[A moitié Résolu] Squid : impossible d'accèder à internet

Squid : impossible d'accèder à internet [A moitié Résolu] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 11-08-2011 à 15:04:10    

Bonjour à tous,
 
voilà je suis en stage en entreprise, et on m'a demandé de voir ce qui n'allait pas avec le proxy squid, car impossible d'accèder à internet.
Voilà ce qui apparait lorsque j'essaye d'accèder à n'importe quelle page internet :
 

Code :
  1. ERREUR
  3. L'URL demandée n'a pu être chargée
  5. En essayant de charger l'URL : http://www.google.fr/
  7. L'erreur suivante a été rencontrée :
  9. Accès interdit.
  10. La configuration du contrôle d'accès interdit à votre requête d'être acceptée à cette heure-ci. Veuillez contacter votre prestataire de service si vous pensez que ceci n'a pas lieu d'être.
  13. Generated Thu, 11 Aug 2011 11:04:41 GMT by FREVR1VM005 (squid/2.7.STABLE3)


 
et voici le fichier  squid.conf (sans commentaires  :sweat: )
 

Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  2. auth_param ntlm children 30
  3. auth_param ntlm keep_alive on
  5. external_acl_type InetGroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b DC=BOOK,DC=LOCAL -D "CN=frglpi,OU=USERS,OU=FR,DC=BOOK,DC=LOCAL" -w "yoda@ring&747" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,OU=INTERNET,OU=GROUPS,OU=RESOURCES,OU=FR,DC=BOOK,DC=LOCAL))" -h FREVR1DC001.BOOK.LOCAL -d
  6. acl InetAccess external InetGroup FRGG-Internet_Permit
  8. #Recommended minimum configuration:
  9. acl all src all
  10. acl manager proto cache_object
  11. acl localhost src 127.0.0.1/32
  12. acl to_localhost dst 127.0.0.0/8
  14. # Example rule allowing access from your local networks.
  15. # Adapt to list your (internal) IP networks from where browsing
  16. # should be allowed
  17. acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
  18. acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
  19. acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
  20. acl SSL_ports port 443          # https
  21. acl SSL_ports port 563          # snews
  22. acl SSL_ports port 873          # rsync
  23. acl Safe_ports port 80          # http
  24. acl Safe_ports port 81          # OCS
  25. acl Safe_ports port 21          # ftp
  26. acl Safe_ports port 443         # https
  27. acl Safe_ports port 70          # gopher
  28. acl Safe_ports port 210         # wais
  29. acl Safe_ports port 1025-65535  # unregistered ports
  30. acl Safe_ports port 280         # http-mgmt
  31. acl Safe_ports port 488         # gss-http
  32. acl Safe_ports port 591         # filemaker
  33. acl Safe_ports port 777         # multiling http
  34. acl Safe_ports port 631         # cups
  35. acl Safe_ports port 873         # rsync
  36. acl Safe_ports port 901         # SWAT
  37. acl purge method PURGE
  38. acl CONNECT method CONNECT
  40. acl whitelist url_regex "/etc/squid/whitelist.txt"
  41. acl blacklist url_regex "/etc/squid/blacklist.txt"
  43. redirector_access deny whitelist
  44. redirector_access deny blacklist
  46. http_access deny blacklist
  47. http_access allow whitelist
  48. http_access allow InetAccess
  50. # Only allow cachemgr access from localhost
  51. http_access allow manager localhost
  53. http_access deny manager
  54. # Only allow purge requests from localhost
  55. http_access allow purge localhost
  56. http_access deny purge
  57. # Deny requests to unknown ports
  58. http_access deny !Safe_ports
  59. # Deny CONNECT to other than SSL ports
  60. http_access deny CONNECT !SSL_ports
  62. http_access allow localhost
  64. # And finally deny all other access to this proxy
  65. http_access deny all
  67. #Allow ICP queries from local networks only
  68. icp_access allow localnet
  69. icp_access deny all
  71. # modification
  72. http_port 8080
  73. # http_port 3128
  74. # modification - fin
  76. #       And priority could be any of:
  77. #       err, warning, notice, info, debug.
  78. access_log /var/log/squid/access.log squid
  80. #Suggested default:
  81. refresh_pattern ^ftp:           1440    20%     10080
  82. refresh_pattern ^gopher:        1440    0%      1440
  83. refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
  84. refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
  85. refresh_pattern .               0       20%     4320
  87. # Don't upgrade ShoutCast responses to HTTP
  88. acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
  89. upgrade_http0.9 deny shoutcast
  91. # Apache mod_gzip and mod_deflate known to be broken so don't trust
  92. # Apache to signal ETag correctly on such responses
  93. acl apache rep_header Server ^Apache
  94. broken_vary_encoding allow apache
  96. extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  98. error_directory /usr/share/squid/errors/French
  100. hosts_file /etc/hosts
  102. #Default:
  103. # coredump_dir none
  104. #
  105. # Leave coredumps in the first cache dir
  106. coredump_dir /var/spool/squid
  108. #redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  109. #redirect_children 8
  110. #redirector_bypass on


