Discussion :

[lennelei]

Je me demande si tu n'aurais pas un firewall ou un truc qui bloquerait des connexions.

J'aurais du te dire de faire ça directement pour éliminer un potentiel problème de dns, désolé... mais peux-tu retenter le telnet sur le port 80 de free avec l'ip plutôt que le nom:

telnet 212.27.48.10 80

As-tu l'un des fichiers suivant dans /etc : hosts.deny ou hosts.allow ?

Est-ce que iptables -L retourne quelque chose ?

Quand tu te connectes par ssh, tu n'as rien de configuré de spécial dans PuTTY (proxy,...) : juste le serveur ?

Désolé, je tâtonne un peu mais c'est toujours dur sans accès à la machine

[panganino]

Merci beaucoup pour ta réactivité Alek.

Je me demande si tu n'aurais pas un firewall ou un truc qui bloquerait des connexions.

aucun Firewall

J'aurais du te dire de faire ça directement pour éliminer un potentiel problème de dns, désolé... mais peux-tu retenter le telnet sur le port 80 de free avec l'ip plutôt que le nom:

telnet 212.27.48.10 80

Toujours pareil : Connection closed by foreign host.

As-tu l'un des fichiers suivant dans /etc : hosts.deny ou hosts.allow ?

Oui je les ai mais ils sont vides

Est-ce que iptables -L retourne quelque chose ?

voici ce que retourne iptables -L :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     esp  --  anywhere             anywhere
ACCEPT     ah   --  anywhere             anywhere
ACCEPT     udp  --  anywhere             224.0.0.251         udp dpt:mdns
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ipp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ipp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Quand tu te connectes par ssh, tu n'as rien de configuré de spécial dans PuTTY (proxy,...) : juste le serveur ?

rien de spécial, juste le serveur.

Merci

[lennelei]

Bon, si un expert iptables passait par là, il pourrait peut-être nous aider, mais je pense qu'il manque peut-être quelque chose dans tes configurations iptables

Essaye un truc du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
iptables -A RH-Firewall-1-INPUT -m state --state NEW -p tcp --destination-port 3128 -j ACCEPT

Si ça marche, faudrait mettre à jour ta configuration iptables (/etc/sysconfig/iptables ou find /etc | grep iptables)...

edit: copie/colle la ligne de ssh par exemple pour t'inspirer dans le fichier de conf de /etc

[panganino]

j'ai fait la commande "iptables -A RH-Firewall-1-INPUT -m state --state NEW -p tcp --destination-port 3128 -j ACCEPT"; maintenant en tapant iptables -L il me rajoute dans le résultat la ligne suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:squid

Puis j'ai rajouter cette ligne dans le fichier "/etc/sysconfig/iptables" de cette façon :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Mais toujours pareil

[lennelei]

question idiote: tu as redémarré iptables ? Je ne sais pas si c'est indispensable mais bon... on ne sait jamais

sinon, as-tu des messages dans /var/log/messages ou autre ?

edit: tu pourrais retenter le telnet xxx.xxx.xxx.xxx 3128 aussi ?

edit²: pourquoi y a personne qui a d'autres idées

[troumad]

edit²: pourquoi y a personne qui a d'autres idées

Parce que peu de gens ont déjà testés ça !
Et peut-être que beaucoup de gens sont surbookés

[lennelei]

Boah, je plaisantais hein : faut pas le prendre comme ça !

Le truc, c'est que je me sens un peu coincé face à iptables : est-ce que les règles affichés pourraient bloquer le proxy (en sachant qu'elles donnent l'impression d'être en ACCEPT) ?

[panganino]

question idiote: tu as redémarré iptables ? Je ne sais pas si c'est indispensable mais bon... on ne sait jamais

je l'ai déja redémarré mais pareil.

sinon, as-tu des messages dans /var/log/messages ou autre ?

oui j'ai des messages de ce genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
Jun 22 02:32:16 localhost squid[23964]: Squid Parent: child process 23966 started
Jun 22 02:32:23 localhost squid[23964]: Squid Parent: child process 23966 exited with status 0

edit: tu pourrais retenter le telnet xxx.xxx.xxx.xxx 3128 aussi ?

Toujours pas de réponse

[troumad]

Le message avec squid laisse penser que squid s'arrête dès qu'il est lancé ! Problème de configuration ?

Si tu as Mandriva (entre autre), tu peux tenter un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
# /etc/init.d/squid status
squid (pid 2382) est en cours d'exécution...

