Error cache access denied

I’m trying to create an anonymous squid server.

I’ve installed squid with with yum install squid

Here’s my /etc/squid/squid.conf file:

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow all

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 1234

# We recommend you to use at least the following line.
#hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|?) 0     0%      0
refresh_pattern .               0       20%     4320

forwarded_for delete
via delete

The server works fine. Except, when I’m trying to log into my google, account, it requires authorization (it shouldn’t) and than fails with:

ERROR
Cache Access Denied.

The following error was encountered while trying to retrieve the URL: https://accounts.google.com/*

    Cache Access Denied.

Sorry, you are not currently allowed to request https://accounts.google.com/* from this cache until you have authenticated yourself.

Why am I getting this, and how do I fix it?

Since autoupdate FF from version 19 to 20 I can’t acces any sites through our squid http proxy over domain authentication. Problem is the same on 2 PCs, one with Windows XP, and one with Windows 7. IE and older FF versions works fine.

Problem is NOT related to foxy proxy — I’ve already tried without any add-ons.

With https connections, FF just informs thath proxy server refuse connection.
With http squid error page is displayed:

ERROR
Cache Access Denied.

The following error was encountered while trying to retrieve the URL: http://www.mozilla.org/

   Cache Access Denied.

Sorry, you are not currently allowed to request http://www.mozilla.org/ from this cache until you have authenticated yourself.

Please contact the cache administrator if you have difficulties authenticating yourself or change your default password.

Generated Tue, 09 Apr 2013 19:19:13 GMT by proxy (squid/3.1.6)

Я пытаюсь создать анонимный сервер Squid.

Я установил squid с помощью yum install squid

Вот мой файл /etc/squid/squid.conf :

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow all

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 1234

# We recommend you to use at least the following line.
#hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|?) 0     0%      0
refresh_pattern .               0       20%     4320

forwarded_for delete
via delete

Сервер работает нормально. За исключением случаев, когда я пытаюсь войти в свою учетную запись Google, требуется авторизация (не должна), а затем происходит сбой:

ERROR
Cache Access Denied.

The following error was encountered while trying to retrieve the URL: https://accounts.google.com/*

    Cache Access Denied.

Sorry, you are not currently allowed to request https://accounts.google.com/* from this cache until you have authenticated yourself.

Почему я это получаю, и как мне это исправить?

Squid error err cache access denied

Не раз уже обсуждалась данная проблема.
Настраиваю squid + аутентификация в Windows 2000 домене.
Позникла следующая ошибка при обращении к прокси.
Вот лог.

userproxy# tail -1 /usr/local/squid/var/logs/access.log
1114539495.401 0 10.66.64.166 TCP_DENIED/407 1772 GET http://www.compulenta.ru/favicon.ico — NONE/- text/html [Host: www.compulenta.rurnUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7.6) Gecko/20050318 Firefox/1.0.2rnAccept: image/png,*/*;q=0.5rnAccept-Language: ru-ru,ru;q=0.5rnAccept-Encoding: gzip,deflaternAccept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7rnKeep-Alive: 300rnProxy-Connection: keep-alivernCookie: BITRIX_SM_LAST_ADV=6; BITRIX_SM_BANNERS=1_15_260_03052005,1_96_85_03052005,6_64_83_03052005,1_16_140_03052005,6_65_84_03052005,6_90_43_03052005,6_92_41_03052005,1_150_79_03052005,6_77_39_03052005,6_58_9_03052005,6_70_4_29042005,6_93_10_03052005,6_67_1_02052005,6_78_2_02052005,1_116_1_03052005; BITRIX_SM_LAST_VISIT=26.04.2005+21:25:17; BITRIX_SM_GUEST_ID=2730775rnProxy-Authorization: NTLM TlRMTVNTUAADAAAAGAAYAGUAAAAYABgAfQAAAAcABwBIAAAACgAKAE8AAAAMAAwAWQAAAAAAAACVAAAABgIAAgUBKAoAAAAPQkFOS1NQQk5JS09MQUVWQUFDRC0xMjVBLU5JQ0sPProIr2yUfHN9sL92LURjn5Vi3OwhEYszeqDrmK7vv+R17aQvskCSjxsjhr7ST3w=rn] [HTTP/1.0 407 Proxy Authentication RequiredrnServer: squid/2.5.STABLE9rnMime-Version: 1.0rnDate: Tue, 26 Apr 2005 18:18:15 GMTrnContent-Type: text/htmlrnContent-Length: 1360rnExpires: Tue, 26 Apr 2005 18:18:15 GMTrnX-Squid-Error: ERR_CACHE_ACCESS_DENIED 0rnProxy-Authenticate: NTLM TlRMTVNTUAACAAAAAAAAADAAAAASAgAAQZIhe13yv2YAAAAAAAAAAAAAAAAwAAAArnr]

Что проверял:
userproxy# /usr/local/samba/bin/wbinfo -t
checking the trust secret via RPC calls succeeded
Работает.

userproxy# /usr/local/samba/bin/wbinfo -p
Ping to winbindd succeeded on fd 4
Работает.

userproxy# /usr/local/samba/bin/wbinfo -u
MYDOMENuser1
MYDOMENuser2
MYDOMENuser3
MYDOMENuser4
MYDOMENuser5
Работает.

bash-3.00# /usr/local/samba/bin/ntlm_auth —helper-protocol=squid-2.5-basic
MYDOMENuser_name_admin_access passwor
OK
Работает.

