Проблема со Squid ом

[Pentalgin 8]

Дано роутер под FreeBSD 5.5+NATD и Squid Cache: Version 2.5.STABLE14

который настроен в режим прозрачного прокси (ipfw add 10000 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 in)

При запросе некоторых страниц Сквид выдает

ОШИБКА
Запрошенный URL не может быть доставлен.

Во время доставки URL: [url="http://www.celan.com.tw/"]http://www.celan.com.tw/[/url] 

Произошла следующая ошибка: 
Не удалось установить соединение. 

Был получен ответ: 
   (65) No route to host

Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.

 

При чем сайт пингуеться и когда убрать фаерволе правило прозрачного проксирование сайты загружаються нормально

 

Конфиг сквида

#порт доступа клиентов к сквиду
http_port 127.0.0.1:3128

acl webserver src 127.0.0.1/255.255.255.255
http_access allow manager webserver
http_access deny manager
# для правильной обработки динамических страниц
# список слов не кэшируемых объектов
acl QUERY urlpath_regex cgi-bin \?

# количество оперативной памяти отведенной для сквида
cache_mem 100 MB
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
cache_effective_user    squid
# максимальный размер кэшируемого объекта
maximum_object_size 10240 KB
minimum_object_size 0 KB
# максимальный размер объекта в оперативной памяти
maximum_object_size_in_memory 64 KB

# место хранения кэша, структура и размер
cache_dir ufs /usr/local/squid/cache 12400 256 128 
icon_directory /usr/local/etc/squid/icons
# папка с текстами сообщений об ошибке
error_directory /usr/local/etc/squid/errors/Russian-koi8-r

# здесь желательно прописать адреса dns серверов
# вашего провайдера.
# если не пропишите, то сквид попытается взять
# их с настроек сетевых интерфейсов.
dns_nameservers 10.10.7.250

# Параметры кэширования
# стандартно :
#
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#
# пример .агрессивного. кэширования :
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.pdf$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.zip$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.exe$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.prz$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.ppt$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.inf$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.wav$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i \.mp3$ 43200 100% 43200 override-lastmod override-expire 
refresh_pattern -i . 0 100% 43200

# контроль за доступом :
# разрешения
acl all src 0.0.0.0/0.0.0.0
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 21 20 443 563 25 110 465 995
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 2121 # ftp
acl Safe_ports port 443 563 25 110 465 995# https, snews, mail
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# пользователи интернет
http_access deny !Safe_ports
# запрет режим CONNECT для не определенных SSL портов
http_access deny CONNECT !SSL_ports
#
# разрешения пользователям
http_access allow lanka
http_access deny all
http_reply_access allow all
icp_access deny all
miss_access allow all

# прозрачное кэширование :
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_no_pmtu_disc on

# не используемую память пусть отдает системе
memory_pools off

 

В логах такая вот штука

1197654848.278   1447 10.10.10.10 TCP_MISS/503 1292 GET [url="http://www.celan.com.tw/"]http://www.celan.com.tw/[/url] - DIRECT/61.218.106.76 text/html
1197654848.312   1178 10.10.10.10 TCP_MISS/200 1224 GET [url="http://www.lexa.ru/image/top100.gif"]http://www.lexa.ru/image/top100.gif[/url] - DIRECT/213.59.0.94 image/gif
1197654849.037    725 10.10.10.10 TCP_MISS/200 1798 GET [url="http://www.lexa.ru/favicon.ico"]http://www.lexa.ru/favicon.ico[/url] - DIRECT/213.59.0.94 image/x-icon
1197654849.917   1455 10.10.10.10 TCP_MISS/503 1315 GET [url="http://www.celan.com.tw/favicon.ico"]http://www.celan.com.tw/favicon.ico[/url] - DIRECT/61.218.106.76 text/html

 

Кто подскажет где собака зарыта?

[BUM 240]

Есть хитрожопые сайты которые не работают через проксики

[Pentalgin 8]

Так все проблема в том что это не единственный сайт и на другой машинке таже кофигурация и версия сквида все пашет нормально

[XoRe 0]

Во первых что-то я не вижу разрешений юзерам локалки пользоваться сквидом.

