PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Unerwünschte DNS Anfragen



thomasp
24.09.13, 15:10
Hallo,

ich habe seit einigen Tagen Probleme mit meinem Squid (3.1.12, SLES 11 SP2, Konf. unten), ich habe bemerkt, dass der squid für jede eingehende HTTP-Anfrage eine DNS-query startet. Wir sitzen hinter einer firewall und können keine IPs im Internet auflösen. Mein Proxy soll eigentlich alle Anfragen an Internet-Hosts an einen parent-Proxy weiterleiten.

Ich habe mal den Netzwerkverkehr protokolliert und im wireshark sieht man:
a) die Clientanfrage kommt beim Proxy an
b) der Proxy startet eine DNS-Anfrage nach den Hostnamen
c) die Anfrage scheitert
d) der Proxy leitet die Anfrage weiter an den Parent-Proxy, bekommt die Seite und schickt sie zurück an den Client


b) und c) dauern natürlich vergleichsweise lange und sind absolut überflüssig, ich möchte weder die Zeit noch die Resourcen verschwenden.

Hat jemand eine Idee wo der Fehler stecken könnte?

Gruß
Thomas






------------------------
squid.conf:
^^^^^^^^^^^
include /mnt/squid3-shared-settings/*.conf

visible_hostname proxy.my.domain.org

hierarchy_stoplist cgi-bin ?

cache_peer parent-ip1 parent 80 7 no-query no-digest
cache_peer parent-ip2 parent 80 7 no-query no-digest
cache_peer proxy.domain.org parent 9999 7 no-query no-digest

cache_peer_access proxy.domain.org allow MYDOMAINS
cache_peer_access parent-ip1 deny MYDOMAINS
cache_peer_access parent-ip2 deny MYDOMAINS

### MEMORY CACHE OPTIONS ...
### Disk-Cache Optionen ...


------------------------------------------------
access.conf:
^^^^^^^^^^^^

acl localhost src 127.0.0.1/32
acl Safe_ports port "...SafePorts.txt"
acl SSL_ports port 443 563 8443 9443
acl CONNECT method CONNECT

acl MYNET src ip-range1
acl MYNET src ip-range2
acl MYNET ...

acl MY-LOCAL-DOMAIN dstdomain .my.domain.org

acl badURLs dstdomain "...badURLs.txt"
acl goodTLDs dstdomain "...goodTLDs.txt"
acl adminPCs src "...adminPCs.txt"
acl labPcs src "...labor-pcs.txt"


acl MYDOMAINS dstdomain .domain.org
acl MYDOMAINS dstdomain .domain.net
acl MYDOMAINS dstdomain .domain.eu


http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny labPcs
http_access allow adminPCs
http_access deny badURLs
http_access deny !goodTLDs

http_access allow MYNET
http_access deny all

htcp_access deny all
htcp_clr_access deny all

----------------------------------------------
common-server.conf:
^^^^^^^^^^^^^^^^^^^

http_port 8080
error_directory /usr/share/squid/errors/de
log_icp_queries on
cache_effective_user squid
cache_effective_group nogroup
cache_mgr me@my.domain.org

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


-----------------------------------------------------------
logging.conf:
^^^^^^^^^^^^^


logformat myformat %tl %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<A %mt
cache_access_log /var/log/squid/access.log myformat
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/log/squid/squid.pid
debug_options ALL,1

------------------------------------------------------------
request-forward.conf:
^^^^^^^^^^^^^^^^^^^^^


always_direct allow MY-LOCAL-DOMAIN

never_direct deny MY-LOCAL-DOMAIN
never_direct allow all

sam600
24.09.13, 15:20
b) der Proxy startet eine DNS-Anfrage nach den Hostnamen


gibt es einen dns server, der die lokalen namen ausloesen kann?

thomasp
24.09.13, 15:25
Hallo,


gibt es einen dns server, der die lokalen namen ausloesen kann?

Ja, die Namensauflösung für die lokalen/internen Server funktioniert und ist kein Problem.

thomasp
27.09.13, 14:35
Die Sache hat sich geklärt. Siehe Thread in squid-user Mailingliste:
http://www.mail-archive.com/squid-users@squid-cache.org/msg91634.html