El Thu, 05 Feb 2015 16:54:13 -0430, Raydel Hernández Martínez escribió: > El 05/02/15 a las 10:08, Camaleón escribió: >> El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió: >> >> No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar >> de responder al creado un mensaje nuevo? Hay que responder a los >> mensajes para que queden bien archivos, de lo contrario se pierde >> contexto. >> >>> Hola, muchas gracias por la respuestas a este hilo, he seguido cada >>> una de sus sugerencias, y por más que reviso el tema una y otra vez, >>> me sigue pareciendo que no es un problema del squid,
>> Veamos... cuando pasas a través de squid tienes problemas y cuando >> sales directamente a través del router no ¿y dices que no es problema >> del proxy? :-) > Hola, gracias por las sugerencias anteriores. Explico, las pruebas que > he realizado han sido desde la misma consola del Proxy, desde donde no > uso el servicio de Squid, porque es el mismo servidor Squid, es decir: > sin pasar por el Proxy desde el mismo proxy, realizo estas pruebas de > conexión, usando el comando: Es que eso no sirve, es decir, para hacer las pruebas tienes que hacerlo desde un cliente que accede a Internet a través del proxy de lo contrario no sirve de nada porque ya sabemos que sin pasar por Squid todo funciona bien. > root@proxy:~# openssl s_client -connect www.facebook.com:443 > > Y el mismo me arroja el error que le comentaba anteriormente, cuando en > realidad, deberia conectar sin problemas porque tiene permitido todo el > tráfico en Output en el firewall principal, esto es sin necesidad de > usar el proxy como bien le decía, por lo que he descartado que sea un > problema del Squid como tal. Entonces tienes dos problemas y no convendría mezclarlos: 1/ Problemas intermitentes de conexión desde equipos que NO pasan por proxy 2/ Problemas con Squid ya que los clientes reciben un "time out" cuando intentan acceder a la página de facebook. Para el primer problema, y si tienes cortafuegos de por medio, te digo lo mismo que con Squid: revisa los registros, en este caso de iptables, para ver que si la petición está siendo rechazada o bloqueada por algún motivo. > Otro elemento es que al sitio de facebook, si puedo mantener una > conexión a toda hora al puerto 5222 de su chat, asi como al puerto 80 > de www.facebook.com y facebook.com, claro al puerto 80 solo lo he usado > para realizar puebas de conectividad a la IP 31.13.73.1, que es la que > por https da el problema de conexión. No te fíes de las direcciones IP porque los servicios como facebook usan configuraciones redundantes, cdn, etc... y tienen varias direcciones IP asignadas a una misma máquina. (...) >>> 2- Luego hice la misma operación, pero indicando: openssl s_client >>> -connect www.facebook.com:443 Y me devuelve un error, con lo >>> siguiente: connect: Connection timed out connect:errno=110 >> Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes >> alguna regla en el proxy que permite unas conexiones pero rechaza >> otras. Hasta que no revises los registros vamos a seguir especulando lo >> que puede estar pasando ;-) > Usando el Proxy en el navegador de los clientes, por momentos puedo > entrar al sitio de facebook, pero en otros momentos no puedo, pero sin > embargo puedo entrar en cualquier otro sitio https, ya sea gmail, > google, yahoo, etc, cualquier otro sitio por https en cualquier momento > sin problemas, solo da este problema con el sitio de facebook, que es a > donde mas se generan peticiones a diario, en casi todas las horas del > día. No tengo ninguna regla en el squid.conf que deniegue el acceso a > facebook por horario, solo una regla que no permite almacenar en cache > nada del dominio facebook, todo lo solicita directamente. ¿Y qué sucede cuando los clientes acceden a facebook sin pasar por el proxy? ¿funciona, no funciona...? Si funciona bien (como creo que has indicado antes) parece lógico pensar que algo de Squid les impide la conexión. (...) >>> - Pudiera ser que Squid tuviera problema de resolución Ipv6, pero >>> sería solo con el bloque IP de facebook, el cual no puede resolver??, >>> porque con sitios como google, youtube, etc, y accesos https a otros >>> sitios no da problemas. Tengo la resolución Ipv6 desactivada en >>> sysctl.conf del sistema. >> Revisa los enlaces que te pasé, consulta los registros de squid para >> ver qué sucede realmente y prueba desactivando IPv6 (si está habilitado >> en squid) para ver si obtienes algún resultado distinto. >> >> > Revice los enlaces recomendados, solo me queda por probar la sugerencia > de desactivar el ipv6 en el Squid, porque incluso lo desactive en el > sysctl.conf del sistema, y añadí una línea en el squid.conf que indica > que todas las resoluciones dns las haga primeramente usando IPv4, lo > hice despues que ya estaba dando el problema, a ver si lo solucionaba, > pero nada, esta es la directiva: dns_v4_first on Creo que con esa directiva (dns_v4_first) no desactivas el soporte de IPv6 en squid, sólo le dices que consulte primero usando IPv4 pero igualmente usa IPv6. > El fragmento del logs de Squid es el siguiente: > > root@proxy-usr:~# tailf /var/log/squid3/access.log | grep facebook > > 1423170327.000 59993 10.13.8.12 TCP_MISS/503 0 CONNECT > 4-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 - > 1423170330.001 59990 10.13.5.20 TCP_MISS/503 0 CONNECT www.facebook.com:443 > user DIRECT/31.13.73.1 - (...) > Aquí se ve que no puede conectar con el sitio de facebook, al 443, pero > sin embargo, si puede conectar en las peticiones https de gmail, yahoo, > youtube, etc, como muestra el siguiente fragmento del log. > > 1423170677.469 10173 10.13.1.6 TCP_MISS/200 3986 CONNECT > lh3.googleusercontent.com:443 raydel DIRECT/216.58.219.97 - > 1423170695.001 59852 10.13.1.6 TCP_MISS/503 0 CONNECT www.facebook.com:443 > user DIRECT/31.13.73.1 - > 1423170699.718 11651 10.13.1.6 TCP_MISS/200 4298 CONNECT ssl.gstatic.com:443 > user DIRECT/216.58.219.131 - > 1423170699.914 198 10.13.1.6 TCP_MISS/301 745 GET http://www.youtube.com/ > user DIRECT/216.58.219.110 text/html (...) > Estuve pensando en que pudiera ser que facebook bloque por momentos mi > IP, pero desde mi PC de trabajo, no uso proxy, salgo directamente a > Internet mediante el firewall, como mismo hace el Proxy, y si puedo > conectar con facebook, sin ningún problema todo el día, en mi PC uso los > mismos DNS que usa el servidor Proxy. Si buscas en Google el significado de ese código (TCP_MISS/503) te aparecen algunas sugerencias del cuál podría ser el origen del problema: https://www.google.es/webhp?complete=0&hl=en&gws_rd=cr,ssl&ei=ptvUVIPFIIKvUf6EhKgC#complete=0&hl=en&q=TCP_MISS%2F503+facebook Por otra parte, prueba a usar distintos servidores DNS (p. ej., los de tu ISP, los de Google, los de OpenDNS...) para ver si notas alguna diferencia, es decir, si aparecen menos errores o sigue igual. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
