Bonjour,
 
J'utilise Squid dans mon entreprise. Lorsque je surfe sur le net, certaines images ne s'affichent pas. Si j'évite de passer par Squid, aucun problème !
Nous utilisons une liste de site web et de mots interdits.
 
Par exemple sur ce site: http://www.microsoft.com/windows/ie/searchguide/fr-fr/default.mspx?dcsref=http://runonce.msn.com/runonce2.aspx
les logos AOL, Amazon et CDiscount ne s'affichent pas. Et bizarrement je retrouve ces mots dans ma liste de mots interdits. Si je supprime l'un d'eux de la liste, son logo apparait bien sur la page.
N'y a-t-il pas une solution pour interdire un site mais laisser s'afficher le logo ?
 
J'ai un peu le même problème mais sur un autre site (par exemple http://www.kahveci.com.tr/) et là j'ai carrément un message d'erreur différents (à la place des images).
Il semble y avoir un tableau contenant des "frames" en milieu de page (alors que je devrais y voir des images) et j'ai ce message :
 
ERROR
The requested URL could not be retrieved
 
--------------------------------------------------------------------------------
While trying to retrieve the URL: http://212.174.116.121:591/kahveci/FMPro?  
 
The following error was encountered:  
 
Connection to 212.174.116.121 Failed  
The system returned:  
 
    (111) Connection refused
The remote host or network may be down. Please try the request again.  
--------------------------------------------------------------------------------
 
Même topo, si je ne passe par Squid, les images s'affichent bien.
Quelqu'un a une idée ?
Quelque choise a voir avec le port 591 ? Il attaquerait pas une base de données quelque part ?
Merci
 

Ben ca n'a rien de bizarre alors
A priori ton filtre travaille aussi sur les URLs, c'est tout.
Après faut voir c'est quoi ton filtre, mais de façon générale, le filtrage par mots clefs est une très très mauvaise idée.

Ok, merci esprit. Tu confirmes ce que je devinais.
Mais pour l'erreur 111 lorsque je consulte un site...une idée ???

Ben la c'est clairement pas un port super standard donc :
- soit le navigateur est pas configuré pour le proxyfier
- soit le cache n'est pas configuré pour le proxyfier

J'ai changé mon filtrage par mots et j'ai créé à la place un fichier d'URL autorisées et un autre avec des non-autorisés, ça va beaucoup mieux !
 
Par contre pour mon erreur 111, je ne vois toujours pas. Ne serait-ce pas mes ACL qui sont en cause ou un http_access ?

Ben sans voir ta conf, c'est dur à dire si elle est en cause ou pas

Voila ma conf....C'est tout ce qui est modifié, le reste est toujours en commentaire ou par défaut.
Mais si ça n'est pas suffisant, je t'en mettrais davantage.
J'ai une règle aui aurotise tout le LAN à surfer le midi, du lundi au vendredi, mais meme dans cette periode ca ne fonctionne pas.
Merci par avance de ton aide e_esprit !  
 
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # gopher
acl Safe_ports port 1025-65535 # wais
acl Safe_ports port 280 # unregistered ports
acl Safe_ports port 488 # http-mgmt
acl Safe_ports port 591 # gss-http
acl Safe_ports port 777 # filemaker
acl CONNECT method CONNECT # multiling http
acl filtrageURL url_regex "/etc/squid/URL-Interdit"
acl URL-OK url_regex "/etc/squid/URL-OK"
acl LAN-MonReseauLocal src 192.168.0.10-192.168.0.254/255.255.255.0
acl Midi time MTWHF 12:00-14:00
acl SAF_parts port 60477
acl Safe_ports-Guillaume port 591
cache deny QUERY
 
... et plus bas ....
 
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny CONNECT !SSL_ports
# Deny CONNECT to other than SSL ports
http_access allow localhost
 
http_access allow Midi
http_access allow SAF_parts
http_access allow URL-OK
http_access allow Safe_ports-Guillaume
http_access deny filtrageURL
http_access allow LAN-MonReseauLocal
http_access deny all !all
 
# and finally allow by default
http_reply_access allow all
 
#Allow ICP queries from everyone
icp_access allow all

Et ca passe bien par le proxy quand tu te connectes à un port 591 ?
(tcpdump coté client et/ou serveur proxy pour voir)

Elle est bizarre sinon ta conf...
tu fais :
http_access allow Safe_ports-GTruck

Mais il est pas déclaré

Et tes commentaires sur les Safe_ports sont pas bons (443 => https, 21 => ftp, etc...)

