[A moitié Résolu] Squid : impossible d'accèder à internet

Squid : impossible d'accèder à internet [A moitié Résolu] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 11-08-2011 à 15:04:10    

Bonjour à tous,
 
voilà je suis en stage en entreprise, et on m'a demandé de voir ce qui n'allait pas avec le proxy squid, car impossible d'accèder à internet.
Voilà ce qui apparait lorsque j'essaye d'accèder à n'importe quelle page internet :
 

Code :
  1. ERREUR
  2. L'URL demandée n'a pu être chargée
  3. En essayant de charger l'URL : http://www.google.fr/
  4. L'erreur suivante a été rencontrée :
  5. Accès interdit.
  6. La configuration du contrôle d'accès interdit à votre requête d'être acceptée à cette heure-ci. Veuillez contacter votre prestataire de service si vous pensez que ceci n'a pas lieu d'être.
  7. Generated Thu, 11 Aug 2011 11:04:41 GMT by FREVR1VM005 (squid/2.7.STABLE3)


 
et voici le fichier  squid.conf (sans commentaires  :sweat: )
 

Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  2. auth_param ntlm children 30
  3. auth_param ntlm keep_alive on
  4. external_acl_type InetGroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b DC=BOOK,DC=LOCAL -D "CN=frglpi,OU=USERS,OU=FR,DC=BOOK,DC=LOCAL" -w "yoda@ring&747" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,OU=INTERNET,OU=GROUPS,OU=RESOURCES,OU=FR,DC=BOOK,DC=LOCAL))" -h FREVR1DC001.BOOK.LOCAL -d
  5. acl InetAccess external InetGroup FRGG-Internet_Permit
  6. #Recommended minimum configuration:
  7. acl all src all
  8. acl manager proto cache_object
  9. acl localhost src 127.0.0.1/32
  10. acl to_localhost dst 127.0.0.0/8
  11. # Example rule allowing access from your local networks.
  12. # Adapt to list your (internal) IP networks from where browsing
  13. # should be allowed
  14. acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
  15. acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
  16. acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
  17. acl SSL_ports port 443          # https
  18. acl SSL_ports port 563          # snews
  19. acl SSL_ports port 873          # rsync
  20. acl Safe_ports port 80          # http
  21. acl Safe_ports port 81          # OCS
  22. acl Safe_ports port 21          # ftp
  23. acl Safe_ports port 443         # https
  24. acl Safe_ports port 70          # gopher
  25. acl Safe_ports port 210         # wais
  26. acl Safe_ports port 1025-65535  # unregistered ports
  27. acl Safe_ports port 280         # http-mgmt
  28. acl Safe_ports port 488         # gss-http
  29. acl Safe_ports port 591         # filemaker
  30. acl Safe_ports port 777         # multiling http
  31. acl Safe_ports port 631         # cups
  32. acl Safe_ports port 873         # rsync
  33. acl Safe_ports port 901         # SWAT
  34. acl purge method PURGE
  35. acl CONNECT method CONNECT
  36. acl whitelist url_regex "/etc/squid/whitelist.txt"
  37. acl blacklist url_regex "/etc/squid/blacklist.txt"
  38. redirector_access deny whitelist
  39. redirector_access deny blacklist
  40. http_access deny blacklist
  41. http_access allow whitelist
  42. http_access allow InetAccess
  43. # Only allow cachemgr access from localhost
  44. http_access allow manager localhost
  45. http_access deny manager
  46. # Only allow purge requests from localhost
  47. http_access allow purge localhost
  48. http_access deny purge
  49. # Deny requests to unknown ports
  50. http_access deny !Safe_ports
  51. # Deny CONNECT to other than SSL ports
  52. http_access deny CONNECT !SSL_ports
  53. http_access allow localhost
  54. # And finally deny all other access to this proxy
  55. http_access deny all
  56. #Allow ICP queries from local networks only
  57. icp_access allow localnet
  58. icp_access deny all
  59. # modification
  60. http_port 8080
  61. # http_port 3128
  62. # modification - fin
  63. #       And priority could be any of:
  64. #       err, warning, notice, info, debug.
  65. access_log /var/log/squid/access.log squid
  66. #Suggested default:
  67. refresh_pattern ^ftp:           1440    20%     10080
  68. refresh_pattern ^gopher:        1440    0%      1440
  69. refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
  70. refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
  71. refresh_pattern .               0       20%     4320
  72. # Don't upgrade ShoutCast responses to HTTP
  73. acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
  74. upgrade_http0.9 deny shoutcast
  75. # Apache mod_gzip and mod_deflate known to be broken so don't trust
  76. # Apache to signal ETag correctly on such responses
  77. acl apache rep_header Server ^Apache
  78. broken_vary_encoding allow apache
  79. extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  80. error_directory /usr/share/squid/errors/French
  81. hosts_file /etc/hosts
  82. #Default:
  83. # coredump_dir none
  84. #
  85. # Leave coredumps in the first cache dir
  86. coredump_dir /var/spool/squid
  87. #redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  88. #redirect_children 8
  89. #redirector_bypass on