Toutes les distributions n'ont l'option status disponible

[panganino]

Squid est en cous d"exécution, en tapant /etc/init.d/squid status ça retourne :
squid (pid 24127) is running...

[lennelei]

et ps -fp 24127 te renvoie bien quelque chose ?

edit: pourtant, selon les ps que tu avais fait au début, squid tourne bien et il écoute bien sur le port 3128, donc j'aurais tendance à penser que cela vient d'autre part...

edit²: tu pourrais renvoyer un ps -ef histoire de voir ce qui tourne sur ton serveur ? Le truc, c'est que comme ça indique ce qui tourne sur ton serveur, ça peut permettre de donner des pistes à exploiter pour trouver des failles de sécurités, donc si ça t'ennuie, ça peut se faire par mp.

[panganino]

et ps -fp 24127 te renvoie bien quelque chose ?

il retourne ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
UID        PID  PPID  C STIME TTY          TIME CMD
squid    24127 24125  0 Jun22 ?        00:00:00 (squid) -D

[lennelei]

ppffff

Bon, essaye de stoper squid (/etc/init.d/squid stop ou quelque chose du genre) et de le relancer en debug et mode non daemon pour voir ce qu'il va dire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

squid -NCd1

edit: et essaye éventuellement de lancer un scan de port sur le port 3128 avec ce site

http://www.frameip.com/scan/

[panganino]

squid -NCd1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
 
2010/06/23 03:37:44| Starting Squid Cache version 2.6.STABLE21 for i686-redhat-linux-gnu...
2010/06/23 03:37:44| Process ID 31643
2010/06/23 03:37:44| With 1024 file descriptors available
2010/06/23 03:37:44| Using epoll for the IO loop
2010/06/23 03:37:44| Performing DNS Tests...
2010/06/23 03:37:44| Successful DNS name lookup tests...
2010/06/23 03:37:44| DNS Socket created at 0.0.0.0, port 53583, FD 6
2010/06/23 03:37:44| Adding nameserver 208.67.222.222 from /etc/resolv.conf
2010/06/23 03:37:44| Adding nameserver 208.67.220.220 from /etc/resolv.conf
2010/06/23 03:37:44| Adding domain localdomain from /etc/resolv.conf
2010/06/23 03:37:44| User-Agent logging is disabled.
2010/06/23 03:37:44| Referer logging is disabled.
2010/06/23 03:37:44| Unlinkd pipe opened on FD 11
2010/06/23 03:37:44| Swap maxSize 1048576 + 8192 KB, estimated 0 objects
2010/06/23 03:37:44| Target number of buckets: 4064
2010/06/23 03:37:44| Using 8192 Store buckets
2010/06/23 03:37:44| Max Mem  size: 8192 KB
2010/06/23 03:37:44| Max Swap size: 1048576 KB
2010/06/23 03:37:44| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2010/06/23 03:37:44| Rebuilding storage in /var/spool/squid (CLEAN)
2010/06/23 03:37:44| Using Least Load store dir selection
2010/06/23 03:37:44| Set Current Directory to /var/spool/squid
2010/06/23 03:37:44| Loaded Icons.
2010/06/23 03:37:49| Accepting accelerated HTTP connections at 0.0.0.0, port 3128, FD 13.
2010/06/23 03:37:49| Accepting ICP messages at 0.0.0.0, port 3130, FD 14.
2010/06/23 03:37:49| WCCP Disabled.
2010/06/23 03:37:49| Ready to serve requests.
2010/06/23 03:37:49| Done reading /var/spool/squid swaplog (0 entries)
2010/06/23 03:37:49| Finished rebuilding storage from disk.
2010/06/23 03:37:49|         0 Entries scanned
2010/06/23 03:37:49|         0 Invalid entries.
2010/06/23 03:37:49|         0 With invalid flags.
2010/06/23 03:37:49|         0 Objects loaded.
2010/06/23 03:37:49|         0 Objects expired.
2010/06/23 03:37:49|         0 Objects cancelled.
2010/06/23 03:37:49|         0 Duplicate URLs purged.
2010/06/23 03:37:49|         0 Swapfile clashes avoided.
2010/06/23 03:37:49|   Took 5.4 seconds (   0.0 objects/sec).
2010/06/23 03:37:49| Beginning Validation Procedure
2010/06/23 03:37:49|   Completed Validation Procedure
2010/06/23 03:37:49|   Validated 0 Entries
2010/06/23 03:37:49|   store_swap_size = 0k
2010/06/23 03:37:49| Configuring Parent osgrid.org/8003/0
2010/06/23 03:37:50| storeLateRelease: released 0 objects
2010/06/23 03:39:25| Preparing for shutdown after 0 requests
2010/06/23 03:39:25| Waiting 0 seconds for active connections to finish
2010/06/23 03:39:25| FD 13 Closing HTTP connection
2010/06/23 03:39:25| Shutting down...
2010/06/23 03:39:25| FD 14 Closing ICP connection
2010/06/23 03:39:25| Closing unlinkd pipe on FD 11
2010/06/23 03:39:25| storeDirWriteCleanLogs: Starting...
2010/06/23 03:39:25|   Finished.  Wrote 0 entries.
2010/06/23 03:39:25|   Took 0.0 seconds (   0.0 entries/sec).
2010/06/23 03:39:25| Squid Cache (Version 2.6.STABLE21): Exiting normally.

