Вход для пользователей
Главная / Форумы / SAMS / Squid Account Management System (SAMS)

Блокируются все https сайты

kasha, 07.04.2008 — 10:41

Здравствуйте. Создал в SAMS два разных шаблона пользователей, с целью разграничения полномочий к интернету.
В первом разрешено всё, что не запрещено.
Во втором запрещено всё, что не разрешено, так вот проблема со вторым и доступом к https сайтам: Если в адресной строке обозревателя набрать строку, например https://www.google.com выскакивает ошибка

The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http:443

The following error was encountered:

Unable to determine IP address from host name for
The dnsserver returned:

Name Error: The domain name does not exist.
This means that:

The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.
Your cache administrator is webmaster.

--------------------------------------------------------------------------------

Generated Mon, 07 Apr 2008 05:31:38 GMT by mail.xxxxxx.su (squid/2.6.STABLE5)

Больше всего смущает, что при любых запросах пропадает имя хоста http:443 .
При переводе пользователя в 1 шаблон, всё работает нормально.

P.S: Система Debian etch
Squid 2.6 STABLE 5
SAMS 1.0.1
Используемый редиректор samsredir
Авторизация ntlm

Рассмотрю любые предложения и мысли по поводу данной проблемы.
И вопрос , косвенно относящийся к теме, файл /var/log/squid/access.log - это fifo буфер, чем можно в рельном времени мониторить , то что творится в squid.

‹ Настройка Linux роутер на базе дистрибутива Debian GNU/Linux 4.0 r3. Умеет ли SAMS авторизовать nsca+IP? ›
kasha, 07.04.2008 — 11:19

Вот лог sams -d

Found 1 localhosts
10.10.10.0/24 >> 10.10.10.0/255.255.255.0
2. SELECT count(*) FROM squidctrl.urlreplace
end=86159 newend=86464 clear=0 loadfile=0
Reading new data from /var/log/squid/access.log
open SQUID cache file: /var/log/squid/access.log

1 SQUID log string:
1207549102.289 2 10.10.10.114 TCP_DENIED/407 1744 CONNECT www.paypal.com:443 - NONE/- text/html

2 SQUID log string:
1207549102.298 2 10.10.10.114 TCP_DENIED/407 1833 CONNECT www.paypal.com:443 - NONE/- text/html

3 SQUID log string:
1207549102.305 6 10.10.10.114 TCP_MISS/404 0 CONNECT www.paypal.com:443 NGP+p.kosachev DIRECT/- -
Serch SAMS user: ngp/p.kosachev user found
Test local domain: local domain not found
REALTRAFfic = 0 - 0
user ngp/p.kosachev, ip=0.0.0.0 traffic: 0+6130461=6130461 limit:10485760000
update db: 2008-4-7 10:18:22 p.kosachev/ngp 0 www.paypal.com:443
Save new access.log file size
database appended

update SAMS user ngp/p.kosachev traffic: 6152000 21539
Save new access.log file size

Изображение пользователя Eagle.
Eagle, 07.04.2008 — 12:22

Блокирует из samsredir это я озвучивал http://www.permlug.org/node/2937/ ...
В субботу обновил до 1.0.1 результат тот же

sams-1.0.1
PHP 5.2.2
Apache/1.3.37
squid 2.6.10
mysql 4.0.27
samba 3.0.24
freebsd 6.2-RELEASE
redirector sams
auth ntlm+ip

kasha, 07.04.2008 — 13:00

Eagle, вы пытались самостоятельно решить данную проблему или найти её источник ?

Изображение пользователя Eagle.
Eagle, 07.04.2008 — 13:36

В исходниках я не сильно силен :-( Чтобы найти причину, и не понятно почему такое получается ...
При общении на форуме и без, ни у кого такой проблемы не было!
У меня на двух серваках FreeBSD 6.2 и на обоих такая проблема. У других такой проблемы нету. Пока не знаю куда копать :-(
При отключении samsredir, все работает замечательно. Но уж больно не хочется отключать такой редиректор или менять на что-то другое ...