 
J'ai d'abord cru qu'il y avait une limitation dans les horaires d'utilisation avec squidguard, mais rien de tel, donc pour voir si le problème venait de squid ou squidguard, j'ai désactivé la redirection vers squidguard, et toujours le même problème donc il s'agit de squid.
 
Mais après avoir essayé en commentant certaines lignes, rien ne changeait  :(  
 
Je lance donc un appel à l'aide  :jap:


Message édité par benyamin le 12-08-2011 à 10:43:09
Reply

Marsh Posté le 11-08-2011 à 15:04:10   

Reply

Marsh Posté le 11-08-2011 à 17:15:19    

# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
essaye allow sur ces deux lignes et reteste
 
par ailleur a tu regrder les blacklist et whitelist si elle sont correctement paramétrer


Message édité par darkbeldin le 11-08-2011 à 17:16:55
Reply

Marsh Posté le 11-08-2011 à 17:48:15    

pour les whitelist et blacklist, j'ai vérifié, aucun soucis, y'a que quelques sites.
 
Sinon je viens de faire un redémarrage des services networking, et cela a désactiver mon interface eth0 par laquelle j'accédais :/

Reply

Marsh Posté le 11-08-2011 à 18:03:59    

c'est bon, un ptit redemarrage a suffit :D

 

Et j'ai pu testé ce que tu m'as dit, et CA MARCHE !

 

Merci beaucoup, mais je ne comprends pas pour quelles raisons.
Je pensais qu'il refusait tout ce qui n'était pas safe_ports, mais pour SSL_ports ?

 

edit: juste en changeant cette ligne, cela fonctionne
       http_access deny CONNECT !SSL_ports
 effectivement, il n'autorisait pas les autres ports que 443, 563 et 873...

 

merci en tout cas de m'avoir éclairer :jap:


Message édité par benyamin le 11-08-2011 à 18:11:10
Reply

Marsh Posté le 12-08-2011 à 08:51:56    

pas de soucis toujours heureux de rendre service

Reply

Marsh Posté le 12-08-2011 à 10:42:41    

merci, par contre je viens de me rendre compte d'une autre erreur :/
 
Je n'arrive pas à accéder aux pages sécurisées en https (facebook, gmail, et autres)
 
voilà le message que j'obtiens quand j'essaye d'accèder à une de ces pages :
 

Code :
  1. Il se peut que la page Web à l'adresse https://mail.google.com/mail/?hl=fr&tab=wm soit temporairement inaccessible ou qu'elle ait été déplacée de façon permanente à une autre adresse Web.
  2. Erreur 111 (net::ERR_TUNNEL_CONNECTION_FAILED) : Erreur inconnue


 
:??:

Reply

Marsh Posté le 12-08-2011 à 23:05:14    

tu as fait quoi tu as commenter la ligne
http_access deny CONNECT !SSL_ports?
 
perso j'essayerais de commenter les deux voir ce qui se passe
 
ces deux lignes gerent les restrictions de port que l'on trouve au dessus si ca se trouve il faut ouvrir d'autres ports pour les sites sécurisés meme si normalement c'est uniquement du 443


Message édité par darkbeldin le 12-08-2011 à 23:07:53
Reply

Marsh Posté le 17-08-2011 à 11:41:25    

désolé pour le retard...
alors non je n'ai pas commenté cette ligne, mais j'ai mis allow.