 
J'ai d'abord cru qu'il y avait une limitation dans les horaires d'utilisation avec squidguard, mais rien de tel, donc pour voir si le problème venait de squid ou squidguard, j'ai désactivé la redirection vers squidguard, et toujours le même problème donc il s'agit de squid.
 
Mais après avoir essayé en commentant certaines lignes, rien ne changeait  :(  
 
Je lance donc un appel à l'aide  :jap:


Message édité par benyamin le 12-08-2011 à 10:43:09
Reply

Marsh Posté le 11-08-2011 à 15:04:10   

Reply

Marsh Posté le 11-08-2011 à 17:15:19    

# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
essaye allow sur ces deux lignes et reteste
 
par ailleur a tu regrder les blacklist et whitelist si elle sont correctement paramétrer


Message édité par darkbeldin le 11-08-2011 à 17:16:55
Reply

Marsh Posté le 11-08-2011 à 17:48:15    

pour les whitelist et blacklist, j'ai vérifié, aucun soucis, y'a que quelques sites.
 
Sinon je viens de faire un redémarrage des services networking, et cela a désactiver mon interface eth0 par laquelle j'accédais :/

Reply

Marsh Posté le 11-08-2011 à 18:03:59    

c'est bon, un ptit redemarrage a suffit :D

 

Et j'ai pu testé ce que tu m'as dit, et CA MARCHE !

 

Merci beaucoup, mais je ne comprends pas pour quelles raisons.
Je pensais qu'il refusait tout ce qui n'était pas safe_ports, mais pour SSL_ports ?

 

edit: juste en changeant cette ligne, cela fonctionne
       http_access deny CONNECT !SSL_ports
 effectivement, il n'autorisait pas les autres ports que 443, 563 et 873...

 

merci en tout cas de m'avoir éclairer :jap:


Message édité par benyamin le 11-08-2011 à 18:11:10
Reply

Marsh Posté le 12-08-2011 à 08:51:56    

pas de soucis toujours heureux de rendre service

Reply

Marsh Posté le 12-08-2011 à 10:42:41    

merci, par contre je viens de me rendre compte d'une autre erreur :/
 
Je n'arrive pas à accéder aux pages sécurisées en https (facebook, gmail, et autres)
 
voilà le message que j'obtiens quand j'essaye d'accèder à une de ces pages :
 

Code :
  1. Il se peut que la page Web à l'adresse https://mail.google.com/mail/?hl=fr&tab=wm soit temporairement inaccessible ou qu'elle ait été déplacée de façon permanente à une autre adresse Web.
  2. Erreur 111 (net::ERR_TUNNEL_CONNECTION_FAILED) : Erreur inconnue


 
:??:

Reply

Marsh Posté le 12-08-2011 à 23:05:14    

tu as fait quoi tu as commenter la ligne
http_access deny CONNECT !SSL_ports?
 
perso j'essayerais de commenter les deux voir ce qui se passe
 
ces deux lignes gerent les restrictions de port que l'on trouve au dessus si ca se trouve il faut ouvrir d'autres ports pour les sites sécurisés meme si normalement c'est uniquement du 443


Message édité par darkbeldin le 12-08-2011 à 23:07:53
Reply

Marsh Posté le 17-08-2011 à 11:41:25    

désolé pour le retard...
alors non je n'ai pas commenté cette ligne, mais j'ai mis allow.