Т.е. что-то типа

acl users src 10.10.0.0/255.255.0.0

http_access allow users

 

Во вторых, попробуйте на самом сервере со сквидом сделать:

telnet localhost 3128

И набрать там:

GET / HTTP/1.1

host: ya.ru

[Pentalgin 8]

Во первых что-то я не вижу разрешений юзерам локалки пользоваться сквидом.

Т.е. что-то типа

acl users src 10.10.0.0/255.255.0.0

http_access allow users

Это есть в конфиге просто я зыбыл докопировать

 

Во вторых, попробуйте на самом сервере со сквидом сделать:

telnet localhost 3128

И набрать там:

GET / HTTP/1.1

host: ya.ru

Судя по всему работает

 

Trying ::1...
Trying 127.0.0.1...
Connected to localhost.lanka.net.
Escape character is '^]'.
GET / HTTP/1.1
host: ya.ru

HTTP/1.0 200 OK
Content-Type: text/html; charset=windows-1251
Accept-Ranges: bytes
ETag: "1271449272"
Last-Modified: Wed, 12 Dec 2007 17:15:31 GMT
Content-Length: 3173
Date: Sat, 15 Dec 2007 15:43:00 GMT
Server: httpd
Age: 1872
X-Cache: HIT from LankaInternetServer
Connection: close

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><meta http-equiv=Content-Type content="text/html;charset=windows-1251"><title>ъМДЕЙЯ</title><link rel="shortcut icon"href="/favicon.ico"><base target=_top><style type="text/css">*{font-size:100.01%;margin:0}body{font:0.8em Arial,sans-serif;background:#fff url(http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_ya/0)}body,a{color:#999}a:hover,div a,div i{color:#000}div a{color:#000;text-decoration:none}div a span,div a i{text-decoration:underline;font-style:normal}a:hover{color:#f00 !important}table{width:100%;height:100%}table table{width:60%;max-width:1000px;min-width:300px;margin:auto}table table td{padding:0.25em}#text{width:100%}#text *{width:100%}div{padding:2em 0 2em 20px;width:400px}p{padding:5em 2.2em 13px}body,ul,li{padding:0;list-style:none}span{white-space:nowrap}#head{float:left;width:100%}#head li{font:85% Verdana,sans-serif;padding:5px 10px 7px 0}#head a{color:#000}#head .s{float:left;padding-left:27px}#head .s a{float:left;color:#ee7b00}#head .s i{position:absolute;width:16px;height:16px;margin-left:-19px;background:url(http://img.yandex.net/i/switch-yaru.png) no-repeat}#mail{float:right}#head .user,#head .user *{text-decoration:underline}#head .user *{color:#f00}#head .exit{color:#E03A3A}</style><!--[if IE]><style>table table{width:expression(document.body.clientWidth>1600?'1000px':document.body.clientWidth<500?'300px':'60%')}div{width:250px}#head .s i{cursor:hand}</style><![endif]--><style type="text/css" media=handheld>body{padding:0.5em}tr,td{display:block}table,table table,td,div,p{padding:0;height:auto;width:100%;min-width:0;text-align:center}#text *{width:180px}input{margin:0.5em 0}</style><script type="text/javascript">function c(a,p,c){new Image().src=location.protocol+'//clck.yandex.ru/click/dtype=stred/pid='+p+'/cid='+c+'/rnd='+((new Date()).getTime()+Math.round(Math.random()*100))+'/*'+(a.href?a.href:"")}</script><body onload="if(self.parent.frames.length!=0)self.parent.location=document.location;else document.forms[0].text.focus()"><table cellspacing=0 cellpadding=0><tr><td valign=top colspan=2 height=1><ul id=head><li class=s><a href="http://www.yandex.ru"onclick="c(this,17,1079)"><i></i>оНБЕПМСРЭ</a><li id=mail><a href="http://mail.yandex.ru"onclick="c(this,17,1080)">бНИРХ═Б═ОНВРС</a></ul><tr><td align=center colspan=2><form action="http://www.yandex.ru/yandsearch"><table><tr><td><a href="http://www.yandex.ru"onclick="c(this,17,1081)"><img src="http://ya.ru/logo.gif"width=76 height=44 border=0 alt="ъМДЕЙЯ"></a><td id=text><input name=text size=50 maxlength=300><td><input name=rpt type=hidden value=rad><input type=submit onclick="c(this,17,1082)"value="мЮИРХ"></tr></table></form><tr valign=bottom><td width="50%"height=1><p align=right><span>╘═1997≈2007</span> ╚<a href="http://www.yandex.ru"onclick="c(this,17,1083)">ъМДЕЙЯ</a>╩<td width="50%"><p>дХГЮИМ═≈═<a href="http://www.artlebedev.ru"onclick="c(this,17,1084)">яРСДХюПРЕЛХкЕАЕДЕБЮ</a></table><script type="text/javascript">s=document.createElement('script');document.body.appendChild(s);setTimeout('s.src="http://export.yandex.ru/morda/mail.xml"',9)</script>
Connection closed by foreign host.

