Hallo zusammen,
nachdem ich mein NTLM/Kerberos Problem nicht anders in den Griff bekomme, möchte ich das Problem nun an der Wurzel packen und den Squid-Proxy aktualisieren, da die Version 3.4.* auch den Negotiation-Wrapper für "Kerberos + NTLM" mitbringt. Blöderweise ist das bestehende Proxy-System aber auch kein "sauberes" Debian, sondern eine Knoppix basierte virtuellen Machine mit einem OnionFS, was die Sache nicht leichter macht.
Wie auch immer: Ich aktualisiere meinen Wheezy-Squid (squid3 und squid3-common, Version 3.1) durch die Version 3.4.8 aus den Backports, die komplexe, aber vorher tadellos funktionierende squid.conf übernehme ich einfach.
Danach verweigert Squid allerdings ALLE Verbindungen, also auch die, die mit 3.1 funktionierten. In den Log-Files findet sich kein Hinweis. Nach einem Downgrade auf die alte Version klappt es wieder.
Verdacht: Hat sich in der Konfiguration irgendetwas zwischen den beiden Versionen geändert?
http://www.squid-cache.org/Doc/config/acl/ führt nur neue Features auf, keine Einschränkungen.
Um der Sache auf den Grund zu gehen habe ich dann versucht zunächst alle Verbindungen (ohne Authentifizierung) zuzulassen und dazu folgendes Beispiel verwendet:
http://wiki.squid-cache.org/ConfigExamp ... ate/Bypass
Aber auch das klappt nicht, Squid lehnt die Verbindungen weiterhin ab (so zumindest die Browsermeldungen).
Hat jemand eine einfache und (mit 3.4.8.) funktionierende Konfiguration für mich, sehr gerne auch ohne Authentifizierung? Nur damit ich squid "irgendwie" zum Laufen bekomme. Danach kann ich dann Teile meiner squid.conf wieder hinzunehmen und so hoffentlich das Problem finden.
Vielleicht kennt aber auch schon jemand das Problem und hat eine konkrete Idee, was sich in der squid.conf geändert hat?
Squid Update (Wheezy): Config-File?
Re: Squid Update (Wheezy): Config-File?
Welchen Zweck verfolgst du überhaupt mit deinem Proxy-System? Um Sicherheit scheint es dir ja nicht gerade zu gehen wenn ich mir mal dein System anschaue. Du könntest mal 
apt-show-versions installieren und schauen was alles aufgrund Nicht-Wheezy-Quellen gar nicht mehr supportet wird. Ich sehe nur die Möglichkeit einer Neuinstallation.
apt-show-versions installieren und schauen was alles aufgrund Nicht-Wheezy-Quellen gar nicht mehr supportet wird. Ich sehe nur die Möglichkeit einer Neuinstallation.Re: Squid Update (Wheezy): Config-File?
squid beschwert sich nicht über Fehler in der Config, Syntax?
Du kannst Dir die Pakete herunterladen
squid3
squid3-common
in der jeweiligen Version und per 'dpkg-deb -x paket.deb paket.verz'
entpacken, Inhalt vergleichen: (./squid3-common_XXX/usr/share/doc/squid3-common/squid.conf.documented.gz
./squid3_XXX/etc/squid3/squid.conf
sind entsprechend identisch)
Ich sehe da sowas wie
3.1.20:
children=n
<-> 3.4.8:
children-max=n
children-startup=n
children-idle=n
incoming_icp_average <-> incoming_udp_average
incoming_http_average <-> incoming_tcp_average
Eventuell sind da aber auch nur Doku-typos korrigiert.
Insgesamt aber unübersichtlich.
Vielleicht, 'man squid'
Du kannst Dir die Pakete herunterladen
squid3
squid3-common
in der jeweiligen Version und per 'dpkg-deb -x paket.deb paket.verz'
entpacken, Inhalt vergleichen:
Code: Alles auswählen
vimdiff ./squid3_*/etc/squid3/squid.conf
./squid3_XXX/etc/squid3/squid.conf
sind entsprechend identisch)
Ich sehe da sowas wie
3.1.20:
children=n
<-> 3.4.8:
children-max=n
children-startup=n
children-idle=n
incoming_icp_average <-> incoming_udp_average
incoming_http_average <-> incoming_tcp_average
Eventuell sind da aber auch nur Doku-typos korrigiert.
Insgesamt aber unübersichtlich.
Vielleicht, 'man squid'
-k reconfigure | rotate | shutdown | interrupt | kill | debug | check | parse
Parse configuration file, then send signal to running copy (except -k parse ) and exit.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Squid Update (Wheezy): Config-File?
@uname
Dummerweise (oder zum Glück?) bin ich nicht für den Proxy verantwortlich. Nach ettlichen Support-Anfragen bin ich froh, nun selbst als root werkeln zu dürfen.
