URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6044
[ Назад ]

Исходное сообщение
"Очень большие таймауты."
Отправлено Andrew , 16-Апр-09 02:43

Привет всем.
Есть линуксоваяя машина неа ней squid 2.6.STABLE4
Пользователи в локалке работают без проблем
А вот когда подключаюсь с удаленного компа (ip x.x.x.x в локальном IE или FF включаю proxy через этот squid) то получаю большой таймаут (5-10 минут) после любого запроса.
Конфигурацияф сквида вот такая:
#-------------- password auth
## моя подсеть, что бы никто извне не мог качать через мой сквид
acl my_networks src 192.168.172.0/24
acl ganz_net src x.x.x.x/32
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl nwt time 05:55-06:00
acl nwd time S A
acl QUERY urlpath_regex cgi-bin \?
acl banners url_regex "/etc/squid/banners.txt"
acl deny_dom dstdomain src "/etc/squid/deny_dom.txt"
acl cool src "/etc/squid/u_cool.ip"
acl users src "/etc/squid/users.ip"
acl lad dstdomain src "/etc/squid/allow_dom.txt"
acl icq_serv dstdomain .blue.aol.com
acl icq_u src "/etc/squid/icq.txt"
acl badgays src "/etc/squid/bad.ip"
acl manager proto cache_object
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 2222 22 443 563 7443 8443 22
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563 7443 8443   # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 4662        # /tcp edonkey
acl Safe_ports port 4672        # /udp edonkey
acl CONNECT method CONNECT
http_access deny !my_networks !localhost !ganz_net
http_port 192.168.172.2:3128 transparent
icp_port 3130
hierarchy_stoplist cgi-bin ?
cache_mem 128 MB
maximum_object_size 8192 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
cache_dir ufs /var/squid/cache 7168 16 356
cache_access_log /var/log/squid/logs/access.log
cache_log /var/log/squid/logs/cache.log
cache_store_log /var/log/squid/logs/store.log
cache_mgr andrew@statistics.no-ip.info
cache_effective_user nobody
cache_effective_group nogroup
logfile_rotate 10
error_directory /usr/share/squid/errors/English
emulate_httpd_log off
mime_table /etc/squid/mime.conf
pid_filename /var/run/squid/squid.pid
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
dns_nameservers y.y.y.y
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
no_cache deny QUERY
delay_pools 3
delay_class 1 1
delay_access 1 allow users
#delay_access 1 allow lad
#delay_access 1 allow SSL_ports
delay_access 1 deny all
delay_class 2 2
delay_access 2 allow cool
#delay_access 2 allow icq_u
delay_access 2 deny all
delay_class 3 1
delay_access 3 allow badgays
delay_access 3 deny all
delay_parameters 1 -1/-1
#delay_parameters 1 1000/4000
delay_parameters 2 -1/-1 -1/-1
#delay_parameters 2 -1/-1 7000/7000
#delay_parameters 2 -1/-1 8000/8000
delay_parameters 3 200/200
#---------------------------------
http_access allow manager localhost
http_access deny manager
#---------------------------------
http_access deny banners
http_access deny deny_dom
http_access deny icq_serv !icq_u
http_access allow cool
http_access allow users !nwt
http_access deny badgays
http_access allow localhost
icp_access allow localhost
http_access allow ganz_net
#---------------------------------
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
Порт 3128 открыт и доступен извне:
bash-3.1$ sudo /usr/sbin/iptables -vL --line-numbers | grep 3128
8918     922M  6984 ACCEPT     tcp  --  any    any     192.168.172.0/24 anywhere state NEW tcp dpt:3128
25     121  5808 ACCEPT     tcp  --  any    any     x.x.x.x anywhere state NEW tcp dpt:3128
bash-3.1$
p.s. шейперы и пр. уже откучил. Не помогает. ip x.x.x.x добавлен в файл /u_cool.ip
bash-3.1$ cat ./u_cool.ip
127.0.0.1/255.255.255.255
192.168.172.0/255.255.255.0
x.x.x.x/255.255.255.255
bash-3.1$
Подскажите в чем проблемма?
Спасибо.