et Quand je fais le scan de port, je trouve que le port TCP 3128 est fermé
Pourtant Squid est en cours d'execution

[lennelei]

je regarde le log squid, en attendant, tu peux donner ta config réseau ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ifconfig -a

edit: si tu masques les ips, essaye de laisser au moins quelques chiffres qu'on puisse avoir une idée quand même

[panganino]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
eth0      Link encap:Ethernet  HWaddr F2:F6:5F:2B:xx:xx
          inet addr:69.90.xxx.xxx  Bcast:69.90.xx.255  Mask:255.255.255.0
          inet6 addr: fe80::f0f6:5fff:xxxx:xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:130615847 errors:0 dropped:0 overruns:0 frame:0
          TX packets:55792444 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2239547713 (2.0 GiB)  TX bytes:4166816513 (3.8 GiB)
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:43237909 errors:0 dropped:0 overruns:0 frame:0
          TX packets:43237909 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:23531603 (22.4 MiB)  TX bytes:23531603 (22.4 MiB)
 
sit0      Link encap:IPv6-in-IPv4
          NOARP  MTU:1480  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[lennelei]

et un netstat -r ça donne quoi ?

[panganino]

et un netstat -r ça donne quoi ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
69.90.xx.0      *               255.255.255.0   U         0 0          0 eth0
169.254.0.0     *               255.255.0.0     U         0 0          0 eth0
default         69.90.xx.1      0.0.0.0         UG        0 0          0 eth0

[lennelei]

Je viens de jeter un oeil au log squid, et y a un truc pas normal je pense:

2010/06/23 03:37:50| storeLateRelease: released 0 objects
2010/06/23 03:39:25| Preparing for shutdown after 0 requests
2010/06/23 03:39:25| Waiting 0 seconds for active connections to finish
2010/06/23 03:39:25| FD 13 Closing HTTP connection
2010/06/23 03:39:25| Shutting down...
2010/06/23 03:39:25| FD 14 Closing ICP connection
2010/06/23 03:39:25| Closing unlinkd pipe on FD 11
2010/06/23 03:39:25| storeDirWriteCleanLogs: Starting...
2010/06/23 03:39:25| Finished. Wrote 0 entries.
2010/06/23 03:39:25| Took 0.0 seconds ( 0.0 entries/sec).
2010/06/23 03:39:25| Squid Cache (Version 2.6.STABLE21): Exiting normally.

J'essaye de revoir ta conf pour voir pourquoi il s'arrête au bout d'1m35s ? Tu as essayé de te connecter au proxy ou pas quand tu as fait ce test ?

[lennelei]

En regardant ta configuration, j'ai l'impression que tu ne peux te connecter à ton proxy squid que depuis localhost, mais je peux me tromper:

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
...
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

Je pense qu'il te faudrait copier les lignes suivantes et les adapter si tu essayes d'y accéder depuis une machine externe:

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
...
http_access allow localnet

Par exemple:

acl extranet src xxx.xxx.xxx.xxx/32
...
http_access allow extranet

Où xxx.xxx.xxx.xxx serait l'ip du pc sur lequel tu souhaites te connecter.

A titre d'information, je n'ai pas fait comme cela sur mon proxy: j'ai mis en place une authentification par mot de passe, et j'ai ouvert l'accès sans restriction d'ip: ainsi, je peux me connecter depuis n'importe où, mais je suis obligé de rentrer user/mot de passe. Voici la partie de mon fichier de conf qui correspond à cela:
Le fichier /etc/squid/squid_passwd peut-être créé à l'aide de httpasswd

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
auth_param basic program /usr/libexec/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl ncsa_users proxy_auth REQUIRED
...
http_access allow localhost ncsa_users

Mais encore une fois, je ne suis pas un expert squid comme tu as pu le remarquer