Perm. Ausfall von SquidGuard

[worker]

Sali @ll,

hab ein recht merkwürdiges Problem mit SquidGuard.
Desöffteren stelle ich fest, dass SquidGuard Webseiten nicht blockiert, die eigentlich geblockt werden sollten.
Mal funktioniert die "Filterung", mal nicht.

Eigentlich funktioniert SquidGuard wie erwartet immer dann, wenn ich ihn die DB neu aufbauen (-C all) lasse und
bei Squid ein "reload" durchführe.
Wann, bzw. warum SquidGuard dann iwann (unregelmässiger "Ausstieg" von SquidGuard) das Handtuch schmeisst, weiss ich nicht.
Ist auch nicht nachvollziehbar.
Im Logbuch steht nichts auffälliges. Es sei denn ein "SquidGuard stopped" sollte auffallend sein (auch wenn davor kein Fehler
im Logbuch steht).

Es ist einfach seltsam, warum SquidGuard, wenn's ihm passt, seine Arbeit verweigert.

Das einzige was ich mir denken kann, warum SquidGuard so reagiert ist, dass ich die DB (und auch das komplette VAR-Verzeichnis)
auf die zweite Platte verlagert habe. Das VAR-Verzeichnis ist jetzt als Link im ROOT-Verzeichnis vorhanden.
Könnte es also sein, dass ein Link auf das VAR-Verzeichnis SquidGuard dazu veranlasst, die Arbeit quasi einzustellen?
Aber dann dürfte ja SquidGuard garnicht funktionieren.

Gibt es noch andere Ansatzpunkte, wo ich anfangen könnte den Fehler zu suchen?

Für jeden Tipp danke schon mal im Voraus.

Grüssle
worker

PS: Proxy: Debian 6.0.4 (1 GB RAM)

 

[marcellus]

Probier in der Konfiguration die verbosity hochzudrehen, irgendwas wird er ja melden.

Herumraten ohne ordentliche Fehlermeldung hat keinen Sinn.

 

[worker]

Hi marcellus,

danke für den Tipp.

Habe nach ner geeigneten Option für SquidGuard gesucht, dochleider nicht wirklich was gefunden.
In squid.conf hab ich "debug_option ALL, 9" drin.

Das Logbuch von Squid zeigt lediglich einen "Fehler", der sich jedoch nicht auf die Funktionalität
von SquidGuard auswirkt, da SquidGuard derzeit (mal wieder/noch) wunschgemäss läuft.
Squid-Log Fehler:

"2012/05/24 13:04:24| commBind: Cannot bind socket FD 16 to *:80: ( 98 ) Address already in use"

Dies scheint (laut Google) eventuell ein "Problem" mit dem http-Server zu sein - dieser läuft aber anstandslos.

Werde jetzt mal weiterhin die Logbücher beider Programme/Dienste so alle 1-2 Stunden beobachten.

Melde mich dann aber noch auf jeden Fall hier.

LG
worker

 

[worker]

Bin leider nicht weiter gekommen.

Heute morgen ist der Server hochgefahren, doch das Problem bleibt.
In den beiden Logbüchern erschein keine Fehlermeldung, oder sonstige Meldung, die auf das Problem hindeutet (lediglich immer noch die "commBind"-Meldung).

Habe mir auch 'syslog' angeschaut - auch da ist nichts auffälliges zu lesen.

Gibt es sonst ne Option für die Squid-Config, die mich weiterbringen könnte?
Wie könnte ich dem Problem sonst noch auf die Schliche kommen ?

 

[marcellus]

Ich kann mir vorstellen, das beide probieren auf Port 80 zuzugreifen.

was sagt

netstat -tulpn

?

Post das log, es kann sein, dass der Fehler unauffällig ist.