Euh, je ne sais pas c'est quoi ce truc, une ambiguité de clavier francais/anglais ...En fait c'est http_access allow Safe_ports-Guillaume qu'il fallait lire (je viens d'éditer mon post). Là, c'est plus ressemblant à ma config.
 
C'est mon collègue qui a un souci donc j'avais créé une règle sur le port 591 mais elle existe déja dans la config d'orgine de Squid.
Idem pour les commentaires, ils sont d'origine et je ne me suis pas attardé dessus (vu que c'est des commentaires...) mais je pense que ce n'est pas grave.
 
Par contre je ne comprends pas quand tu me demandes ça:

Comment je peux savoir ça ?
 
En voyant le message d'erreur (que l'URL ne peut pas être recherchée/résolue) alors que l'ACL en question est déja en safe_port pour le port 591, je me demande bien ce qui cloche.  
Faudrait pas que je rajoute un "http_access allow Safe_ports" ?
Bref, y'a une histoire de résolution de nom ou un truc du genre... ?

tcpdump == outil d'analyse du traffic réseau
=> tu regardes si au niveau du réseau, quand ça part coté client, ca arrive bien au niveau du serveur proxy.
Si deja c'est pas le cas, ca sert à rien de lutter sur ta conf.

OK. Mais comme je te disais en début de post si je ne passe par Squid,(donc je désactive l'accès via proxy dans n'importe quel type de navigateur web) les images s'affichent bien. C'est pour ça que j'avas du mal à piger pourquoi anaylser le réseau...  
Captures d'écran ci-dessous:
 
En passant par le proxy:

 
En ne passant pas par le proxy:

Il serait interessant d'avoir le message d'erreur complet

Aussitot dit .... (Je l'avais pourtant mis dans mon post de départ). Et voila le travail...
Merci à toi par avance d'éclairer ma lanterne.  
 
 
ERROR
The requested URL could not be retrieved
 
--------------------------------------------------------------------------------
 
While trying to retrieve the URL: http://212.174.116.121:591/kahveci/FMPro?  
 
The following error was encountered:  
 
Connection to 212.174.116.121 Failed
 
The system returned:  
 
(111) Connection refused
The remote host or network may be down. Please try the request again.
 
Your cache administrator is root.  
 
 
--------------------------------------------------------------------------------
 
Generated Thu, 04 Dec 2008 13:33:06 GMT by fedora6120 (squid/2.6.STABLE13)

Ah oui j'avais zappé dans le premier post
Ben ton serveur proxy n'a pas l'air autorisé à accéder a cette machine/port, si ?

Ben si justement, c'est ça que je comprends pas, car si tu regardes bien dans ma conf j'ai bien une ACL pour le 591...
acl Safe_ports port 591 # gss-http
Mais comme je suis un peu newbie sur Squid, je ne fais pas les choses probablement pas correctement.  
Il faut peut-être que je la déclare dans les http_access en dessous ? Mais je n'y crois pas, de même pour la règle  
acl Safe_ports-Guillaume port 591 qui ne doit servir a rien puisqu'elle est en double.

Je parle pas du service proxy, mais du serveur, de la machine physique quoi.
En d'autres termes :
Vérifie que depuis le serveur qui heberge squid tu peux accéder à l'adresse:port donnée, que c'est pas bloqué d'un coté ou de l'autre par un firewall, des ACLs réseaux ou des ACLs sur le système distant, etc.

AH YESSS, effectivement, depuis la machine qui héberge Squid, on ne peut pas accéder à ce site. CQFD, trop fort esprit !
Bon alors maintenant faut que je fouille....mais où ? Je pense que je vais regarder ça lundi.

Bon j'ai essayé 2-3 choses mais sans succès. Mais en tout cas, ça vient bien de la. une idée e_esprit ? ou quelqu'un d'autre....
 
En plus j'ai des messages depuis ce weekend sur ma Fedora du genre "\dev\hda unreadable sectors...", ça sent le remontage de Fedora sur une autre machine ça !!!

Ben faut demander :
- aux responsables de la machine cible
- aux responsables du réseau entre ton proxy et la machine cible

Ben non puisque si je teste avec une autre machine de mon réseau local (sans passer par le proxy) tout s'affiche très bien. C'est donc bien ma machine physique (sur laquelle est montée une Fedora hébergeant le service Squid) qu'il y a un problème de surf sur le net...et qui se répercute donc sur les accès des clients à ce proxy !