PS: На сколько я понял, там вроде с преобразованием DNS, но в случае только с https.
Еще вопрос, не пробывал на нестандартные порты вешать доступ в инет, для клиент-банка или еще для чего-нить?

sams-1.0.1
PHP 5.2.2
Apache/1.3.37
squid 2.6.10
mysql 4.0.27
samba 3.0.24
freebsd 6.2-RELEASE
redirector sams
auth ntlm+ip

kasha, 07.04.2008 — 14:51

Такс, а почему проблема появляется только при блокировании всех адресов и разрешения только необходимых, тогда как при разрешении всех адресов такой проблемы нет.

kasha, 07.04.2008 — 16:46

Решил проблему, хотя может я и ошибаюсь.....
Вообщем все URL на не стандартные порты представляются в виде строки, например для https, http://xxxx.ru:443 , следовательно если разрешать https://xxxx.ru/ будет запрет, а соответственно и замена на url указанный в редиректоре и вот тут начинаются проблемы. Выход из этой ситуации указать http сайт
например для https://paypal.com нужно указать http://paypal.com

socrat, 09.04.2008 — 10:05

Eagle - не у одного тебя такая проблема с samsredir. Я просто отказался от использования на FreeBSD от samsredir.

Rus73Leon, 30.05.2008 — 15:39

День добрый ,
проблемма таже , только вот на некоторые https пускает, а на некоторые нет.

заходит:
https://www.telebank.ru/web/front/login.x

не заходит:
вот к примеру с этой страницы url
не грузится "display driver"
находящийся по ссылке url

The requested URL could not be retrieved

While trying to retrieve the URL: http:443

The following error was encountered:
Unable to determine IP address from host name for

The dnsserver returned:
Name Error: The domain name does not exist.

This means that:
The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

какое нибудь решение появилось данной проблеммы?

причем этот глюк у меня плавающий....
иногда перестает пускать на ранее наботающие https сайты... помогает только перезапуск сервака

---
sams 1.0.0
samsredir
squid 2.6.16
FreeBSD 6.2

Изображение пользователя Eagle.
Eagle, 01.06.2008 — 12:43

Неделю усиленно пытался разобраться с этой проблемой...
Обрати внимание на строчку в твоем логе
1207549102.305 6 10.10.10.114 TCP_MISS/404 0 CONNECT www.paypal.com:443 NGP+p.kosachev DIRECT/- -
После слова DIRECT/ должен писаться ip адрес сервера ... т.е. он не ресолвится ...
Чего мне удалось добиться и мои дейсвия
1. Прописал dns_nameservers в конфиге сквида
2. samsredir в конфиге сквида прописал после аутентификации
3. включил DNS в web интерфейсе sams
4. после того как sams упал в корку, запустил sams -d вываливался в корку после парсирования логов в конце строки был знак вопроса (об этом писалось на форуме). Отключил DNS и все заработало ...
Теперь другая проблема ...Необходимо ограничить доступ по https ... Думаю попробывать два редиректора ...

sams-1.0.1
PHP 5.2.2
Apache/1.3.37
squid 2.6.10
mysql 4.0.27
samba 3.0.24
freebsd 6.2-RELEASE
redirector sams
auth ntlm+ip

Rus73Leon, 01.06.2008 — 23:05

а что по этому поводу говорят разработчики ?
...ты кстати тикет хотел повесить...
я бы присоединился, т.к. трабла есть и плавающая !

...кстати , не пробовал перейти на squid 3x ?
это не может быть глюкой сквида ?

Изображение пользователя Eagle.
Eagle, 02.06.2008 — 09:39

Тикет повесил ...
Еще год назад вел переписку с Виноградовым ...пока тишина ...
Вряд ли это глюк сквида, да и смыла переходить на 3 сквид пока не вижу ...
HTTPS работает, но теперь не могу ограничивать ...думаю сегодня попробую использовать 2 редиректора ...Второй чисто для https попробую, если интересно - отпишусь

sams-1.0.1
PHP 5.2.2
Apache/1.3.37
squid 2.6.10
mysql 4.0.27
samba 3.0.24
freebsd 6.2-RELEASE
redirector sams
auth ntlm+ip

Rus73Leon, 02.06.2008 — 11:53

очень интересно и нужно!
отпишись обязательно

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".