 

Si je commente les 2 lignes, j'ai le même problème qu'au début, càd pas d'accès du tout à internet

 

alors j'ai essayé
http_access allow all à la fin, et là ca marche, donc c'est bien un problème de squid
je remets mon fichier de conf actuel pour être plus clair :

 
Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  2. auth_param ntlm children 30
  3. auth_param ntlm keep_alive on
  4. external_acl_type InetGroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b DC=DOMAIN,DC=LOCAL -D "CN=frglpi,OU=USERS,OU=FR,DC=DOMAIN,DC=LOCAL" -w "yoda@ring&747" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,OU=INTERNET,OU=GROUPS,OU=RESOURCES,OU=FR,DC=DOMAINE,DC=LOCAL))" -h FREVR1DC001.DOMAINE.LOCAL -d
  5. acl InetAccess external InetGroup FRGG-Internet_Permit
  6. #######Access Controll lists definition ################
  7. acl all src 0.0.0.0/0.0.0.0
  8. acl manager proto cache_object
  9. acl localhost src 127.0.0.1/32
  10. acl to_localhost dst 127.0.0.0/8
  11. acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
  12. #acl localnet src 172.20.0.0/12  # RFC1918 possible internal network
  13. acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
  14. acl SSL_ports port 443          # https
  15. acl SSL_ports port 563          # snews
  16. acl SSL_ports port 873          # rsync
  17. acl Safe_ports port 80          # http
  18. acl Safe_ports port 81          # OCS
  19. acl Safe_ports port 21          # ftp
  20. acl Safe_ports port 443         # https
  21. acl Safe_ports port 70          # gopher
  22. acl Safe_ports port 210         # wais
  23. acl Safe_ports port 1025-65535  # unregistered ports
  24. acl Safe_ports port 280         # http-mgmt
  25. acl Safe_ports port 488         # gss-http
  26. acl Safe_ports port 591         # filemaker
  27. acl Safe_ports port 777         # multiling http
  28. acl Safe_ports port 631         # cups
  29. acl Safe_ports port 873         # rsync
  30. acl Safe_ports port 901         # SWAT
  31. acl DHCP src 172.20.5.18     #your ip_adress
  32. acl purge method PURGE
  33. acl CONNECT method CONNECT
  34. acl whitelist url_regex "/etc/squid/whitelist.txt"
  35. acl blacklist url_regex "/etc/squid/blacklist.txt"
  36. redirector_access deny whitelist
  37. redirector_access deny blacklist
  38. ##############Authorization list################
  39. http_access deny blacklist
  40. http_access allow whitelist
  41. http_access allow InetAccess
  42. # Only allow cachemgr access from localhost
  43. http_access allow manager localhost
  44. http_access deny manager
  45. # Only allow purge requests from localhost
  46. http_access allow purge localhost
  47. http_access deny purge
  48. # Deny requests to unknown ports
  49. http_access deny CONNECT !Safe_ports
  50. # Deny CONNECT to other than SSL ports
  51. http_access allow !SSL_ports
  52. http_access allow localhost
  53. # And finally deny all other access to this proxy
  54. http_access deny all
  55. #Allow ICP queries from local networks only
  56. icp_access allow localnet
  57. icp_access deny all
  58. #############Proxy port#################
  59. http_port 8080
  60. ##########Log Files####################
  61. access_log /var/log/squid/access.log squid
  62. #Suggested default:
  63. refresh_pattern ^ftp:           1440    20%     10080
  64. refresh_pattern ^gopher:        1440    0%      1440
  65. refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
  66. refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
  67. refresh_pattern .               0       20%     4320
  68. # Don't upgrade ShoutCast responses to HTTP
  69. acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
  70. upgrade_http0.9 deny shoutcast
  71. # Apache mod_gzip and mod_deflate known to be broken so don't trust
  72. # Apache to signal ETag correctly on such responses
  73. acl apache rep_header Server ^Apache
  74. broken_vary_encoding allow apache
  75. extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  76. error_directory /usr/share/squid/errors/French
  77. hosts_file /etc/hosts
  78. ################Cache directory####################
  79. #Default:
  80. # coredump_dir none
  81. coredump_dir /var/spool/squid
  82. acl DYNAMIC_CONTENT urlpath_regex cgi.bin \cgi \.pl \.php3 \.asp \.php
  83. no_cache deny DYNAMIC_CONTENT
  84. redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  85. redirect_children 8
  86. redirector_bypass on
 