 

[worker]

netstat -tulpn

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1122/mysqld     
tcp        0      0 10.0.0.254:6667         0.0.0.0:*               LISTEN      838/ircd        
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      994/inetd       
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      994/inetd       
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      683/portmap     
tcp        0      0 10.0.0.254:80           0.0.0.0:*               LISTEN      967/lighttpd    
tcp        0      0 192.168.1.2:53          0.0.0.0:*               LISTEN      891/named       
tcp        0      0 10.0.0.254:53           0.0.0.0:*               LISTEN      891/named       
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      891/named       
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1513/sshd       
tcp        0      0 10.0.0.254:3128         0.0.0.0:*               LISTEN      1366/(squid)    
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1579/exim4      
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      961/lwresd      
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      994/inetd       
tcp6       0      0 :::139                  :::*                    LISTEN      897/smbd        
tcp6       0      0 :::80                   :::*                    LISTEN      967/lighttpd    
tcp6       0      0 ::1:25                  :::*                    LISTEN      1579/exim4      
tcp6       0      0 ::1:953                 :::*                    LISTEN      961/lwresd      
tcp6       0      0 :::445                  :::*                    LISTEN      897/smbd        
udp        0      0 0.0.0.0:37170           0.0.0.0:*                           1366/(squid)    
udp        0      0 192.168.1.2:53          0.0.0.0:*                           891/named       
udp        0      0 10.0.0.254:53           0.0.0.0:*                           891/named       
udp        0      0 127.0.0.1:53            0.0.0.0:*                           891/named       
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1237/dhcpd      
udp        0      0 0.0.0.0:43864           0.0.0.0:*                           838/ircd        
udp        0      0 0.0.0.0:111             0.0.0.0:*                           683/portmap     
udp        0      0 10.255.255.255:137      0.0.0.0:*                           859/nmbd        
udp        0      0 10.0.0.254:137          0.0.0.0:*                           859/nmbd        
udp        0      0 0.0.0.0:137             0.0.0.0:*                           859/nmbd        
udp        0      0 10.255.255.255:138      0.0.0.0:*                           859/nmbd        
udp        0      0 10.0.0.254:138          0.0.0.0:*                           859/nmbd        
udp        0      0 0.0.0.0:138             0.0.0.0:*                           859/nmbd        
udp        0      0 10.0.0.254:6667         0.0.0.0:*                           838/ircd        
udp        0      0 127.0.0.1:921           0.0.0.0:*                           961/lwresd

Logfile /var/log/squidguard/squidGuard.log

2012-05-25 07:00:23 [1839] squidGuard 1.4 started (1337921978.364)
2012-05-25 07:00:23 [1839] db update done
2012-05-25 07:00:23 [1839] squidGuard stopped (1337922023.014)
2012-05-25 07:00:23 [1851] squidGuard 1.4 started (1337922023.039)
2012-05-25 07:00:23 [1851] db update done
2012-05-25 07:00:23 [1851] squidGuard stopped (1337922023.184)
2012-05-25 07:00:23 [1745] squidGuard stopped (1337922023.202)
2012-05-25 07:00:23 [1746] squidGuard stopped (1337922023.203)
2012-05-25 07:00:23 [1747] squidGuard stopped (1337922023.204)
2012-05-25 07:00:23 [1748] squidGuard stopped (1337922023.206)
2012-05-25 07:00:23 [1749] squidGuard stopped (1337922023.207)
2012-05-25 07:00:23 [1855] squidGuard 1.4 started (1337922023.232)
2012-05-25 07:00:23 [1855] squidGuard ready for requests (1337922023.851)
2012-05-25 07:00:23 [1858] squidGuard 1.4 started (1337922023.259)
2012-05-25 07:00:23 [1857] squidGuard 1.4 started (1337922023.252)
2012-05-25 07:00:23 [1857] squidGuard ready for requests (1337922023.870)
2012-05-25 07:00:23 [1858] squidGuard ready for requests (1337922023.870)
2012-05-25 07:00:23 [1859] squidGuard 1.4 started (1337922023.249)
2012-05-25 07:00:23 [1859] squidGuard ready for requests (1337922023.871)
2012-05-25 07:00:23 [1861] squidGuard 1.4 started (1337922023.265)
2012-05-25 07:00:23 [1861] squidGuard ready for requests (1337922023.872)
2012-05-25 07:43:48 [1859] Warning: Possible bypass attempt. Found multiple slashes where only one is expected: http://x.ligatus.com/cgi-bin/ivw/CP/12490-599/90-1056/155106-134112-_155966-133736-//
2012-05-25 07:43:48 [1855] Warning: Possible bypass attempt. Found multiple slashes where only one is expected: http://x.ligatus.com/cgi-bin/ivw/CP/12598-599/90-1056/153620-123677-_155656-131878-//
2012-05-25 08:23:28 [1857] Warning: Possible bypass attempt. Found multiple slashes where only one is expected: http://x.ligatus.com/cgi-bin/ivw/CP/12490-599/90-1040/156292-132864-_153588-120205-//
2012-05-25 08:23:28 [1855] Warning: Possible bypass attempt. Found multiple slashes where only one is expected: http://x.ligatus.com/cgi-bin/ivw/CP/12598-599/90-1040/158082-131778-_155600-131852-//
2012-05-25 08:32:51 [2551] squidGuard 1.4 started (1337927525.588)
2012-05-25 08:32:51 [2551] db update done
2012-05-25 08:32:51 [2551] squidGuard stopped (1337927571.340)
2012-05-25 08:32:51 [2577] squidGuard 1.4 started (1337927571.365)
2012-05-25 08:32:51 [2577] db update done
2012-05-25 08:32:51 [2577] squidGuard stopped (1337927571.491)
2012-05-25 08:32:51 [1855] squidGuard stopped (1337927571.510)
2012-05-25 08:32:51 [1857] squidGuard stopped (1337927571.512)
2012-05-25 08:32:51 [1858] squidGuard stopped (1337927571.513)
2012-05-25 08:32:51 [1859] squidGuard stopped (1337927571.514)
2012-05-25 08:32:51 [1861] squidGuard stopped (1337927571.515)
2012-05-25 08:32:52 [2583] squidGuard 1.4 started (1337927571.566)
2012-05-25 08:32:52 [2582] squidGuard 1.4 started (1337927571.559)
2012-05-25 08:32:52 [2582] squidGuard ready for requests (1337927572.223)
2012-05-25 08:32:52 [2583] squidGuard ready for requests (1337927572.232)
2012-05-25 08:32:52 [2585] squidGuard 1.4 started (1337927571.579)
2012-05-25 08:32:52 [2585] squidGuard ready for requests (1337927572.236)
2012-05-25 08:32:52 [2586] squidGuard 1.4 started (1337927571.599)
2012-05-25 08:32:52 [2586] squidGuard ready for requests (1337927572.241)
2012-05-25 08:32:52 [2587] squidGuard 1.4 started (1337927571.630)
2012-05-25 08:32:52 [2587] squidGuard ready for requests (1337927572.244)

Edit (Nachtrag):
Ach ja und das Cache-Log:

2012/05/24 06:53:38| Starting Squid Cache version 2.7.STABLE9 for i386-debian-linux-gnu...
2012/05/24 06:53:39| commBind: Cannot bind socket FD 19 to *:80: (98) Address already in use
2012/05/24 06:55:02| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/24 06:55:02| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
CPU Usage: 16.689 seconds = 9.369 user + 7.320 sys
Maximum Resident Size: 221888 KB
Page faults with physical i/o: 1
Memory usage for squid via mallinfo():
	total space in arena:   51424 KB
	Ordinary blocks:        51240 KB    470 blks
	Small blocks:               0 KB      7 blks
	Holding blocks:          1512 KB      4 blks
	Free Small blocks:          0 KB
	Free Ordinary blocks:     183 KB
	Total in use:           52752 KB 100%
	Total free:               183 KB 0%
2012/05/24 11:52:21| Starting Squid Cache version 2.7.STABLE9 for i386-debian-linux-gnu...
2012/05/24 11:52:19| commBind: Cannot bind socket FD 19 to *:80: (98) Address already in use
2012/05/24 11:52:51| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/24 11:52:51| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
2012/05/24 12:59:51| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/24 12:59:51| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
2012/05/24 13:04:24| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/24 13:04:24| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
2012/05/24 14:15:14| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/24 14:15:14| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
2012/05/24 14:23:58| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/24 14:23:58| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
CPU Usage: 99.470 seconds = 52.631 user + 46.839 sys
Maximum Resident Size: 1367888 KB
Page faults with physical i/o: 1
Memory usage for squid via mallinfo():
	total space in arena:  338372 KB
	Ordinary blocks:       337662 KB   2021 blks
	Small blocks:               0 KB      7 blks
	Holding blocks:          1512 KB      4 blks
	Free Small blocks:          0 KB
	Free Ordinary blocks:     709 KB
	Total in use:          339174 KB 100%
	Total free:               710 KB 0%
2012/05/25 08:55:21| Starting Squid Cache version 2.7.STABLE9 for i386-debian-linux-gnu...
2012/05/25 08:55:22| commBind: Cannot bind socket FD 19 to *:80: (98) Address already in use
2012/05/25 06:45:34| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/25 06:45:34| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
2012/05/25 07:00:23| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/25 07:00:23| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use
2012/05/25 08:32:51| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"
2012/05/25 08:32:51| commBind: Cannot bind socket FD 16 to *:80: (98) Address already in use