Содержание

Очень большие таймауты.,Аноним, 04:40 , 16-Апр-09
- Очень большие таймауты.,Andrew, 05:44 , 16-Апр-09
  - Очень большие таймауты.,Аноним, 07:21 , 16-Апр-09
    - Очень большие таймауты.,Andrew, 07:27 , 16-Апр-09
      - Очень большие таймауты.,Аноним, 10:00 , 16-Апр-09
        
        Очень большие таймауты.,Andrew, 18:20 , 16-Апр-09
        Очень большие таймауты.,Andrew, 18:34 , 16-Апр-09
        Очень большие таймауты.,Andrew, 18:38 , 16-Апр-09
        
        Очень большие таймауты.,Аноним, 11:56 , 17-Апр-09
        
        Очень большие таймауты.,Andrew, 16:01 , 17-Апр-09

Сообщения в этом обсуждении

"Очень большие таймауты."
Отправлено Аноним , 16-Апр-09 04:40

а фаерволом порт сквида не прикрыт для внешнего ip?

"Очень большие таймауты."
Отправлено Andrew , 16-Апр-09 05:44

>а фаерволом порт сквида не прикрыт для внешнего ip?
нет Порт 3128 для ip x.x.x.x открыл. Вот вывод:
25 121 5808 ACCEPT tcp -- any any x.x.x.x anywhere state NEW tcp dpt:3128

"Очень большие таймауты."
Отправлено Аноним , 16-Апр-09 07:21

>>а фаерволом порт сквида не прикрыт для внешнего ip?
>
>нет Порт 3128 для ip x.x.x.x открыл. Вот вывод:
а телнетом можешь на него зайти и сделать запрос?

"Очень большие таймауты."
Отправлено Andrew , 16-Апр-09 07:27

>>>а фаерволом порт сквида не прикрыт для внешнего ip?
>>
>>нет Порт 3128 для ip x.x.x.x открыл. Вот вывод:
>
>а телнетом можешь на него зайти и сделать запрос?
Подскажи, а как это сделать?
телнетом зашел. А дальше?
bash-3.1$ telnet x.x.x.x 3128
Trying x.x.x.x...
Connected to x.x.x.x.
Escape character is '^]'.
Спасибо!

"Очень большие таймауты."
Отправлено Аноним , 16-Апр-09 10:00

>Подскажи, а как это сделать?
>телнетом зашел. А дальше?
GET / HTTP/1.1
Host: ya.ru
(именно два раза Enter нажать после последней строки)
Кстати, а почему в фаерволе ты открыл только для 'state NEW'? Разве это условие не означает, что после установки соединения правило уже не будет действовать? С этим модулем я не работал, так что могу и ошибаться, но имхо надёжнее вообще без этого модуля.

"Очень большие таймауты."
Отправлено Andrew , 16-Апр-09 18:20

>[оверквотинг удален]
>>телнетом зашел. А дальше?
>
>GET / HTTP/1.1
>Host: ya.ru
>
>(именно два раза Enter нажать после последней строки)
>Кстати, а почему в фаерволе ты открыл только для 'state NEW'? Разве
>это условие не означает, что после установки соединения правило уже не
>будет действовать? С этим модулем я не работал, так что могу
>и ошибаться, но имхо надёжнее вообще без этого модуля.
Спасибо
Когда конекчусь с удаленного хоста x.x.x.x без промедления Получаю вот это:
HTTP/1.0 200 OK
Content-Type: text/html; charset=windows-1251
Accept-Ranges: bytes
ETag: "2065173070"
Last-Modified: Sun, 11 Jan 2009 11:50:45 GMT
Content-Length: 4848
Date: Thu, 16 Apr 2009 14:02:30 GMT
Server: httpd
X-Cache: MISS from z.z.info
Via: 1.0 z.z.info:3128 (squid/2.6.STABLE4)
Connection: close
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><meta http-equiv=
Content-Type content="text/html;charset=windows-1251"><title>▀эфхъё</title><link
rel="shortcut icon"href="http://img.yandex.net/i/favicon.ico"><base target=_top
[skip]
st=yandex.ru"',9)</script>

Connection to host lost.
C:\Documents and Settings\AndrewS>
В firewall разрешил все
1 144 17470 ACCEPT tcp -- eth2 any x.x.x.x anywhere tcp dpt:3128 state NEW,RELATED,ESTABLISHED

Все равно timeout ~5min.
Поскажи, а?
Andrew.

