squid et certains sites...
squid et certains sites... - Linux et OS Alternatifs
Marsh Posté le 11-08-2002 à 00:24:19
j'ai la même config (squid transparent en mandrake 8.2). Aucun problème pour affiche les sites que tu cites (je viens de tester). Je ne peux pas t'aider plus. En fait je ne t'aide pas du tout mais la solution existe!!! 
---------------
Gitan des temps modernes
Marsh Posté le 11-08-2002 à 01:12:31
| bobor a écrit a écrit : j'ai la même config (squid transparent en mandrake 8.2). Aucun problème pour affiche les sites que tu cites (je viens de tester). Je ne peux pas t'aider plus. En fait je ne t'aide pas du tout mais la solution existe!!! |
sisi tu peut, squid.conf 
Marsh Posté le 11-08-2002 à 01:40:31
D'aprés ces quelques réponses constructives, je vois au moins que ca devrait normalement fonctionner.
Concernant le fichier de config, j'ai le squid.conf par defaut avec seulement l'activation des http_accel_**** pour le transparent proxy.
Marsh Posté le 11-08-2002 à 10:29:31
Voici mon squid.conf. Ce n'est pas encore la version finale car je ne comprends pas tout et je ne trouve pas les éléments sur le web:
#port sur lequel le proxy écoute les clients Web |
---------------
Gitan des temps modernes
Marsh Posté le 11-08-2002 à 22:54:51
j'ai grosso merdo le meme fichier de conf, sauf que j'utilise pas le anonymizer.
ca deconne toujours sur ces sites et aussi sur mp3guest.com.
en tcpdumpant l'interface de sortie vers le routeur, j'ai bien le paquet qui part, mais rien en retour, donc timeout.
remarque: le hierarchy_stoplist t'evite de forwarder a d'autres proxys. pour eviter le cache c'est le tag no-cache
Marsh Posté le 12-08-2002 à 00:03:39
chez moi je ne rencontre aucun problème. regarde peut-être du côté des acl et surtout de l'ordre des acl.
Je n'ai pas compris ce que tu vulais dire avec le hierarchy_stoplist. Pour moi je ne cache pas les scripts cgi dans ma config.
Sinon j'avoue ne pas tout comprendre (je suis en ce moment sur les vpn et ftp et pas trop sur squid). En particulier, pourquoi des acl sur les ports sur squid? Il prend les requêtes sur le port 3128 et les envoie sur le 80. Reçois sur le 80 et reroute vers le 3128. Se rajoute également le port https pour les sites sécurisés. Mais le reste je ne vois pas en quoi il intervient (surtout que j'ai iptables derrière). Je comprendrais mieux si c'était un proxy socks, mais là...
Pour les anonimyzer, je n'ai pas trouvé de doc de "référence" pour leur description. Si tu as je suis preneur.
Sinon pose tonscript on verra plus clair.
Marsh Posté le 12-08-2002 à 18:49:12
Concernant la hierarchy_stoplit, si j'ai bien compris les commentaires dans le fichier de config : les proxy peuvent être connectés entre eux formant ainsi une hiérarchie. Si une requête ne se trouve pas dans le cache local, squid peut s'adresser aux proxys fils. Le tag hierarchy_stoplist permet d'éviter la requête vers les proxy de secours.
pour le tag no_cache, ca indique à squid de ne pas mettre en cache les acl définis, par exemple :
Code :
|
ca fait planter squid apparement....
Tu as aussi le tag always_direct pour dire que certaines url doivent avoir un accés direct :
Code :
|
Sinon, j'ai basculé le modem STH/pro en bridge forwading au lieu ppp. Sur le firewall/routeur/linux, j'utilise le pppoe fournit par FT (qui marche du premeier coup) au lieu de rp-pppoe (qui n'arrive pas a se connecter chez moi, pb de config surement...).
Et là, ca marche sans problème pour les sites fnac.com et nvidia.com. En regardant les paquets SYN, la seule différence se situe au niveau des flags de l'entete IP (pas de bit-CWR, ni bit-ECN-echo, ni bit-FIN).
concernant les acl Safe_ports, je pense que ca concerne les ports que squid peut "proxyer" ainsi que les ports http pour faire ses requetes IMS.
a+
stf
Marsh Posté le 13-08-2002 à 16:09:56
pour stoplist effectivement c'est ça.