 

Si je commente les 2 lignes, j'ai le même problème qu'au début, càd pas d'accès du tout à internet

 

alors j'ai essayé
http_access allow all à la fin, et là ca marche, donc c'est bien un problème de squid
je remets mon fichier de conf actuel pour être plus clair :

 
Code :
  1. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
  2. auth_param ntlm children 30
  3. auth_param ntlm keep_alive on
  5. external_acl_type InetGroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b DC=DOMAIN,DC=LOCAL -D "CN=frglpi,OU=USERS,OU=FR,DC=DOMAIN,DC=LOCAL" -w "yoda@ring&747" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,OU=INTERNET,OU=GROUPS,OU=RESOURCES,OU=FR,DC=DOMAINE,DC=LOCAL))" -h FREVR1DC001.DOMAINE.LOCAL -d
  6. acl InetAccess external InetGroup FRGG-Internet_Permit
  8. #######Access Controll lists definition ################
  10. acl all src 0.0.0.0/0.0.0.0
  11. acl manager proto cache_object
  12. acl localhost src 127.0.0.1/32
  13. acl to_localhost dst 127.0.0.0/8
  14. acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
  15. #acl localnet src 172.20.0.0/12  # RFC1918 possible internal network
  16. acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
  17. acl SSL_ports port 443          # https
  18. acl SSL_ports port 563          # snews
  19. acl SSL_ports port 873          # rsync
  20. acl Safe_ports port 80          # http
  21. acl Safe_ports port 81          # OCS
  22. acl Safe_ports port 21          # ftp
  23. acl Safe_ports port 443         # https
  24. acl Safe_ports port 70          # gopher
  25. acl Safe_ports port 210         # wais
  26. acl Safe_ports port 1025-65535  # unregistered ports
  27. acl Safe_ports port 280         # http-mgmt
  28. acl Safe_ports port 488         # gss-http
  29. acl Safe_ports port 591         # filemaker
  30. acl Safe_ports port 777         # multiling http
  31. acl Safe_ports port 631         # cups
  32. acl Safe_ports port 873         # rsync
  33. acl Safe_ports port 901         # SWAT
  34. acl DHCP src 172.20.5.18     #your ip_adress
  35. acl purge method PURGE
  36. acl CONNECT method CONNECT
  38. acl whitelist url_regex "/etc/squid/whitelist.txt"
  39. acl blacklist url_regex "/etc/squid/blacklist.txt"
  40. redirector_access deny whitelist
  41. redirector_access deny blacklist
  43. ##############Authorization list################
  45. http_access deny blacklist
  46. http_access allow whitelist
  47. http_access allow InetAccess
  48. # Only allow cachemgr access from localhost
  49. http_access allow manager localhost
  50. http_access deny manager
  51. # Only allow purge requests from localhost
  52. http_access allow purge localhost
  53. http_access deny purge
  54. # Deny requests to unknown ports
  55. http_access deny CONNECT !Safe_ports
  56. # Deny CONNECT to other than SSL ports
  57. http_access allow !SSL_ports
  58. http_access allow localhost
  59. # And finally deny all other access to this proxy
  60. http_access deny all
  61. #Allow ICP queries from local networks only
  62. icp_access allow localnet
  63. icp_access deny all
  66. #############Proxy port#################
  68. http_port 8080
  70. ##########Log Files####################
  72. access_log /var/log/squid/access.log squid
  73. #Suggested default:
  74. refresh_pattern ^ftp:           1440    20%     10080
  75. refresh_pattern ^gopher:        1440    0%      1440
  76. refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
  77. refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
  78. refresh_pattern .               0       20%     4320
  80. # Don't upgrade ShoutCast responses to HTTP
  81. acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
  82. upgrade_http0.9 deny shoutcast
  84. # Apache mod_gzip and mod_deflate known to be broken so don't trust
  85. # Apache to signal ETag correctly on such responses
  86. acl apache rep_header Server ^Apache
  87. broken_vary_encoding allow apache
  89. extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  91. error_directory /usr/share/squid/errors/French
  93. hosts_file /etc/hosts
  95. ################Cache directory####################
  96. #Default:
  97. # coredump_dir none
  98. coredump_dir /var/spool/squid
  100. acl DYNAMIC_CONTENT urlpath_regex cgi.bin \cgi \.pl \.php3 \.asp \.php
  101. no_cache deny DYNAMIC_CONTENT
  103. redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  104. redirect_children 8
  105. redirector_bypass on
 