Убираю авторизацию в домене и пускаю по IP — прокси работает.

Подскажите, как это побороть.

Прилогаю конфиги и права на директории:

http_port 8080
icp_port 0
cache_peer 217.195.86.4 parent 8080 0 default no-query
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
cache_mem 8 MB
maximum_object_size 1024 KB
minimum_object_size 5 KB
cache_dir ufs /cache 1000 16 128
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
cache_store_log none
log_mime_hdrs on
pid_filename /usr/local/squid/var/logs/squid.pid
dns_nameservers 10.66.64.10 10.66.80.10
auth_param ntlm program /usr/local/samba/bin/ntlm_auth —helper-protocol=squid-2.5-ntlmssp —require-membership-of=»MY_DOMEN\proxy-users»
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/samba/bin/ntlm_auth —helper-protocol=squid-2.5-basic —require-membership-of=»MY_DOMEN\proxy-users»
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
request_body_max_size 900 KB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
positive_dns_ttl 12 hours
half_closed_clients off
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl CONNECT method CONNECT

acl NTLMauth proxy_auth REQUIRED
http_access allow NTLMauth

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny all
http_reply_access allow all
icp_access deny all
reply_body_max_size 900000 allow all
cache_mgr webmaster@mydomen.ru
cache_effective_user nobody
cache_effective_group nobody
visible_hostname userproxy.mydomen.ru
httpd_accel_uses_host_header on
logfile_rotate 30
append_domain .mydomen.ru
memory_pools on
memory_pools_limit 50 MB
forwarded_for off
log_icp_queries off
client_db off
acl local-servers dstdomain .mydomen.ru
always_direct allow local-servers
uri_whitespace strip
never_direct allow all
prefer_direct off
strip_query_terms off
coredump_dir /cache
client_persistent_connections off
server_persistent_connections on

userproxy# cat /usr/local/samba/lib/smb.conf
[global]
workgroup = MYDOMEN
netbios name = userproxy
server string = userproxy.mydomen.ru
hosts allow = 10. 127.
winbind separator=\
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
max log size = 50
security = domain
password server = srv1 srv3
encrypt passwords = yes

userproxy# ls -l /
total 59
-rw-r—r— 2 root wheel 801 Nov 5 04:27 .cshrc
-rw-r—r— 2 root wheel 251 Nov 5 04:27 .profile
drwxrwxr-x 2 root operator 512 Apr 26 14:01 .snap
-r—r—r— 1 root wheel 6184 Nov 5 04:27 COPYRIGHT
drwxr-xr-x 2 root wheel 1024 Apr 26 14:02 bin
drwxr-xr-x 5 root wheel 512 Apr 26 14:02 boot
drwxr-xr-x 19 nobody nobody 512 Apr 26 22:05 cache — сюда кеширует — отдельрый раздел
drwxr-xr-x 2 root wheel 512 Apr 26 14:02 cdrom

userproxy# ls -l /usr/local/samba/
total 16
drwxr-xr-x 2 root wheel 1024 Apr 26 22:02 bin
drwxr-xr-x 2 root wheel 512 Apr 26 22:02 include
drwxr-xr-x 8 root wheel 512 Apr 26 22:02 lib
drwxr-xr-x 6 root wheel 512 Apr 26 11:37 man
drwxr-xr-x 2 root wheel 512 Apr 26 12:06 private
drwxr-xr-x 2 root wheel 512 Apr 26 22:02 sbin
drwxr-xr-x 7 root wheel 512 Apr 26 11:37 swat
drwxr-xr-x 3 root wheel 512 Apr 26 12:07 var

userproxy# ls -l /usr/local/samba/var/locks/winbindd_privileged/
total 0
srwxrwxrwx 1 root nobody 0 Apr 26 22:04 pipe

Убираем авторизацию в домене и пускаем по IP — все велликолепно работает.

