der squid-proxy - howto erlauben tcp-Verbindung - immer TCP_DENIAL/400 mit ERR_INVALID_DOMAIN

Bin ich mit einem Gerät verbinden muss, um einen internet-Dienst auf tcp:80, aber das Netzwerk hat keinen direkten internet-Zugang. Also verwende ich einen squid-proxy, diese zu lösen.

Das Gerät ermöglicht es mir, geben Sie proxyserver, port, Benutzername und Passwort.

Ich herausgefunden, dass das Gerät verwendet http-VERBINDUNG statt der http-GET - (was funktioniert gut mit meinem browser).

Wenn das Gerät versucht sich zu verbinden, es wird ein http-Fehler 400.
Der squid-access.log gibt mir nur dieses:

1338885433.033 0 172.22.140.129 TCP_DENIED/400 1728 VERBINDEN :0 - NONE/- text/html -

Also ich nahm die Pakete, um wirklich zu sehen, was Los ist:

Anforderung von Gerät:

VERBINDEN mydomain.com:0 HTTP/1.0 
User-agent: Sequencer - /5.5.0.5539

Antwort von squid:

HTTP/1.0 400 Bad Request 
squid/2.7.STABLE9 
X-Squid-Error: ERR_INVALID_URL 0 
in der Nähe

Meine squid.conf:

auth_param basic program /usr/lib/squid/pam_auth verweisen: 
auth_param basic children 5 
auth_param basic realm Squid proxy-caching web server 
auth_param basic credentialsttl 2 Stunden 
auth_param basic casesensitive off 

acl all src all 
acl manager proto cache_object 
acl localhost src 127.0.0.1/32 
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 

acl localnet src 10.0.0.0/8 # RFC1918 internen Netzwerk möglich 
acl localnet src 172.16.0.0/12 # RFC1918 internen Netzwerk möglich 
acl localnet src 192.168.0.0/16 # RFC1918 internen Netzwerk möglich 

acl SSL_ports port 443 # https 
acl SSL_ports port 563 # snews 
acl SSL_ports port 873 # rsync 

acl Safe_ports port 80 # http 
acl Safe_ports port 21 # ftp 
acl Safe_ports port 443 # https 
acl Safe_ports port 70 # gopher 
acl Safe_ports port 210 # wais 
acl Safe_ports port 1025-65535 # unregistered ports 
acl Safe_ports port 280 # http-mgmt 
acl Safe_ports port 488 # gss-http 
acl Safe_ports port 591 # filemaker 
acl Safe_ports port 777 # multiling http 
acl Safe_ports port 631 # Tassen 
acl Safe_ports port 873 # rsync 
acl Safe_ports port 901 # SWAT 

acl purge method PURGE 
acl CONNECT method CONNECT 
acl-checkpw proxy_auth REQUIRED 

http_access allow manager localhost 
http_access deny manager 
http_access allow purge localhost 
http_access deny purge 
http_access deny !Safe_ports 
http_access allow CONNECT 
http_access allow localnet 
http_access allow localhost 
http_access allow checkpw alle 
http_access deny all 

icp_access allow localnet 
icp_access deny all 

http_port 3128 

hierarchy_stoplist cgi-bin ? 

access_log /var/log/squid/access.log squid 

debug_options ALL,1 33,2 28,9 

refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 
refresh_pattern . 0 20% 4320 

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] 

upgrade_http0.9 deny shoutcast 

acl apache rep_header Server ^Apache 

broken_vary_encoding damit apache 

extension_methods BERICHT ZUSAMMENFÜHREN MKACTIVITY KASSE 

hosts_file /etc/hosts 

forwarded_for off 

coredump_dir /var/spool/squid

Gibt es eine Lösung, um loszuwerden, das ERR_INVALID_URL? Habe ich missverstanden das Konzept des squid-proxy, oder wird die Anfrage von dem Gerät ungültig?

Bitte lassen Sie mich wissen, wenn eine andere information benötigt wird.

Vielen Dank im Voraus,
Christian.

  • Es gibt zwei Optionen, oder die Anwendung hat einen Fehler, und es schickt port 0 oder Sie wurden ersetzt, der Hafen, Informationen zu verbergen und die Sie gewählt haben, die ungültige port 🙂
  • Im Falle von Problemen mit dem squid-Konfiguration - Suche die ganze config für das Wort deny. Möglicherweise haben Sie etwas verpasst. Und dann, wie es scheint, keine weiteren acls überschreiben.
InformationsquelleAutor Christian | 2012-06-05
  1. 15

    Ich entschloss mich, den gleichen Fehler durch auskommentieren von der Standard-squid.conf:

    # Deny CONNECT to other than secure SSL ports
#http_access deny CONNECT !SSL_ports

    Standardmäßig ist Squid eingerichtet ist, nicht zu erlauben, eine VERBINDUNG zu nicht-SSL-ports. Wenn Sie testen möchten, ohne SSL können Sie diese deaktivieren durch auskommentieren der Zeile oben.

    • Ich habe bereits dies getan haben, ist es immer noch nicht funktioniert (ich hasse Tintenfische).
    InformationsquelleAutor Adriaan Koster
  2. 1

    Hatte ich die nicht SSL-ports-Verbindung erlaubt, wie oben erwähnt, aber vergessen zu öffnen, die acl aus dem Netzwerk ich zugreifen wollte. Eröffnung, dass das Problem behoben wurde:

    acl localnet src 1.1.0.0/24     # <- My Internal network I am accessing from
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
    InformationsquelleAutor peaxol
  3. 0

    Habe ich es gelöst mit der Produkt-Unterstützung des Geräts.

    Zeigten Sie mir einen Weg zu ermöglichen, eine detailliertere debug-Ansicht des proxy-Verbindung herzustellen.

    Es wurde eine Zeile im logfile "keine Verbindung zum relais 0.0.0.0"

    So dass ich überprüft die dns-server-Einstellungen von dem Gerät, es war ein Tippfehler. Thats it.

    InformationsquelleAutor Christian
  4. 0

    War es für mich das Gegenteil von @peaxol: ich hatte die acl definiert aber nicht die http_access allow Regel. Ich hatte, um Sie hinzuzufügen:

    acl vpn src xx.xx.xx.xx/xx
...
http_access allow vpn
    InformationsquelleAutor Matthieu
Schreibe einen Kommentar