squid.conf, TCP_DENIED/403
squid.conf, TCP_DENIED/403 - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 21-04-2010 à 15:18:44
Reply
Marsh Posté le 21-04-2010 à 15:25:36
| kisscoolz a écrit : Proxy transparent ou configuré en dur dans le navigateur ? |
En dur dans le navigateur du client.
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 21-04-2010 à 15:34:43
Tu peux pas du tout allez sur le net ou c'est juste le fait que ca ne passe pas par le cache ?
Parce que je ne vois rien d'anormal dans ta conf.
Marsh Posté le 21-04-2010 à 15:39:32
| kisscoolz a écrit : Tu peux pas du tout allez sur le net ou c'est juste le fait que ca ne passe pas par le cache ? |
Je ne peux pas du tout aller sur le net, d'après mes recherche le TCP_DENIED/403 indique que squid refuse la connexion du client.
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 21-04-2010 à 16:39:07
En lançant /usr/sbin/squid -N -d1 -D
j'ai:
accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 13
Mais j'ai pas de eth reglé en 0.0.0.0, ou alors j'ai mal compris son message.
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 21-04-2010 à 16:41:18
Reply
Marsh Posté le 21-04-2010 à 16:43:17
| Tangrim a écrit : En lançant /usr/sbin/squid -N -d1 -D |
Ca veut dire qu'il accepte les connexions sur toutes ces interfaces.
Tu peux nous mettre toute la partie debugage jusqu'au moment de la connection avec ton client ?
Marsh Posté le 21-04-2010 à 16:49:07
| kisscoolz a écrit : Le poste qui héberge le proxy, il peut aller sur internet ? |
Oui ^^
| kisscoolz a écrit : |
Je cherche à voir comment enregistrer ça dans un fichier texte (je suis en init2 sur la machine qui fait proxy).
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 21-04-2010 à 17:04:04
Code :
|
Et rien quand je fais une requête avec la machine client, mais le fichier /var/squid/access.log lui ajoute bien une nouvelle entrée.
Message édité par Tangrim le 21-04-2010 à 17:05:05
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 21-04-2010 à 17:09:23
Juste pour etre sur, tu le configure comment le navigateur ?
Marsh Posté le 21-04-2010 à 19:26:16
Édition, préférence, avancé, onglet réseau
paramètres
je coche: configuration manuelle du proxy
10.10.101.100 port 3128
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 21-04-2010 à 21:04:39
Est ce que tu peux tester sans squid si l'acces au net est ok ?
Marsh Posté le 21-04-2010 à 22:21:23
Le client ne peux pas avoir accès au net sans squid, il est relié juste derrière le proxy. Du coté du proxy je peux avoir accès au net.
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 22-04-2010 à 12:53:43
La du coup je vois pas, je dois avouer que je seche.
C'est toi qui l'administre le proxy ? C'est ce même serveur qui te sert de passerelle ?
Marsh Posté le 22-04-2010 à 14:50:34
| kisscoolz a écrit : La du coup je vois pas, je dois avouer que je seche. |
Oui, c'est une debian avec 2 interfaces, une vers l'extérieur et une vers le client (en fait y en a une 3ème vers un autre sous réseau mais ça n'a rien à voir dans notre cas).
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 22-04-2010 à 15:27:58
Est ce que tu peux, juste pour le test, autoriser l'accès au net sans obliger le passage par le proxy ? Ca permettra d'éliminer la possibilité où ca viendrait de la passerelle.
Ca ne devrait pas avoir de lien mais l'ip forwarding est bien actif sur le serveur ?
Est ce que tu peux essayer de créer une acl juste pour ton client et l'a rajouté avant la règle pour ton réseau ?
Marsh Posté le 22-04-2010 à 17:09:17
| kisscoolz a écrit : Est ce que tu peux, juste pour le test, autoriser l'accès au net sans obliger le passage par le proxy ? Ca permettra d'éliminer la possibilité où ca viendrait de la passerelle. |
Le forwarding est bien activé, par contre je ne sais pas comment faire pour autoriser l'accès au net sans passer par le proxy, il s'agit de deux machines virtuelles.
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 22-04-2010 à 18:30:48
Ah mais si tu nous dis pas tout dés le début, on va pas s'en sortir.
Décris nous exactement ton réseau.
Marsh Posté le 22-04-2010 à 19:33:17
Une VM (le proxy) avec une interface reliée vers le net (dhcp), une interface 10.10.100.100 vers une VM admin(10.10.100.10) , et une en 10.10.101.100 vers une VM client (10.10.101.10).
La machine ne sert qu'à administrer le proxy (c'est une maquette, en vrai je me met directement sur le proxy).
Et avec le poste client je souhaite me connecter à internet, et ensuite je ferais mes règles avec squidGuard, iptables et consorts.
Les pings marchent de partout vers partout. Sur la machine admin j'arrive à me connecter sur webmin (et les modifs sont enregistrées dans le squid.conf quand j'essaie).
Les pings sur le lan fonctionnent dans tous les sens (admin vers proxyn admin vers client, etc.
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 22-04-2010 à 20:52:35
fait voir les routes sur ton proxy :
| Citation : # route -n |
parce que 10.10.100.100 et 10.10.101.100 pour avoir après dans la conf de squid 10.10.0.0/16 ça me parait louche ...
Marsh Posté le 22-04-2010 à 22:02:23
Bridge pour l'extérieur et host only pour tout le reste du lan.
debian:~# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
10.10.101.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.10.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.142.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.142.2 0.0.0.0 UG 0 0 0 eth0
Message édité par Tangrim le 22-04-2010 à 22:04:53
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 22-04-2010 à 22:11:32
| kisscoolz a écrit : Est ce que tu peux essayer de créer une acl juste pour ton client et l'a rajouté avant la règle pour ton réseau ? |
T'as essayé ?
Marsh Posté le 22-04-2010 à 22:20:28
Reply
Marsh Posté le 23-04-2010 à 09:51:01
C'est une machine sans serveur X, de toute façon je laisse ça de coté pour le moment.
En tout cas je vous remercie beaucoup d'avoir pris un peu de temps pour m'aider 
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
Marsh Posté le 23-04-2010 à 10:20:39
A défaut d'utiliser wireshark, tu peux utiliser tcpdump qui fonctionne en mode texte.
En tous cas, je n'ai plus d'idée moi.
Sujets relatifs:
- Graphique excel pour log squid
- [Squid] Lenteur sur un proxy parent
- Squid demarre en combien de temps chez vous ??
- Compatibilité Squid et Webmin sur Ubuntu 9.04
- [résolu] PFSense + Squid config des allowed_subnets ?
- [MDV]installer une tablette graphique( xorg.conf et xorg.0.log inside)
- [squid] Perte de paquets marqués invalides
- Lecture d'un fichier de conf RDP : des caractères étranges
- Port à la fois TCP et UDP sur freebox (droit de réponse)
- Port à la fois TCP et UDP sur freebox
Marsh Posté le 21-04-2010 à 13:44:27
Bonjour, j'ai un petit problème avec mon squid.conf.
J'ai une machine en 10.10.101.10 qui doit passer par une autre machine avec squid pour se connecter.
Dans le fichier de log j'ai des
10.10.101.10 TCP_DENIED/403 XXXX GET http://www.google.com - DIRECT/209.85.229.99 text/html
Or dans mon squid.conf j'ai bien defini l'acl, pourriez vous m'aider à voir ce qui cloche.
Le problème ne viens pas d'iptables, il est vide.
Merci pour votre aide.
---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator