• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] SQUID und Seiten mit Scriptsprachen

rudibert

Newbie
Hallo, ich suche dringend Hilfe bei folgendem Problem:

Meine PC's, Proxy-Server wie auch Clients sitzen in einem Firmennetzwerk hinter einer Firewall mit einen Proxy-Server als Tor ins Internet.
Mein Proxy-Server läuft auf SUSE-Linux V9.1 Prof. mit squid V2.5.
Meine Clients laufen auf Windows 95, NT, 2000.

Mein Proxy-Server hat volle Internetberechtigung. Mit dem Konqueror kann ich alle Seiten aufrufen, die die Clients nicht erreichen.

Mit den Clients kann ich html-Seiten aufrufen. Bei Seiten mit Skripten (z.B. google nack Klick auf Google-Suche), wie pl?, dll?, php? u.ä. (also auch die Forumseiten vom Linux-Club) bekomme ich die Fehlermeldung "Error The requestet URL could not be retrieved Connection failed (113) No route to host"

Was kann das sein?

In der Datei squid.conf habe ich gegenüber der Original-Version folgende Änderungen vorgenommen:

http_port 8080
https_port 8080
cache_peer (name des Internet Proxys) parent 8080 3130
acl allowed_hosts src "/etc/squid/squid.allow"
http_access allow allowed_hosts

Was habe ich vergessen?
Ich bin schon total verzweifelt.

Im voraus herzlichen Dank

Rudi
 

nobbiew

Hacker
Sicher, dass das nur bei Seiten mit Skripten passiert. Die Meldung besagt eigentlich, dass dein Squid-server den Namen des Servers, den du ansprechen willst nicht auflösen kann. Dies passiert immer dann, wenn am Squid-Server der DNS-falsch eingerichtet ist.
 
OP
R

rudibert

Newbie
Ja, die Meldung kommt nur bei Scriptseiten.
Ich habe die Zeile "hierarchy_stoplist cgi-bin ?" auskommentiert und jetzt komme ich auch auf Skriptseiten, allerdings taucht der Fehler wieder auf, wenn ich mich irgendwo anmelden will und meine Login-Daten absende (z.B. hier im Forum).
 

nobbiew

Hacker
Dann poste doch mal die ausgabe von
Code:
egrep -v '^ *(#.*)?$' /etc/squid/squid.conf
Damit sehen wir deine ganze Konfiguration ohne den Ballast der Kommentare
 
OP
R

rudibert

Newbie
Hier der gewünschte Auszug aus meiner squid.conf:

http_port 8080
https_port 8080
cache_peer "Firewall-Proxy" parent 8080 7 no-query
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
dns_nameservers "Intranet-Nameserver"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl allowed_hosts src "/etc/squid/squid.allow"
http_access allow manager
http_access allow manager localhost
http_access deny manager all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow allowed_hosts
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow allowed_hosts
cachemgr_passwd all
coredump_dir /var/cache/squid

und die Datei squid.allow

xxx.yy.13.29/255.255.255.255
xxx.yy.13.30/255.255.255.255
xxx.yy.13.38/255.255.255.255
 

nobbiew

Hacker
Sorry, aber ich kann wirklich nichts fehlerhaftes daran erkennen. Ich kann mir nur erklären, dass deine Firewall in dem Fall nichts zurückgibt. u. der Proxy deshalb versucht den Namen im Intranet zu finden.

Mit "hierarchy_stoplist cgi-bin ?" hattest du einfach das Phänomen, dass du den Proxy angewiesen hast solche Anfragen immer direkt, ohne Anfragen an den cache_peer zu machen, durchzuführen. Da er aber den Namen dann nicht auflösen kann, kommt die Fehlermeldung. Diese Stoplist hätte sowieso nur bewirkt, dass Anfragen an Skripte ohne den cache_peer gemacht werden. Dies ist aber nur dann ein Problem, wenn der cache_peer solche Anfragen cachen würde, was aber alle Proxy-Server unterbinden. Du tust es ebenfalls mit
Code:
acl QUERY urlpath_regex cgi-bin \? 
no_cache deny QUERY

Zurück zu deinem Problem. Schau dir mal die access.log an, was er bei einem Loginversuch ausgibt.
 
OP
R

rudibert

Newbie
Hallo,

hier der Eintrag in der Datei access.log:

1092638889.703 802 "IP-Adresse" TCP_MISS/503 1478 POST http://signin.ebay.de/aw-cgi/eBayISAPI.dll - NONE/- text.html

Vieleicht hilft das jemandem weiter bei meinem Problem.

MfG

Rudi
 
OP
R

rudibert

Newbie
Heureka ich habs.

Sollte irgend jemand mal Probleme mit dem squid hinter einer Firewall haben (z.B. mit ssl-Seiten) dann muss in der squid.conf folgendes stehen:
cache_peer "Firewall-Proxy" parent 8080 3130
never_direct allow all

Dann gehts.
 
Oben