merci


Message édité par benyamin le 17-08-2011 à 11:41:48
Reply

Marsh Posté le 17-08-2011 à 15:23:11    

je ne vois pas de notion de CONNECT dans ceci qui devrait l'être non ?
 

Code :
  1. # Deny CONNECT to other than SSL ports
  2. http_access allow !SSL_ports
  3. http_access allow localhost


 
En gros si je comprend bien là tu autorises seulement ce qui n'est pas SSL_Ports
 
Ce ne serai pas plutôt comme ceci ? :
 

Code :
  1. # Deny CONNECT to other than SSL ports
  2. http_access deny CONNECT !SSL_ports
  3. http_access allow CONNECT localhost


 
Afin de bien interdire les CONNECT vers ce qui n'est pas du SSL_Ports, et autoriser ton squid à faire du CONNECT également


Message édité par Neo_t3 le 17-08-2011 à 15:26:05

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
Reply

Marsh Posté le 17-08-2011 à 15:53:05    

ouais sauf qu'il travaille pas sur la bonne ligne
 
quand je parlais de deux ligne je parlais bien evidemment de celles cité au dessus soit  
 
http_access deny !Safe_ports
et
http_access deny CONNECT !SSL_ports
 
pour moi le localhost sert pas a grand chose
 
pour moi quand tu met allow tu accepte tout sauf les ssl_ports


Message édité par darkbeldin le 17-08-2011 à 15:55:30
Reply

Marsh Posté le 17-08-2011 à 15:53:05   

Reply

Marsh Posté le 17-08-2011 à 17:21:27    

le problème est que si je fais  
 

Code :
  1. http_access deny CONNECT !SSL_ports


 
il n'autorise pas les ports autres que 443,563 et 873...
 
j'ai donc supprimer l'acl SSL_ports, et l'ai mise dans Safe_ports.
Cela simplifie la chose...
 
voilà ce que ça donne :
 

Code :
  1. acl Safe_ports port 443          # https
  2. acl Safe_ports port 563          # snews
  3. acl Safe_ports port 80          # http
  4. acl Safe_ports port 81          # OCS
  5. acl Safe_ports port 21          # ftp
  6. acl Safe_ports port 70          # gopher
  7. acl Safe_ports port 210         # wais
  8. acl Safe_ports port 1025-65535  # unregistered ports
  9. acl Safe_ports port 280         # http-mgmt
  10. acl Safe_ports port 488         # gss-http
  11. acl Safe_ports port 591         # filemaker
  12. acl Safe_ports port 777         # multiling http
  13. acl Safe_ports port 631         # cups
  14. acl Safe_ports port 873         # rsync
  15. acl Safe_ports port 901         # SWAT
  16. acl DHCP src 172.20.5.18     #your ip_adress
  17. acl purge method PURGE
  18. acl CONNECT method CONNECT


 

Code :
  1. http_access allow Safe_ports
  2. http_access deny CONNECT !Safe_ports
  3. http_access allow CONNECT localhost


 
je pense que ça être pas mal :D
 
merci en tout cas pour votre aide ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed