[linux-network] Squid Sorunumu Q=F6zen?= i

---------

New Message Reply About this list Date view Thread view Subject view Author view Attachment view

From: Ugur Koc (return1997@hotmail.com)
Date: Wed 03 Dec 2003 - 11:22:08 EST

  • Next message: Serdar: "[linux-network] ShoreWall ve Squid Uyusmazligi"

    Selam.

      Sorunuma hala yanit bulamadim cok daha detayli bir aciklama yaptim umarim
    bu defa birileri yardimci olur. (bu arada bu sorun ile yaklasik 15 gundur
    ugrasmaktayim)

    Onceden Squid i rpm paketinden kuruyodum bu defa derleyerek yaptim. Izledim
    yollari asagida sirasi ile acikladim.

    baslamadan sunlarida yazayim
    Squid local agda 192.168.1.247 ipsi ile eth0 da
    test yaptigim makinede 192.168.1.117 ipsi ile eth0 da

    groupadd squid
    useradd -d /squid/squid -g squid squid
    (squid adinda bir user tanimladim birde group)

    ./configure --prefix=/squid/squid --enable-linux-netfilter
    --enable-err-language=Turkish
    make
    make install
       (ile hic hata almadan kurulumunu gerceklestirdim)

    chown squid:squid /squid/squid/var/logs
    chmod 770 /squid/squid/var/logs
    chown squid:squid /squid/squid/var/cache
    chown 770 /squid/squid/var/cache
    (logs, cache dosyalarinin haklarini ayarladim)

    cache_dir ufs /squid/squid/var/cache 30000 16 256
    http_port 3128
    cache_effective_user squid
    cache_effective_group squid
    http_access allow all
    httpd_accel_host virtual
    httpd_accel_uses_host_header on
       (yukarida oldugu gibi squid.conf dosyasinda transparanet proxy
    calisabilmesi icin gerekli ayarlari yaptim. ve squid kullanicisini
    tanimladim)

    /squid/squid/sbin/squid -z

    2003/11/29 07:28:55| Creating Swap Directories
      (bu ciktiyi aldim)

    /squid/squid/sbin/squid -N -d 1 -D

    2003/11/29 07:28:57| Starting Squid Cache version 2.5.STABLE1 for
    i686-pc-linux-gnu...
    2003/11/29 07:28:57| Process ID 816
    2003/11/29 07:28:57| With 1024 file descriptors available
    2003/11/29 07:28:57| DNS Socket created at 0.0.0.0, port 32768, FD 5
    2003/11/29 07:28:57| Adding nameserver 212.174.38.161 from /etc/resolv.conf
    2003/11/29 07:28:57| Adding nameserver 212.174.38.162 from /etc/resolv.conf
    2003/11/29 07:28:57| Unlinkd pipe opened on FD 10
    2003/11/29 07:28:57| Swap maxSize 30720000 KB, estimated 2363076 objects
    2003/11/29 07:28:57| Target number of buckets: 118153
    2003/11/29 07:28:57| Using 131072 Store buckets
    2003/11/29 07:28:57| Max Mem size: 8192 KB
    2003/11/29 07:28:57| Max Swap size: 30720000 KB
    2003/11/29 07:28:57| Rebuilding storage in /squid/squid/var/cache (DIRTY)
    2003/11/29 07:28:57| Using Least Load store dir selection
    2003/11/29 07:28:57| Set Current Directory to /squid/squid/var/cache
    2003/11/29 07:28:57| Loaded Icons.
    2003/11/29 07:28:57| Accepting HTTP connections at 0.0.0.0, port 3128, FD
    11.
    2003/11/29 07:28:57| WCCP Disabled.
    2003/11/29 07:28:57| Ready to serve requests.
    2003/11/29 07:28:58| Done scanning /squid/squid/var/cache swaplog (0
    entries)
    2003/11/29 07:28:58| Finished rebuilding storage from disk.
    2003/11/29 07:28:58| 0 Entries scanned
    2003/11/29 07:28:58| 0 Invalid entries.
    2003/11/29 07:28:58| 0 With invalid flags.
    2003/11/29 07:28:58| 0 Objects loaded.
    2003/11/29 07:28:58| 0 Objects expired.
    2003/11/29 07:28:58| 0 Objects cancelled.
    2003/11/29 07:28:58| 0 Duplicate URLs purged.
    2003/11/29 07:28:58| 0 Swapfile clashes avoided.
    2003/11/29 07:28:58| Took 0.5 seconds ( 0.0 objects/sec).
    2003/11/29 07:28:58| Beginning Validation Procedure
    2003/11/29 07:28:58| Completed Validation Procedure
    2003/11/29 07:28:58| Validated 0 Entries
    2003/11/29 07:28:58| store_swap_size = 0k
    2003/11/29 07:28:58| storeLateRelease: released 0 objects

      (calistirdigimda ise yukaridaki ciktiyi aldim)

    boylece hic sorunsuz gibi squid makinesi calisti

    eğer iptables satırında (bu arada 192.168.1.117 localde bir makine)
    iptables -t nat -A PREROUTING -p tcp -s 192.168.1.117 --dport 80 -j DNAT
    --to 192.168.1.247:3128
    iptables -A INPUT -i eth0 -s 192.168.1.117 -j BAGLANTI
    iptables -A FORWARD -i eth0 -o eth0 -s 192.168.1.117 -j BAGLANTI

    iptables -A INPUT -d 192.168.1.247 -j ACCEPT
    iptables -A FORWARD -d 192.168.1.247 -j ACCEPT

    bu prametreler var ise localden bir makina ile explorerdan bağlanmaya
    çalıştığımda squid makinesinin netstat sonucunda olduğu gibi 117 nolu
    localdeki makine squid de gözüküyo ama hep SYN_RECV olarak kalıyo asla
    ESTABLISHED olmuyo
    squid:/ # netstat -n
    Active Internet connections (w/o servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 192.168.1.247:3128 192.168.1.117:1307 SYN_RECV

    ve eğer ip tables satırında yukarıdakileri silip bunu eklersem o zaman squid
    in netstat sonucunda hiç bir şey göremiyorum
    iptables -t nat -A POSTROUTING -s 192.168.1.117 -j MASQUERADE
    iptables -t nat -A PREROUTING -p tcp -s 192.168.1.117 --dport 80 -j
    REDIRECT --to 3128

    hemen sunuda belirteyim 192.168.1.117 nolu makineden internete baglanmaya
    calisirsam explorer'in status barinda site bulunuyor diyor bir sure sonra
    sitenin ipsini veriyor ve olece uzun sure baglanmaya calisiliyor diyor.
    (acaba dedim dns lerdemi problem var gerci dns de problem olsa localdeki
    test ettigim makinede explorerda bir sayfa acmaya calistigimda orn.
    www.hotmail.com onun ipsini bulmamasi gerekiyo ki zaten yukaridada dedigim
    gibi www.hotmail.com un status barda ipsi bi sure sonra geliyo)

       birde pry olan makineyi kapadigim zaman bu defa localdeki makine nin yine
    i.e den www.hotmail.com u denedigimde status barda bu defa 192.168.1.247
    yani (squid) makinesine baglanmaya calisiliyor diyor (buda sanirim iptables
    kurallarinda problem olmadigini yonlendirilmenin gerceklestigini gosteriyor.

       yonlendirme konusundada bir problem olacagini dusundugum icin
    iptables -t nat -A PREROUTING -p tcp -s 192.168.1.117 --dport 80 -j
    REDIRECT --to $hotmail_ip

       dedigimde 117 olan makinenin i.e sinden nreyi denersem deneyim hotmail e
    baglaniyo (buda yonlendirme tablomdada bir sorun olmadigini gosteriyor
    kanaatindeyim)

    yinede yonlendirme kurallarindan kusku duyarak

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT

    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t mangle -P PREROUTING ACCEPT
    iptables -t mangle -P OUTPUT ACCEPT
    butun nat ve diger default Policy lari ACCEPT yapip deniyorum ama yine
    farketmiyor.

    acaba dedim bir sekilde paketler firewall tarafindan engelleniyormu
    dusuncesi ile
    iptables -A INPUT -s 192.168.1.0/24 -j ISTENMEYEN_PAKET
    iptables -A FORWARD -s 192.168.1.0/24 -j ISTENMEYEN_PAKET

    local agdan cikmaya calisan butun drop paketleri firewall ile log tutup
    inceliyorm ama hic bir problem gozukmuyor.

    zaten istek proxy makinesine geliyo proxy makinesinde netstat cektigimde
    ise
    squid:/ # netstat -n
    Active Internet connections (w/o servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 192.168.1.247:3128 192.168.1.117:1279 SYN_RECV

    SYN_RECV ne ise hep bunda kaliyo bir turlu ESTABLISHED olmuyo

    internette ne kadar dokuman varsa hepsini okudum hatta squşd in kendi
    sitesinde 204 sayfalik FAQ.pdf i her bir satır satır okudum. olmadi dedim
    belki squid de sorun vardir squid 3.0 denedim olmadi 2.5 denedim olmadi 2.4
    denedim

      sonra kendi firewallimdan kuskulandim makineyi yeniden kurdum ama nafile.

      localde ki (192.168.1.117) olan makinemin i.e sinin proxy ayarlarindan
    proxy ip ve proxy portunu yazarsam (proxy kullan diyerek) o zaman sorunsuz
    calisiyo ama bizim localde 120 tane filan makine var her biri icin bu islemi
    yapmak istemiyorum birde uyaniik clientler var onlar degistiriyolar. gerci
    onlarida firewall dan proxy kullanmaya zorluyorum aksi taktrde
    baglanamiyolar ama bu isi gurur yaptim.

    proxynin loglari olsun firewall in loglari olsun butun sistemi alt ust ettim
    ama malesef her seyin dogru gozukmesine ragmen hic bir sekilde paketler
    proxy makinesine geliyo ama proxy onu web e cikarip geri client e vermiyo.

      bu arada aklima gelmisken

    iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.247 -j SNAT --dport 80
    --to $EXT_IP
    iptables -A INPUT -i eth0 -p tcp -s 192.168.1.247 --dport 80 -j BAGLANTI
    iptables -A FORWARD -i eth0 -p tcp -s 192.168.1.247 --dport 80 -j BAGLANTI

    yukaridaki rule da oldugu gibi proxy yi SNAT ile disari cikartiyorum

    Lutfen birileri yardim etsin delirmek uzereyim..

    Eger musait olan varsa msn den bana ulassinlar gerekirse ssh ile biri girsin
    systemime kontrol etsin.

    Cevabinizi bekliyorum. (umarim cevap verir birileri)

    Hatta yardim edenlere bir ogle yemegi ismarlayabilirim :))

    yukaridaki her bir seyi denedim belki atlamis olabilecegim ve buraya
    yazmadigim birseyler olabilir ama olabilecek butun ayrintilari denedim....

    _________________________________________________________________
    Add photos to your messages with MSN 8. Get 2 months FREE*.
    http://join.msn.com/?page=features/featuredemail

  • Next message: Serdar: "[linux-network] ShoreWall ve Squid Uyusmazligi"
    New Message Reply About this list Date view Thread view Subject view Author view Attachment view

    ---------

    Bu arsiv hypermail 2.1.6 tarafindan uretilmistir.