Ehrlich gesagt wäre mir auch eine Neuistallation am Liebsten, es ist einfach sauberer. Allerdings kann ich nicht "alles" neu aufsetzen, weil dann viele alte Skripte dann fehlten und das für den externen Dienstleister nicht akzeptabel ist. Das wird dann evtl. meine übernächste Aufgabe werden, doch jetzt ist erst einmal Kerberos dran,...
Non-wheezy ist übrigens nicht im System drin und dein aptitude update; aptitude upgrade habe ich trotz UnionFS gemacht. Ansonsten ist wheezy als oldstable nicht völlig verkehrt.
@ rendegast
Squid gibt ein paar Hinweise aus, das ein paar ACLs kleinere Probleme haben und deshalb ignoriert werden, startet aber. Die Meldungen beim Squid 3.1 sind die selben.
Danke für den Hinweis mit (vim)diff und [debug | check | parse]. Werde ich mir mal ansehen.
Dummerweise (oder zum Glück?) bin ich nicht für den Proxy verantwortlich. Nach ettlichen Support-Anfragen bin ich froh, nun selbst als root werkeln zu dürfen.
Ehrlich gesagt wäre mir auch eine Neuistallation am Liebsten, es ist einfach sauberer. Allerdings kann ich nicht "alles" neu aufsetzen, weil dann viele alte Skripte dann fehlten und das für den externen Dienstleister nicht akzeptabel ist. Das wird dann evtl. meine übernächste Aufgabe werden, doch jetzt ist erst einmal Kerberos dran,...
Non-wheezy ist übrigens nicht im System drin und dein aptitude update; aptitude upgrade habe ich trotz UnionFS gemacht. Ansonsten ist wheezy als oldstable nicht völlig verkehrt.
@ rendegast
Squid gibt ein paar Hinweise aus, das ein paar ACLs kleinere Probleme haben und deshalb ignoriert werden, startet aber. Die Meldungen beim Squid 3.1 sind die selben.
Danke für den Hinweis mit (vim)diff und [debug | check | parse]. Werde ich mir mal ansehen.
Re: Squid Update (Wheezy): Config-File?
"Irgendwie" ist mein Beitrag von gestern "abhanden" gekommen, deshalb nochmal von vorne:
squid - k parse war produktiv und hat ein paar Meldungen ausgegeben:
3.1 hatte noch diese Meldung, die bei 3.4.8 fehlt:
Disabling IPv6 on port [::]:3129 (interception enabled)
Ansosnten gab es mit 3.4.8 noch ein paar Meldungen, weil "The manager, localhost, and to_localhost ACL definitions are now built-in. " Quelle: http://wiki.squid-cache.org/Squid-3.2
Also:
WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
Nach dem Entfernen dieser drei ACLs klappt es leider immer noch nicht, weitere Meldungen sind identisch.
/var/log/squid3/cache.log sagt außerdem:
2016/03/22 23:51:34 kid1| Logfile: opening log /var/log/squid3/access.log
2016/03/22 23:51:34 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid3/access.log'
2016/03/22 23:51:34 kid1| HTCP Disabled.
2016/03/22 23:51:34 kid1| sendto FD 64: (1) Operation not permitted
2016/03/22 23:51:34 kid1| ipcCreate: CHILD: hello write test failed
Damit kann ich zwar nichts anfangen, sieht aber auch nicht so wild aus. Ansonsten habe ich im Squid Handbuch gelesen, das die sogar noch die Config von 2.7 mit Squid 2.4.8 funktionieren soll.
Hat noch jemand weitere Ideen, Vorschläge oder funktionierende squid.conf?
squid - k parse war produktiv und hat ein paar Meldungen ausgegeben:
3.1 hatte noch diese Meldung, die bei 3.4.8 fehlt:
Disabling IPv6 on port [::]:3129 (interception enabled)
Ansosnten gab es mit 3.4.8 noch ein paar Meldungen, weil "The manager, localhost, and to_localhost ACL definitions are now built-in. " Quelle: http://wiki.squid-cache.org/Squid-3.2
Also:
WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'
Nach dem Entfernen dieser drei ACLs klappt es leider immer noch nicht, weitere Meldungen sind identisch.
/var/log/squid3/cache.log sagt außerdem:
2016/03/22 23:51:34 kid1| Logfile: opening log /var/log/squid3/access.log
2016/03/22 23:51:34 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid3/access.log'
2016/03/22 23:51:34 kid1| HTCP Disabled.
2016/03/22 23:51:34 kid1| sendto FD 64: (1) Operation not permitted
2016/03/22 23:51:34 kid1| ipcCreate: CHILD: hello write test failed
Damit kann ich zwar nichts anfangen, sieht aber auch nicht so wild aus. Ansonsten habe ich im Squid Handbuch gelesen, das die sogar noch die Config von 2.7 mit Squid 2.4.8 funktionieren soll.
Hat noch jemand weitere Ideen, Vorschläge oder funktionierende squid.conf?