• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Problem mit squid, startet nicht

mr44er

Well-Known Member
Themenstarter #1
Code:
2018/06/05 21:26:17 kid1| Starting Squid Cache version 3.5.27 for amd64-portbld-freebsd11.1...
2018/06/05 21:26:17 kid1| Service Name: squid
2018/06/05 21:26:17 kid1| Process ID 96410
2018/06/05 21:26:17 kid1| Process Roles: worker
2018/06/05 21:26:17 kid1| With 942183 file descriptors available
2018/06/05 21:26:17 kid1| Initializing IP Cache...
2018/06/05 21:26:17 kid1| DNS Socket created at 0.0.0.0, FD 6
2018/06/05 21:26:17 kid1| Adding nameserver x.x.x.x from /etc/resolv.conf
2018/06/05 21:26:18 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2018/06/05 21:26:18 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2018/06/05 21:26:18 kid1| Unlinkd pipe opened on FD 13
2018/06/05 21:26:18 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2018/06/05 21:26:18 kid1| Store logging disabled
2018/06/05 21:26:18 kid1| Swap maxSize 102400 + 262144 KB, estimated 28041 objects
2018/06/05 21:26:18 kid1| Target number of buckets: 1402
2018/06/05 21:26:18 kid1| Using 8192 Store buckets
2018/06/05 21:26:18 kid1| Max Mem  size: 262144 KB
2018/06/05 21:26:18 kid1| Max Swap size: 102400 KB
2018/06/05 21:26:18 kid1| Rebuilding storage in /var/squid/cache (no log)
2018/06/05 21:26:18 kid1| Using Least Load store dir selection
2018/06/05 21:26:18 kid1| Set Current Directory to /var/squid/cache
2018/06/05 21:26:18 kid1| Finished loading MIME types and icons.
2018/06/05 21:26:18 kid1| HTCP Disabled.
2018/06/05 21:26:18 kid1| sendto FD 16: (13) Permission denied
2018/06/05 21:26:18 kid1| ipcCreate: CHILD: hello write test failed
2018/06/05 21:26:18 kid1| sendto FD 16: (13) Permission denied
2018/06/05 21:26:18 kid1| ipcCreate: CHILD: hello write test failed


Damit finde ich keinen Lösungsansatz. :confused:
google meint zwar ipv6 aktivieren...aber ich habs nicht geblockt und squid mit ipv6 gebaut.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#2
Ich hasse Squid... Das Problem ist, dass seine Prozesse nicht untereinander kommunizieren können. Ist da vielleicht eine Firewall im Weg oder läuft er in einem Jail mit eingeschränktem Netzwerk?
 

mr44er

Well-Known Member
Themenstarter #3
Ich hatte ihn ursprünglich in einer Jail am Laufen. Sollte ein transparenter werden....das funzte nicht und ich habs auf die Jail geschoben. Dann direkt auf dem Host installiert, dann kam das Problem mit permission denied.

Hab jetzt das Blech rebootet, jetzt startet squid. Aber ich hab immer noch das Problem, dass die Sache transparent nicht funktioniert.

cache.log
Code:
2018/06/05 22:43:23 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=10.0.8.1:3129 remote=10.0.8.50:24593 FD 12 flags=33
2018/06/05 22:43:23 kid1| PF open failed: (13) Permission denied
pf.conf
Code:
rdr pass inet proto tcp from any to any port 80 -> 10.0.8.1 port 3129 #stumpf!
Ideen sehr gerne willkommen! :)
 
#5
Ich bin kein Experte, mag aber im Gegensatz zu Yamagi squid ganz gerne. Warum setzt du einen transparenten Proxy ein? Vielleicht lässt sich dein Vorhaben auch anderweitig realisieren?
 

mr44er

Well-Known Member
Themenstarter #6
Ich bin kein Experte, mag aber im Gegensatz zu Yamagi squid ganz gerne. Warum setzt du einen transparenten Proxy ein?
Nun, ich habe vorher ipfire und pfsense genutzt und damit auch squid...sagen wir mal ich hab mich dran gewöhnt und finde es ganz schnieke. Hauptsächlich gehts mir aber um meinen Lerneffekt, dass ich das mal händisch nachbaue.
 
#7
Aber squid dauerhaft Leserechte auf pf zu geben stößt mir sauer auf.
Squid schneidet und manipuliert "sensiblen" Traffic, die Leserechte auf pf sind bei den Auswirkungen finde ich eher vernachlässigbar.

Wenn du wirklich auf Sicherheit aus bist, lass das Tool weg oder Pack es in eine Sandbox oder besser, auf einen Device hinter die Firewall
 

mr44er

Well-Known Member
Themenstarter #8
die Leserechte auf pf sind bei den Auswirkungen finde ich eher vernachlässigbar.
Seh ich jetzt auch so. Ich bin mit der Lösung erstmal zufrieden, mal sehen obs das auch langfristig taugt. So wichtig, dass ich noch ne Kiste davorstelle, ists dann auch wieder nicht.

Das wird im squid-wiki auch so beschrieben.
https://wiki.squid-cache.org/ConfigExamples/Intercept/OpenBsdPf
Diese divert-to Regeln haben unter FreeBSD keine Bedeutung, sie funktionieren nicht. pf quittiert das auch mit entsprechender Meldung.

Und bei dem Fehler PfInterception: PF open failed: (13) Permission denied steht dort noch: If you must use --enable-pf-transparent, change permissions on /dev/pf to allow write access to the userid running squid.

Bei mir hats allerdings gereicht Leserechte zu setzen:

To allow squid read permissions to "/dev/pf" device, use chmod:

chown root:squid /dev/pf
chmod 0640 /dev/pf
And to make these permanent, devfs conf file (/etc/devfs.conf )has to have following two lines:

own pf root:squid
perm pf 0640