Pour ton urlregex, n'indique pas "http://". Précise seulement l'urp, ou alrs précise la src ou la dst en 127.0.0.1
Pour les ports effectivement ce sont que les ports que squid peut gérer, mais je n'en comprends pas beaucoup. Le 488 (gss-http) par exemple, je ne vois pas ce qu'il gère. D'autres me sont totalement inconnus comme le 280. Actuellement j'ai la config par défaut. Les ports >1025, je suppose que c'est pour le ftp?
Le nntp, je pense que je peux le fermer car je ne (sais pas) l'utilise pas (trop vieux pour moi!)
Par contre ce que je cherche c'est configuré squid pour qu'il cherche des proxy externes valides parmis une liste et qu'il se logue dessus par soucis d'anonymat (je ne fais rien d'illégal mais la vie priée est de moins en moins respectée sans que personne ne gueule!). Je pense utiliser never_direct ey cache_peer. Là dois-je utiliser les requêtes icp??? A voir je travaille dessus dès que j'en aurai terminé avec mon proftp.
Pour les anonymizer, je cherche la commande pour autoriser les cookies? QQ la connait?
Pour ton prob de pppoe, moi je suis en pppoa (sur plaque ECI) avec une bewan et no soucis!
---------------
Gitan des temps modernes
Marsh Posté le 13-08-2002 à 21:24:17
a priori, pour les caches externes, il y a le icp_port et le htcp_port... Je ne saurais te dire la différence, je suppose que c'est 2 types de protocoles de communication entre proxys.
je vois pas trop l'interêt d'utiliser un cache externe parce que :
1) pour moi, l'utilité du proxy c'est d'économiser la bande passante sur l'interface connecté au net.
2) si tu pointes sur des proxys externes ca consommera ta BP, donc autant accéder directement au site. A moins que ca ne soient des proxys "intranet".
Concernant le rp-pppoe, j'ai un problème de timeout , et de PADO
zarb...dommage, j'aurais préféré utiliser un truc libre et maintenu au lieu du pppoe de www.nts.com , fourni par FT.
Marsh Posté le 14-08-2002 à 18:14:03
pour le pppoe, je ne l'ai que très peu utilisé. En fait je testais simplement si mon modem alcatel usb marchait et c'était bon. Après je me suis mis à la bewan. Donc je ne peux pas te dire si lors de ma config pppoe tous les sites marchaient. Je l'ai testé une heure tout au plus.
Pour les proxy externes, effectivement cela ralentit sûrement, mais je souhaiterais cacher mon ip car c'est la foire aux "on récolte votre votre ip, on fournit au fbi ou à la cia" et patati et patata, "si vous mettez un CD audio, le titre est enregistré dans une base données"... Donc je veux faire une config de telle manière que tout soit anonyme. Je travaille donc sur la méthode qui me permettrait de savoir si tel proxy anonyme est reachable et alors de router les requêtes par ce proxy.
---------------
Gitan des temps modernes
Marsh Posté le 08-11-2002 à 20:02:59
bon le probleme "reapparait" :
si je fais ping www.fnac.com, j'obtiens :
|
si je desactive squid , ca marche.
ca me saoule...
Sujets relatifs:
- Aspirateur de sites sous linux
- [sendmail] Probleme : pieces jointes corrompues chez certains ...
- probléme au niveau de la limitation des IP autorisées dans certains pr
- Anonymat sous squid
- Le Quid du Squid
- [Xine] pb pour lire certains DVD
- Vous arrivez pas a vous connecter sur certains site ? solution inside
- Question sur Squid et NAT
- question sur squid et ses ACL
- question sur squid.
Marsh Posté le 10-08-2002 à 23:38:49
hello,
voilà le topo :
- redhat 7.3,
- config iptables par shorewall avec flag MSS activé,
- transparent proxy http par squid 2.4.stable7
Ca marche bien sauf que sur certains sites, je tombe en timeout.
j'ai identifié au moins 2 sites à problèmes : www.fnac.com et www.nvidia.com, à priori, ils sont en .asp.
Sauf que www.microsoft.com, windows oblige, est aussi en .asp (le contraire m'aurait étonné) et fonctionne bien.
Certains penseront au MTU...
sauf premièrement, le flag MSS est censé réglé les problèmes de MTU.
Deuxièmement, si je désactive le transparent proxy ( prerouting du port 80 vers le port 3128), les sites pré-cités fonctionnent normalement.
quelqu'un aurait-il une idée ?
merci d'avance
a+
stf