверки в нем майла ру нет
пробовал указывать в асл диапазон разрешенных портов от 443до 3000 не помогло
 а ЗЫ просто в режиме ната все норма пашет
но нуженименно прокся безопасники требуют ,да и там другая подсеть там бухи в своей проге пашут , шлюз по умолчанию там соответсвенно другой (стоит ХДСЛ мопед он как то программулина как то хитро соединяется с головой в кокше и его редиректить или менять строжайше запрещено)в другой подсети мир и покой кому можно ходитьв инет те ходят ,остальным агент аська однокакашники почта.Это так для предыстории.
Фактически прокси пришлось собрать под давлением безопасников. так у меня в подсети бухов было все сделано просто в комах ставил вторую сетевую каршу и в ней прописывал свой основной шлюз.но потом спалили безы и пришлось создавать этоот впридачу. хотелна основном шлюзе добавить подсеть на базе 3 сетевой(но кончились слоты писиайные).алиасы не захотел создавать у меня там еще астер на КТ транки висит.
извиняюсь за грамматику , не сдома с компа балдызенка вышел
 А вот еще что интересно если в настройках агента ставишь соединение по https через 443 порт , агент материться мол неправильныйпароль хотя он 100% правильный , как выставляешь соединение через http 10.48.22.55:3128 то учетку принимает ,но список контактов так и не грузит.....

Vicpo

15 Сентября 2012, 22:19 #10 Последнее редактирование: 15 Сентября 2012, 22:25 от Vicpo
попробуйте в конфиг внести две строки

...
acl mrim_ports port 2041-2044
...

http_access allow CONNECT mrim_port
...
Если не поможет то тогда добавить ещё две строчки

...
acl mrim1_ports port 80
...

http_access allow CONNECT mrim1_port
...
Но это уже в крайнем случае

B@F

А меня вот эта строчка смущает

http_access deny CONNECT !SSL_ports
Запрещает все коннект кроме как 443 563. Не помню как сквид делает, при первом совпадении заканчивает проверку или продолжает дальше? Если второе, то наверняка дело в этом. Что бы уже убедиться наверняка, разреши все и добавляй по одному и смотри где заткнется. Но сперва попробуй строчку выше убрать.

Поправьте, если я ошибаюсь, буду тока рад.

gaziz

Цитата: B@F от 16 Сентября 2012, 00:30А меня вот эта строчка смущает

http_access deny CONNECT !SSL_ports
Запрещает все коннект кроме как 443 563. Не помню как сквид делает, при первом совпадении заканчивает проверку или продолжает дальше? Если второе, то наверняка дело в этом. Что бы уже убедиться наверняка, разреши все и добавляй по одному и смотри где заткнется. Но сперва попробуй строчку выше убрать.



ну это правило запрещает коннеты не входящие в асл ссл
уже комментил и пробовал
попробую по посту выше сделать.вот тольуо куда их поставить выделить в отдельную секцию или сденлать продолжение после асл ссл?:\к сожалению смогу тольок в понедельник начать эксперимент..
испытуемый далеко пока от меня....

Vicpo

продолжить блок ACL
http_access deny CONNECT !SSL_portsДолжна быть, иначе начнут туннели строить все кому не поподя -в том числе и вирусы...

sotrud_nik

Ващета раз уж ратуете за безопасность, то мейл агент и надо запрещать.

gaziz

Цитата: sotrud_nik от 17 Сентября 2012, 09:23Ващета раз уж ратуете за безопасность, то мейл агент и надо запрещать.
Вообще это для душевного спокойствия бухгалтерии
я не ратую за столь радикальные меры  это с меня требуют
не помогло
вот отрезок конфига куда вставил
может затупил???
# proba
acl mrim_ports port 2041-2044
acl mrim1_ports port 80
acl CONNECT method CONNECT

acl erasha src 10.48.22.0/255.255.255.0
acl user1 src 192.168.0.0/255.255.255.0
acl user2 src 10.48.21.0/255.255.255.0
acl user3 src 10.48.20.0/255.255.255.0

acl stop_files url_regex -i .mp3$ .vqf$ .rpm$ .avi$ .mpeg$ .rm$ .raw$ .wav$ .mov$ .ogg$ .exe$ .c
acl StopWWW dstdomain "/usr/local/etc/squid/stopWWW.acl"

http_access allow erasha
http_access allow CONNECT mrim_ports
http_access allow localnet mrim_ports
http_access allow CONNECT mrim1_ports
http_access deny stop_files
http_access deny StopWWW

http_access allow user1
http_access allow user2
http_access allow user3
http_access allow CONNECT Icq_port
http_access allow localnet Icq_port
http_access allow CONNECT Irc_port
http_access allow localnet Irc_port
http_access allow CONNECT MSN_port
http_access allow localnet MSN_port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

http_reply_access allow all





gaziz

Цитата: gaziz от 17 Сентября 2012, 10:02Вообще это для душевного спокойствия бухгалтерии
я не ратую за столь радикальные меры это с меня требуют
не помогло
вот отрезок конфига куда вставил
может затупил???
# proba
acl mrim_ports port 2041-2044
acl mrim1_ports port 80
acl CONNECT method CONNECT

acl erasha src 10.48.22.0/255.255.255.0
acl user1 src 192.168.0.0/255.255.255.0
acl user2 src 10.48.21.0/255.255.255.0
acl user3 src 10.48.20.0/255.255.255.0

acl stop_files url_regex -i .mp3$ .vqf$ .rpm$ .avi$ .mpeg$ .rm$ .raw$ .wav$ .mov$ .ogg$ .exe$ .c
acl StopWWW dstdomain "/usr/local/etc/squid/stopWWW.acl"

http_access allow erasha
http_access allow CONNECT mrim_ports
http_access allow localnet mrim_ports
http_access allow CONNECT mrim1_ports
http_access deny stop_files
http_access deny StopWWW

http_access allow user1
http_access allow user2
http_access allow user3
http_access allow CONNECT Icq_port
http_access allow localnet Icq_port
http_access allow CONNECT Irc_port
http_access allow localnet Irc_port
http_access allow CONNECT MSN_port
http_access allow localnet MSN_port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

http_reply_access allow all






что то тишина ..... у ребят кончились идеи??

sotrud_nik

Телепатов то нету, повывелись все.

Убирайте все запрещающие правила, проверяйте доступ.
Работает? Добавляйте запрещающие правила по одному, и проверяйте снова.
Пока не найдете искомое.

Может у вас вообще, файрволл режет все.

gaziz

Цитата: sotrud_nik от 18 Сентября 2012, 12:52Телепатов то нету, повывелись все.

Убирайте все запрещающие правила, проверяйте доступ.
Работает? Добавляйте запрещающие правила по одному, и проверяйте снова.
Пока не найдете искомое.

Может у вас вообще, файрволл режет все.

да фаер не режет, проверял же врежиме ната
конфиг его выше есть.
ладно спс за помощь если найду решение отпишусь.
вполне вероятно дело в какой нибудь маленькой детали..........