[XoRe 0]

Угу, работает.

А покажите

ipfw show того правила, которое заворачивает на сквид.

[Pentalgin 8]

Угу, работает.

А покажите

ipfw show того правила, которое заворачивает на сквид.

Сквид раоботает то нормально проблема в том что не открываються некоторые сайты, дает ошибку

ОШИБКА
Запрошенный URL не может быть доставлен.

Во время доставки URL: http://www.flirt.com.ua

Произошла следующая ошибка: 
Не удалось установить соединение. 

Был получен ответ: 
  (65) No route to host

Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.

 

Правило фаервола ipfw show

30000 200114  33017584 fwd 127.0.0.1,3128 tcp from table(15) to any dst-port 80 

 

Таблица ipfw table 15 list

 

10.10.7.11/32 0
10.10.7.19/32 0

[Pentalgin 8]

Проблему так и не решил обрыл весь инет, а резуьтат ноль

[J.McKey 0]

Проблему так и не решил обрыл весь инет, а резуьтат ноль

посмотрите в сторону переписывания заголовка запроса... что-то похожее было в случае если на веб-сервере обрабатываюся лузер-агент поля, для типа експлорера - сюда, мозилы - туда, сквид - нафик...

[XoRe 0]

Попробуйте временно поставить правило

fwd 127.0.0.1,3128 tcp from table(15) to any dst-port 80

в самое начало фаерволла.

 

А так же попробуйте поколдовать с конфигом.

 

А так же хотелось бы узнать, на какие сайты не заходит таким образом.

И правильно ли я понял, что на большинство сайтов заходит нормально?

 

Да, и ещё - попробуйте на проблемные сайты зайти без рпозначного прокси.

[Pentalgin 8]

Попробуйте временно поставить правило

fwd 127.0.0.1,3128 tcp from table(15) to any dst-port 80

в самое начало фаерволла.

 

А так же попробуйте поколдовать с конфигом.

 

А так же хотелось бы узнать, на какие сайты не заходит таким образом.

И правильно ли я понял, что на большинство сайтов заходит нормально?

 

Да, и ещё - попробуйте на проблемные сайты зайти без рпозначного прокси.

Попробуйте временно поставить правило

fwd 127.0.0.1,3128 tcp from table(15) to any dst-port 80

в самое начало фаерволла.

Пробовал ефект ноль все тоже

А так же попробуйте поколдовать с конфигом.

Колдую уже не первый день

 

А так же хотелось бы узнать, на какие сайты не заходит таким образом.

Вот не полный список

http://my.opera.com/

http://www.superlogix.net/

http://www.tarahost.net/

http://www.bigmir.net/

http://www.celan.com.tw/

www.mgd.dsv.ru

http://www.asterisk-support.ru

 

И правильно ли я понял, что на большинство сайтов заходит нормально?

Да большинство сайтов открываються нормально

 

Да, и ещё - попробуйте на проблемные сайты зайти без рпозначного прокси.

Дак когда отключить прозрачный прокси просто удалить правло в фаерволе все открываеться отлично.

 

Я уже не знаю где искать причину чуствую прийдеться переставить систему заново

[Gmen 0]

Скажи мне, а на Яндекс.ру хаходит?

[Pentalgin 8]

Скажи мне, а на Яндекс.ру хаходит?

Зходит