"Очень большие таймауты."
Отправлено Andrew , 16-Апр-09 18:34

>[оверквотинг удален]
>>телнетом зашел. А дальше?
>
>GET / HTTP/1.1
>Host: ya.ru
>
>(именно два раза Enter нажать после последней строки)
>Кстати, а почему в фаерволе ты открыл только для 'state NEW'? Разве
>это условие не означает, что после установки соединения правило уже не
>будет действовать? С этим модулем я не работал, так что могу
>и ошибаться, но имхо надёжнее вообще без этого модуля.
Спасибо
Когда конекчусь с удаленного хоста x.x.x.x без промедления Получаю вот это:
HTTP/1.0 200 OK
Content-Type: text/html; charset=windows-1251
Accept-Ranges: bytes
ETag: "2065173070"
Last-Modified: Sun, 11 Jan 2009 11:50:45 GMT
Content-Length: 4848
Date: Thu, 16 Apr 2009 14:02:30 GMT
Server: httpd
X-Cache: MISS from z.z.info
Via: 1.0 z.z.info:3128 (squid/2.6.STABLE4)
Connection: close
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><meta http-equiv=
Content-Type content="text/html;charset=windows-1251"><title>▀эфхъё</title><link
rel="shortcut icon"href="http://img.yandex.net/i/favicon.ico"><base target=_top
[skip]
st=yandex.ru"',9)</script>

Connection to host lost.
C:\Documents and Settings\AndrewS>
В firewall разрешил все
1 144 17470 ACCEPT tcp -- eth2 any x.x.x.x anywhere tcp dpt:3128 state NEW,RELATED,ESTABLISHED

Откючал этот модулью
1 51 7008 ACCEPT tcp -- eth2 any 209.167.10.131 anywhere tcp dpt:3128
Все равно timeout ~5min.
Поскажи, а?
Andrew.

"Очень большие таймауты."
Отправлено Andrew , 16-Апр-09 18:38

>[оверквотинг удален]
>>телнетом зашел. А дальше?
>
>GET / HTTP/1.1
>Host: ya.ru
>
>(именно два раза Enter нажать после последней строки)
>Кстати, а почему в фаерволе ты открыл только для 'state NEW'? Разве
>это условие не означает, что после установки соединения правило уже не
>будет действовать? С этим модулем я не работал, так что могу
>и ошибаться, но имхо надёжнее вообще без этого модуля.
Спасибо
Когда конекчусь с удаленного хоста x.x.x.x без промедления Получаю вот это:
HTTP/1.0 200 OK
Content-Type: text/html; charset=windows-1251
Accept-Ranges: bytes
ETag: "2065173070"
Last-Modified: Sun, 11 Jan 2009 11:50:45 GMT
Content-Length: 4848
Date: Thu, 16 Apr 2009 14:02:30 GMT
Server: httpd
X-Cache: MISS from z.z.info
Via: 1.0 z.z.info:3128 (squid/2.6.STABLE4)
Connection: close
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><meta http-equiv=
Content-Type content="text/html;charset=windows-1251"><title>▀эфхъё</title><link
rel="shortcut icon"href="http://img.yandex.net/i/favicon.ico"><base target=_top
[skip]
st=yandex.ru"',9)</script>

Connection to host lost.
C:\Documents and Settings\AndrewS>
В firewall разрешил все
1 144 17470 ACCEPT tcp -- eth2 any x.x.x.x anywhere tcp dpt:3128 state NEW,RELATED,ESTABLISHED

Откючал этот модулью
1 51 7008 ACCEPT tcp -- eth2 any x.x.x.x anywhere tcp dpt:3128
Все равно timeout ~5min.
Поскажи, а?
Andrew.

"Очень большие таймауты."
Отправлено Аноним , 17-Апр-09 11:56

А зачем три раза повторять? - мы же тут не лохи собрались... :)))
Раз телнетом всё работает быстро, значит с фаерволом и сквидом всё нормально. Ищи проблему в браузере. Может ип:порт криво указал, или вирус там какой-то... Попробуй другой браузер.

"Очень большие таймауты."
Отправлено Andrew , 17-Апр-09 16:01

>А зачем три раза повторять? - мы же тут не лохи собрались...
>:)))
>
>Раз телнетом всё работает быстро, значит с фаерволом и сквидом всё нормально.
>Ищи проблему в браузере. Может ип:порт криво указал, или вирус там
>какой-то... Попробуй другой браузер.
Спасибо, прости за три раза. Что-то взглюкнуло. :( Разберусь.