 

[marcellus]

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 10.0.0.254:80           0.0.0.0:*               LISTEN      967/lighttpd

Dein lighttpd läuft auf Port 80, wenn der squidguard auch dorthin soll geht das natürlich nicht. Ich frag mich aber wie das sein kann, dass der squid zuerst läuft und dann vom lighttpd verdrängt wird. Ich würd aber auf jeden fall schauen, dass die Ports von lighttpd und squid sicher auf unterschiedliche Werte gesetzt sind.

Wenn wir gerade dabei sind

2012/05/24 14:23:58| aclParseAclLine: WARNING: empty ACL: acl gesperrte_clients src "/etc/squid/blocked_ips.txt"

Acls, die es nicht gibt zu inkludieren macht das logfile nur schwerer zu lesen.

 

[worker]

Hm, also squid ist auf Port 3128 festgesetzt (http_port 10.0.0.254:3128 transparent).

Lighttpd (LAN-Websites) ist normal erreichbar und der SquidGuard gibt ganz normal eine html-Datei aus, wenn eine angesurfte Webseite blockiert wird.

Wieso soll(te) eigentlich der SquidGuard auf Port 80 sein? Ist mir da was entgangen? Ich dachte SquidGuard "lenkt" lediglich bei Bedarf (also bei gesperrten Seiten) auf den lighhtpd bzw. die entsprechende html-Seite um?

Btw.: Ich hab iptables so eingerichtet, dass Port 80 automatisch auf 3128 gelenkt wird. Also die Clients haben keinen Proxy eingetragen. Denke jedoch nicht, dass das ein Problem ist, oder etwa doch?

 

[doc]

ich hab zwar kein plan, aber

tcp 0 0 10.0.0.254:80 0.0.0.0:* LISTEN 967/lighttpd

und

Wieso soll(te) eigentlich der SquidGuard auf Port 80 sein? Ist mir da was entgangen? Ich dachte SquidGuard "lenkt" lediglich bei Bedarf (also bei gesperrten Seiten) auf den lighhtpd bzw. die entsprechende html-Seite um?

Btw.: Ich hab iptables so eingerichtet, dass Port 80 automatisch auf 3128 gelenkt wird. Also die Clients haben keinen Proxy eingetragen. Denke jedoch nicht, dass das ein Problem ist, oder etwa doch?

führt das nicht zu einer endlosschleife ?

 

[worker]

@doc

Nein führt es nicht. Hab mich wohl etwas ungenau ausgedrückt.
Was ich meinte ist, dass wenn ein Client (z.b. per Browser) auf nen Server (Port 80) zugreift, dann gilt die iptables-Regel und diese Leitet den Datenverkehr nicht direkt zum Angesurften-Server, sondern auf den Port 3128 des Heim-Proxy um.
Damit erspare ich es mir, bei jedem Client den Proxy manuell angeben zu müssen.

 

[marcellus]

Dein dhcp server sollte den Proxy austeilen können.

Ich weiß zwar selber nicht wieso, aber dein squid probiert sich den Port 80 zu schnappen und kann es nicht. Ich würde deine squid config nach "80" durchsuchen und schauen, ob es drinnen vorkommt.

 

[worker]

Ich weiß zwar selber nicht wieso, aber dein squid probiert sich den Port 80 zu schnappen und kann es nicht.

Wie kommst Du zu dieser Annahme?

Du zeigst weiter oben auf das hier:

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 10.0.0.254:80           0.0.0.0:*               LISTEN      967/lighttpd

Wo ist da ne Verbindung zum Squid?
Btw.: In der Squid-Config steht nichts mit "Port 80".

Was meinst Du mit

Dein dhcp server sollte den Proxy austeilen können.

?

 

[marcellus]

Wie kommst Du zu dieser Annahme?

Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 10.0.0.254:80           0.0.0.0:*               LISTEN      967/lighttpd

Wo ist da ne Verbindung zum Squid?
Btw.: In der Squid-Config steht nichts mit "Port 80".

2012/05/24 06:53:38| Starting Squid Cache version 2.7.STABLE9 for i386-debian-linux-gnu...
2012/05/24 06:53:39| commBind: Cannot bind socket FD 19 to *:80: (98 ) Address already in use
2012/05/24 06:55:02| commBind: Cannot bind socket FD 16 to *:80: (98 ) Address already in use
...
2012/05/24 11:52:21| Starting Squid Cache version 2.7.STABLE9 for i386-debian-linux-gnu...
2012/05/24 11:52:19| commBind: Cannot bind socket FD 19 to *:80: (98 ) Address already in use
2012/05/24 11:52:51| commBind: Cannot bind socket FD 16 to *:80: (98 ) Address already in use
2012/05/24 12:59:51| commBind: Cannot bind socket FD 16 to *:80: (98 ) Address already in use
2012/05/24 13:04:24| commBind: Cannot bind socket FD 16 to *:80: (98 ) Address already in use
2012/05/24 14:15:14| commBind: Cannot bind socket FD 16 to *:80: (98 ) Address already in use
2012/05/24 14:23:58| commBind: Cannot bind socket FD 16 to *:80: (98 ) Address already in use
...
2012/05/25 08:55:21| Starting Squid Cache version 2.7.STABLE9 for i386-debian-linux-gnu...
2012/05/25 08:55:22| commBind: Cannot bind socket FD 19 to *:80: (98 ) Address already in use

Ich hab zugegebenerweise die Warnungen zu einer nichtexistenten ACL gelöscht und die starteinträge durch "..." erstetzt, aber mir sieht das aus, als wollte etwas den Port 80 haben.

Was meinst Du mit

Dein dhcp server sollte den Proxy austeilen können.

?

Die iptables Rule mit der Weiterleitung über Port 80 kannst du dir schenken, dein dhcp server sollte dem Netzwerk den http proxy austeilen.

 

[worker]

Argh ....

Muss mich bei Dir marcellus entschuldigen.
Ganz am Ende der Squid-Config stand dann doch Port 80 drinnen (http_port 80 vhost) *schäm* - das war wohl ein Überbleibsel vom Test oder sonst was.

Also im Moment (seit gestern) läuft der Squid(-Guard) wie erwünscht. Muss das mal weiterhin beobachten.
Hab jetzt cache_mem etwas hochgedreht gestern - vielleicht ist's das gewesen.

Die iptables Rule mit der Weiterleitung über Port 80 kannst du dir schenken, dein dhcp server sollte dem Netzwerk den http proxy austeilen.

Ob das z.B. Firefox juckt, wie die Netzwerk-Systemeinstellungen sind?
Man kann das doch auch in Firefox bei den Einstellungen angeben/auswählen.

 

[marcellus]

Statt iptables zu bemühen die Ports umzuleiten würd ich eher den http_proxy über den dhcp server mitgeben und dann alle Direktzugriffe mitloggen, um zu sehen, wer sich probiert am Proxy vorbeizuschummeln.

Vllt bin ich auch einfach nur ein ärgerer Bofh, als du.

E: der firefox liest die proxy config normal aus der Systemvariable "http_proxy" raus, das geht sogar schon bei lynx, der firefox hält sich sicher dran.

 

[worker]

*rofl* .... "Bofh"

Naja, hier wird niemand versuchen sich am Proxy vorbeizuschmuggeln, weil hier niemand nen Plan davon hat. Vielleicht dann, wenn die Kids älter sind .

In jedem Fall danke für Deine Hilfe.

Melde mich dann eventuell nochmal, wenn's doch nicht laufen sollte.

LG
worker