Le cache squid ne fonctionne pas

luke04 · Novembre 30, 2022, 1:44pm

Bonjour, je lance ce 2 sujet car 'ai un petit problème j’ai installer squid pour que mon proxy fasse de gestion de la performance (mise en cache plus précisément) le problème étant que lors d’une deuxième connexion aux même dépôt le proxy va directement sur internet. Je ne comprend pas pourquoi il va pas d’abord chercher dans son cache
j’ai regarder les logs et

voila ce qu’il m’affiche :

TCP_MISS/304 446 GET http://security.debian.org/debian-security/dists/bullseye-security/InRelease - HIER_DIRECT/151.101.2.132 -1669811822.644   
  85 @IP TCP_MISS/304 304 GET http://apt.postgresql.org/pub/repos/apt/dists/bullseye-pgdg/InRelease - HIER_DIRECT/87.238.57.227 -
1669811822.844    284 @IP TCP_MISS/404 882 GET http://repo.mongodb.org/apt/debian/dists/bullseye/mongodb-org/5.0/InRelease - HIER_DIRECT/52.222.158.29 text/html
1669811822.965    120@ IP TCP_MISS/304 517 GET http://repo.mongodb.org/apt/debian/dists/bullseye/mongodb-org/5.0/Release - HIER_DIRECT/52.222.158.29 -
1669811823.623   1059 @IP TCP_MISS/304 406 GET http://deb.debian.org/debian/dists/bullseye/InRelease - HIER_DIRECT/151.101.122.132 -
1669811823.635     12 @IP TCP_MISS/304 407 GET http://deb.debian.org/debian/dists/bullseye-updates/InRelease - HIER_DIRECT/151.101.122.132 -
1669811823.647     11 @IP  TCP_MISS/304 406 GET http://deb.debian.org/debian/dists/bullseye-backports/InRelease - HIER_DIRECT/151.101.122.132 -
1669811824.674   2115 @IP TCP_TUNNEL/200 4675 CONNECT repository.pandasecurity.com:443 - HIER_DIRECT/2.22.197.110 - Texte préformaté669811865.328      2 
@IP TCP_MISS/304 407 GET http://deb.debian.org/debian/dists/bullseye/InRelease -

Mon fichier de conf est celui-ci

acl localnet src 0.0.0.1-0.255.255.255  # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8             # RFC 1918 local private network (LAN)
acl localnet src 100.64.0.0/10          # RFC 6598 shared address space (CGN)
acl localnet src 169.254.0.0/16         # RFC 3927 link-local (directly plugged) machines
acl localnet src 172.16.0.0/12          # RFC 1918 local private network (LAN)
acl localnet src 192.168.0.0/16         # RFC 1918 local private network (LAN)
acl localnet src fc00::/7               # RFC 4193 local private network range
acl localnet src fe80::/10              # RFC 4291 link-local (directly plugged) machines
acl localnet src  10.10.92.12
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
include /etc/squid/conf.d/*
http_access allow localhost
http_access allow  all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_mem 200 MB
cache_dir ufs /var/spool/squid  100 16 256

ZW3B · Novembre 30, 2022, 3:18pm

Bonjour,

si cela peut t’aider : SquidFaq/SquidAcl - Squid Web Proxy Wiki

How do I configure Squid not to cache a specific server ?

acl someserver dstdomain .someserver.com 
cache deny someserver

peut-être allow - Tu me dirais, que le cache est déjà activé, et comme la documentation le précise, que l’on peut "configurer pour ne pas cacher un serveur spécifique.

Je ne connais pas bien squid.

Salutations.
Romain

ZW3B · Novembre 30, 2022, 3:42pm

J’ajoute, que j’ai une ligne, celle-ci dans mon squid.conf

...
acl manager proto cache_object
...
http_access deny manager
...

je vérifie à quoi elle sert exactement (sûrement à l’interface de visualisation).

Sinon,

c’est peut-être lié à que la ligne :

acl CONNECT method CONNECT

correspond à http_access … donc sans cache.

Et que celles-ci :

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Dit"si différent des ports sûrs" l’accès HTTP serait non autorisés.
Dit « si l’ACL CONNECT » l’accès HTTP serait non autorisés si « différent des ports sûrs »

Et après j’ai mes allow des ACL de zones et un deny de all (tout) J’avais essayé l’inverse si je me rappelle (de mettre le deny en premier et d’autoriser après) mais çà me bloqué - je crois, j’en suis sûr même.

Dans squid, il faut bien configurer ligne par ligne dans le BON ordre de vérification/d’exécution d’une requête (demande) HTTP.

luke04 · Novembre 30, 2022, 3:42pm

merci pour ta réponse je vais chek ça et je te tiens au courent.

ZW3B · Novembre 30, 2022, 3:45pm

Debian.org/doc/manuals/ → 5.2. Sécurisation de Squid

luke04 · Décembre 2, 2022, 10:01am

je suis désoler mais je ne pense pas pas que cela soit ça.
Don si quelqu’un a une autre solution je suis preneur. Merci

ZW3B · Décembre 2, 2022, 12:19pm

Oui tu as raison… il doit cacher (squid) même en http_access dirais-je.

Tu vas trouver

ZW3B · Décembre 2, 2022, 12:23pm

Moi, je cherche les fichiers/bases des « backlists » ou comment les récupérer.

Quelqu’un saurait où ils se trouvent ? Est-ce lisible en mode humain ?