Forums Linux Autres OS Linux Debian

Problème étrange squid3/dansguardian

Le
Pascal Ognibene
Bonjour à tous,

J'utilise une combinaison entre squid3, dansguardian, et quelques règles
iptables pour filtrer l'accès au web de mes enfants.
Tout marchait très bien jusqu'à une mise à jour faite hier.

Depuis, j'ai un comportement assez bizarre :
-tout marche comme avant (y compris le blocage des sites à caractère
tendancieux). Je vois bien les pages générées par DansGuardian lorsque le
coefficient d'une page est dépassé.
-Sauf que TOUS les sites liés à Google ne fonctionnent plus!

www.google.com me donne :

Le système a retourné: (101) Network is unreachable

(c'est une page générée par Squid 3)

www.gmail.com me donne exactement la même erreur après un temps d'attente.

Dans les logs de dansguardian tous les appels aux URL Google donnent des
erreurs 503.
Dans les logs de squid3 j'ai des lignes du style:

127.0.0.1 TCP_MISS/503 2984 GET http://www.google.com/ - DIRECT/
www.google.com text/html

Et même YouTube me donne la même erreur

Je me suis dit que peut-être c'était HTTPS qui posait problème.
Mais je peux accéder au mail de ma boîte qui est en HTTPS.
Le site www.bing.com fonctionne, lui Je précise qu'un grep sur tous les
fichiers de configuration de squid et de dansguardian ne retourne rien de
spécial concernant ces sites.

Voici mes règles iptable:

iptables -A OUTPUT -o wlan0 -p tcp --dport http -j REJECT --reject-with
tcp-reset
iptables -A OUTPUT -o wlan0 -p tcp --dport https -j REJECT --reject-with
tcp-reset

iptables -I OUTPUT -o wlan0 -p tcp --dport http -m owner --uid-owner proxy
-j ACCEPT
iptables -I OUTPUT -o wlan0 -p tcp --dport http -m owner --uid-owner root -=
j
ACCEPT
iptables -I OUTPUT -o wlan0 -p tcp --dport https -m owner --uid-owner proxy
-j ACCEPT
iptables -I OUTPUT -o wlan0 -p tcp --dport https -m owner --uid-owner root
-j ACCEPT

iptables -A OUTPUT -o lo -p tcp --dport 3128 -m owner ! --uid-owner
dansguardian -j REJECT --reject-with tcp-reset

Est-ce un complot mondial contre Google?

Je suis preneur de toutes vos suggestions. Là c'est le drame, sans youtube,
google et gmail, je pense que ma fille va faire passer le pc par la fenêtre
:-(

Pascal
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Papinux
Le #22327521
Le Sun, 4 Jul 2010 12:20:35 +0200, Pascal Ognibene a écrit :

Bonjour à tous,

J'utilise une combinaison entre squid3, dansguardian, et quelques règles
iptables pour filtrer l'accès au web de mes enfants.
Tout marchait très bien jusqu'à une mise à jour faite hier.

Depuis, j'ai un comportement assez bizarre :
-tout marche comme avant (y compris le blocage des sites à caractère
tendancieux). Je vois bien les pages générées par DansGuardian lors que le
coefficient d'une page est dépassé.
-Sauf que... TOUS les sites liés à Google ne fonctionnent plus!

www.google.com me donne :

Le système a retourné: (101) Network is unreachable




Salut,

as-tu vérifié si le DNS fonctionnait bien?
Dans une console taper
$ dig google.com

S'il y a un problème, utiliser provisoirement un autre service DNS
(ceux de google ou ceux d'OpenDNS, ou bien installer unbound)

S'il y a une réponse, il faudrait sans doute nous donner un peu plus
de détail sur ta conf (version de Debian, Squid, DansGuardian, etc).

@+

--
Px

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Pascal Ognibene
Le #22327731
--0016e6585fd015352c048a91331a
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 4 juillet 2010 14:46, Papinux
Le Sun, 4 Jul 2010 12:20:35 +0200, Pascal Ognibene a écrit :

> Bonjour à tous,
>
> J'utilise une combinaison entre squid3, dansguardian, et quelques rà ¨gles
> iptables pour filtrer l'accès au web de mes enfants.
> Tout marchait très bien jusqu'à une mise à jour faite hi er.
>
> Depuis, j'ai un comportement assez bizarre :
> -tout marche comme avant (y compris le blocage des sites à caract ère
> tendancieux). Je vois bien les pages générées par DansGu ardian lorsque le
> coefficient d'une page est dépassé.
> -Sauf que... TOUS les sites liés à Google ne fonctionnent plu s!
>
> www.google.com me donne :
>
> Le système a retourné: (101) Network is unreachable
>

Salut,

as-tu vérifié si le DNS fonctionnait bien?
Dans une console taper
$ dig google.com

S'il y a un problème, utiliser provisoirement un autre service DNS
(ceux de google ou ceux d'OpenDNS, ou bien installer unbound)

S'il y a une réponse, il faudrait sans doute nous donner un peu plus
de détail sur ta conf (version de Debian, Squid, DansGuardian, etc).




Bonjour,

Un dig et un ping sur google.com fonctionnent bien. Le DNS ne me paraî t pas
en cause, d'autant plus que j'arrive à aller sur le site si je lance u n
navigateur avec l'utilisateur root.

Je suis en sid.
Version de dansguardian : 2.10.1.1-2
Version de squid : 3.1.4-1
Règles ip-tables : dans mon précédent post
configuration de squid 3 : par défaut, c'est à dire écoute s ur port 3128
configuration de dansguardian : écoute sur localhost:8080
configuration de iceweasel : proxy sur 8080 (c'est à dire qu'il se con necte
à dansguardian)

Si besoin est je peux attacher les fichiers de configuration.

Merci,

Pascal




@+

--
Px

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--0016e6585fd015352c048a91331a
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable



Le Sun, 4 Jul 2010 12:20:35 +0200, Pascal Ognibene a écrit :<br>
<div><br>
&gt; Bonjour à tous,<br>
&gt;<br>
&gt; J&#39;utilise une combinaison entre squid3, dansguardian, et quelques règles<br>
&gt; iptables pour filtrer l&#39;accès au web de mes enfants.<br>
&gt; Tout marchait très bien jusqu&#39;à une mise à jour fai te hier.<br>
&gt;<br>
&gt; Depuis, j&#39;ai un comportement assez bizarre :<br>
&gt; -tout marche comme avant (y compris le blocage des sites à caract ère<br>
&gt; tendancieux). Je vois bien les pages générées par DansG uardian lorsque le<br>
&gt; coefficient d&#39;une page est dépassé.<br>
&gt; -Sauf que... TOUS les sites liés à Google ne fonctionnent pl us!<br>
&gt;<br>
&gt; &gt;<br>
&gt; Le système a retourné: (101) Network is unreachable<br>
&gt;<br>
<br>
</div>Salut,<br>
<br>
as-tu vérifié si le DNS fonctionnait bien?<br>
Dans une console taper<br>
$ dig <br>
S&#39;il y a un problème, utiliser provisoirement un autre service DNS <br>
(ceux de google ou ceux d&#39;OpenDNS, ou bien installer unbound)<br>
<br>
S&#39;il y a une réponse, il faudrait sans doute nous donner un peu pl us<br>
de détail sur ta conf (version de Debian, Squid, DansGuardian, etc).


configuration de iceweasel : proxy sur 8080 (c&#39;est à dire qu&#39;i l se connecte à dansguardian)
<br>
@+<br>
<br>
--<br>
Px<br>
<font color="#888888"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</font></blockquote></div><br>

--0016e6585fd015352c048a91331a--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Papinux
Le #22328121
Le Sun, 4 Jul 2010 17:08:58 +0200, Pascal Ognibene a écrit :

[...]
Un dig et un ping sur google.com fonctionnent bien. Le DNS ne me paraît pas
en cause, d'autant plus que j'arrive à aller sur le site si je lance un
navigateur avec l'utilisateur root.



ça, il faudrait creuser ... Y a t-il d'autres utilisateurs?

Si je comprends bien, il n'y a qu'une seule machine et tout est
installé dessus (desktop + le proxy).
Je suis en sid.
Version de dansguardian : 2.10.1.1-2
Version de squid : 3.1.4-1



J'utilise les versions de Lenny: dansguardian 2.9.9.4 et squid
2.7STABLE (config différente des versions 3.x)

Règles ip-tables : dans mon précédent post
configuration de squid 3 : par défaut, c'est à dire écoute sur port 3128
configuration de dansguardian : écoute sur localhost:8080
configuration de iceweasel : proxy sur 8080 (c'est à dire qu'il se conn ecte
à dansguardian)

Si besoin est je peux attacher les fichiers de configuration.




Bon, ok. sais-tu si Squid a été mis à jour? éventuellement, regarder
le changelog.

D'après ton 1er message, dans les logs de squid:
127.0.0.1 TCP_MISS/503 2984 GET http://www.google.com/ - DIRECT/
www.google.com text/html

Ce qui semble dire que ça passe en direct ... pourquoi, je ne le sais.

A ce sujet, voir la directive never_direct
http://www.visolve.com/squid/squid30/miscellaneous.php#never_direct

Tester avec cette directive:
never_direct allow all

Bon test.

--
Px

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Répondre en citant
Poster une réponse
Anonyme