merci


Message édité par benyamin le 17-08-2011 à 11:41:48
Reply

Marsh Posté le 17-08-2011 à 15:23:11    

je ne vois pas de notion de CONNECT dans ceci qui devrait l'être non ?
 

Code :
  1. # Deny CONNECT to other than SSL ports
  2. http_access allow !SSL_ports
  3. http_access allow localhost


 
En gros si je comprend bien là tu autorises seulement ce qui n'est pas SSL_Ports
 
Ce ne serai pas plutôt comme ceci ? :
 

Code :
  1. # Deny CONNECT to other than SSL ports
  2. http_access deny CONNECT !SSL_ports
  3. http_access allow CONNECT localhost


 
Afin de bien interdire les CONNECT vers ce qui n'est pas du SSL_Ports, et autoriser ton squid à faire du CONNECT également


Message édité par Neo_t3 le 17-08-2011 à 15:26:05

---------------
Neo_t3 registered Linux user number 354648. | http://www.ondaflow.com
Reply

Marsh Posté le 17-08-2011 à 15:53:05    

ouais sauf qu'il travaille pas sur la bonne ligne
 
quand je parlais de deux ligne je parlais bien evidemment de celles cité au dessus soit  
 
http_access deny !Safe_ports
et
http_access deny CONNECT !SSL_ports
 
pour moi le localhost sert pas a grand chose
 
pour moi quand tu met allow tu accepte tout sauf les ssl_ports


Message édité par darkbeldin le 17-08-2011 à 15:55:30
Reply

Marsh Posté le 17-08-2011 à 15:53:05   

Reply

Marsh Posté le 17-08-2011 à 17:21:27    

le problème est que si je fais  
 

Code :
  1. http_access deny CONNECT !SSL_ports


 
il n'autorise pas les ports autres que 443,563 et 873...
 
j'ai donc supprimer l'acl SSL_ports, et l'ai mise dans Safe_ports.
Cela simplifie la chose...
 
voilà ce que ça donne :
 

Code :
  1. acl Safe_ports port 443          # https
  2. acl Safe_ports port 563          # snews
  3. acl Safe_ports port 80          # http
  4. acl Safe_ports port 81          # OCS
  5. acl Safe_ports port 21          # ftp
  6. acl Safe_ports port 70          # gopher
  7. acl Safe_ports port 210         # wais
  8. acl Safe_ports port 1025-65535  # unregistered ports
  9. acl Safe_ports port 280         # http-mgmt
  10. acl Safe_ports port 488         # gss-http
  11. acl Safe_ports port 591         # filemaker
  12. acl Safe_ports port 777         # multiling http
  13. acl Safe_ports port 631         # cups
  14. acl Safe_ports port 873         # rsync
  15. acl Safe_ports port 901         # SWAT
  16. acl DHCP src 172.20.5.18     #your ip_adress
  17. acl purge method PURGE
  18. acl CONNECT method CONNECT


 

Code :
  1. http_access allow Safe_ports
  2. http_access deny CONNECT !Safe_ports
  3. http_access allow CONNECT localhost


 
je pense que ça être pas mal :D
 
merci en tout cas pour votre aide ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed