Squid на FreeBSD работает неправильно. Где ошибка?

Question

[Rad1us]

Приветствую. Друзья, я изучаю FreeBSD всего несколько дней. Основным источником информации на начальном этапе выбрал для себя книгу К.А. Корниенко "FreeBSD9 Корпоративный Интернет-сервер".

Все эксперименты провожу на VMware Workstation, в которой установлено две виртуалки, одна с FreeBSD, другая с XP (которая типа в локалке за прокси-сервером). Установил Squid, настроил все как описано, прописал правило, которое запрещает ходить на yandex.ru, но вот незадача:
1. XP не ходит на yandex.ru, но если ввести https://yandex.ru, то сайт открывается.
2. XP вообще теперь не ходит ни на один сайт, кроме тех, к которым можно добавить https://

И да, пока Squid был не прозрачным, была такая особенность - при входе на yandex.ru появлялась страничка с логотипом сквида и "доступ запрещен....". Сейчас стандартно "страница недоступна".

В чем проблема? Подскажите пожалуйста! Уже пару дней не могу разобраться, перечитал уйму форумов, а результата нет...

Все что настраивал во FreeBSD:
uname -a
FreeBSD free9.home.com 9.3-RELEASE FreeBSD 9.3-RELEASE #0:

rc.conf
hostname="free9.home.com"
sshd_enable="YES"
ntpd_enable="YES"
dumpdev="NO"
#____Networks
ifconfig_em0="inet 192.168.1.252 netmask 255.255.255.0"
ifconfig_em1="inet 172.16.0.1 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
#____Firewall
firewall_enable="YES"
firewall_type="/etc/firewall.conf"
#____Named
named_enable="YES"
#____NAT
gateway_enable="YES"
natd_enable="YES"
natd_interface="em0"
#____SQUID
squid_enable="YES"

named.conf
acl ACCESS { 127.0.0.1; 172.16.0.0/24 ;};
options {
listen-on { 127.0.0.1; 172.16.0.1; };
allow-recursion { ACCESS; };

forwarders {
192.168.1.1;
8.8.8.8;
};
};

firewall.conf
add 4000 divert natd ip from any to any via em0
add 4100 fwd 127.0.0.1,3128 tcp from any to any 80 via em1
add 65500 allow ip from any to any

squid.conf
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/24 # RFC1918 possible internal network
acl dom_deny dstdomain yandex.ru
#acl users src "/usr/local/etc/squid/users.txt"
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow localnet !dom_deny
#http_access allow localhost
#http_access allow users
http_access deny all
http_port 3128 transparent

coredump_dir /var/squid/cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Answer 1

[mureevms]

Когда занимаетесь траблшутингом сведите влияние всех возможных компонентов к минимуму. А именно -
- переведите фаер в режим allow all
- полностью отключите в сквиде https
- уберите из сквида все свои acl, кроме

acl localnet src  172.16.0.0/24 #у Вас же эта подсеть виртуальная
http_access allow localnet

Если все правильно, то должно заработать.

Answer 2

[Александр]

Правило http_access deny CONNECT !SSL_ports предписывает сквиду блокировать всё, кроме https.

Comments

[Rad1us]

Закомментировал, не помогло.

[Александр]

Сквид при установке собран с опцией TP_IPFW?
Вообще рекомендую закомментировать deny правила для начала и добавлять их после того, как система заработает в минимальной конфигурции.
Из правила "http_access allow localnet !dom_deny" убрать !dom_deny.
Какая версия сквида?
Попробуйте указать "http_port 127.0.0.1:3128 intercept" вместо той команды, которая используется сейчас. Насколько помню, transparent указывался в старых версиях.
Для виртуалки рекомендую отрубить кеширование "cache deny all" - лучше это делать на реальном железе. Иначе разрастётся объём используемого пространства виртуалки.

[Александр]

Rad1us: И, конечно, самое главное:
access_log daemon:/var/log/squid/access.log squid
access_log stdio:/var/log/squid/access.log squid
Без этого процесс отладки превращается в поиск кошки в тёмной комнате.

[athacker]

Не совсем так. Правило http_access deny CONNECT !SSL_ports предписывает сквиду блокировать попытки подключений методом CONNECT на порты, которые НЕ ВХОДЯТ в список SSL_ports. См. подробности по методу CONNECT: en.wikipedia.org/wiki/HTTP_tunnel

[athacker]

А вот правило http_access deny !Safe_ports действительно запрещает любые подключения на порты вне списка Safe_ports. Но оно не будет препятствовать подключению к сайтам, висящим на стандартных портах.

Answer 3

[Konkase]

Блокировать https трафик на нужный вам домен вы не сможете. Для блокировки по выборочному домену, небходимо знать, что внутри шифрованного трафика , а это или иметь приватный ключ вледельца или подменять на свой или же блокировать полностью по IP.