http_port 8080
icp_port 0
cache_peer 217.195.86.4 parent 8080 0 default no-query
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
cache_mem 8 MB
maximum_object_size 1024 KB
minimum_object_size 5 KB
cache_dir ufs /cache 1000 16 128
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
cache_store_log none
log_mime_hdrs on
pid_filename /usr/local/squid/var/logs/squid.pid
dns_nameservers 10.66.64.10 10.66.80.10
request_body_max_size 900 KB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
positive_dns_ttl 12 hours
half_closed_clients off
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl CONNECT method CONNECT
acl Test src 10.66.64.166
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow Test
http_access deny all
http_reply_access allow all
icp_access allow Test
reply_body_max_size 900000 allow all
cache_mgr webmaster@mydomen.ru
cache_effective_user nobody
cache_effective_group nobody
visible_hostname userproxy.mydomen.ru
httpd_accel_uses_host_header on
logfile_rotate 30
append_domain .mydomen.ru
memory_pools on
memory_pools_limit 50 MB
forwarded_for off
log_icp_queries off
client_db off
acl local-servers dstdomain .mydomen.ru
always_direct allow local-servers
uri_whitespace strip
never_direct allow all
prefer_direct off
strip_query_terms off
coredump_dir /cache
client_persistent_connections off
server_persistent_connections on

Подскажите, как вылечить.

С Уважением, Александр.

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

включай debug с высоким уровнем и смотри логи

2 . «SQUID + Win2k Итог — ERR_CACHE_ACCESS_DENIED»
Сообщение от Nichls (ok) on 27-Апр-05, 15:45 (MSK)
>включай debug с высоким уровнем и смотри логи Только не увидел там ничего странного. Не подскажишь, а что там должно появиться, что могло бы пролить свет на суть проблемы.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3 . «SQUID + Win2k Итог — ERR_CACHE_ACCESS_DENIED»
Сообщение от Nichls (ok) on 27-Апр-05, 17:43 (MSK)
>включай debug с высоким уровнем и смотри логи Отключаю NTLM аутентификацию и проверяю BASIC — все работает.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4 . «SQUID + Win2k Итог — ERR_CACHE_ACCESS_DENIED»
Сообщение от Nichls (ok) on 28-Апр-05, 11:27 (MSK)
Народ! Не уж то никто с такой проблемой не сталкивался?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5 . «RE»

Сообщение от VEK (??) on 28-Апр-05, 12:23 (MSK)

Проверь права доступа на эту директорию /usr/local/samba/var/locks/winbindd_privileged/ По умолчанию ставится drwx—— root wheel Должна быть доступна для группы squid drwxr-x— root squid Источник Squid — access denied в прозрачном режиме Привет. Бьюсь со Squid, скоро сойду с ума. Имеется примерно такая сеть: http://goo.gl/8DxUqR (ничего необычного). В качестве шлюза в интернет роутер на OpenWrt, в локальной сети установлен компьютер со Squid (на Fedora, если важно). Сеть: 192.168.5.0/24. Нужно прозрачно проксировать веб-трафик через Squid. Для тестов пока использую вместо 80 другой порт — 8873. Часть /etc/config/firewall на OpenWrt: По логике все правильно, но не работает. Пытаюсь из локальной сети открыть URL http://example.com:8873/ и получаю «Доступ запрещён»: С хоста со сквидом (192.168.5.20) я могу без проблем открыть нужный URL, т.е. роутер не отправляет трафик обратно. На другой сети с похожей конфигурацией абсолютно все так же не работает. При этом Tinyproxy работает! Но Squid упорно не пускает и говорит о кольце, хотя его нет. Если в Squid отключить Via и X-Forwaded-For, то Squid не может определить кольцо и зависает. Т.е. у Squid кольцо есть, а у Tinyproxy кольца нет. В непрозрачном режиме через 3128 все работает. P.S. Tinyproxy + Squid не предлагать 🙂 В непрозрачном режиме через 3128 все работает. ну если так, то может где-то в iptables-ах забыл нужный порт открыть ? На сервере (со сквидом) правил iptables вообще никаких нет, т.е. ничего не блокируется. Точнее есть немного от Docker’а, но это не суть. Если бы файрволом ограничивалось то, страничку с 403 не отдавало бы, просто никакого ответа не было бы. На роутере тоже все открыто из локальной сети. У меня сейчас связка Tinyproxy в прозрачном режиме + Squid в непрозрачном нормально работает, так же через 3129 порт. А просто Squid в прозрачном не хочет работать. Такое ощущение что сам на себе замыкается почему-то. ссылка на дропбокс не работает. подправь плс, попытаюсь понять схему. Там все просто: один роутер, для доступа в инет, компьютеры подключены к роутеру по локальной сети, сервер со Squid в той же сети. Отвлекаясь от Forwarding loop, вам не кажется ненормальным вот это: 1416963429.856 1 192.168.5.1 TCP_MISS/403 453 HEAD http://example.com:8873 т.е. ваш эксперимент поставлен так, не только клиент лезет на 8873 порт, но и сам squid будет безрезультатно искать HTTP сервер example.com на нем же. Почему безрезультатно? Я на VPS’ке сделал тестовую вэб-страничку на порту 8873. Или я чего-то не понимаю? Пробовал в другой сети делать тоже самое на 80 порту — абсолютно те же ошибки. Пробовал внутри Docker поднимать Squid на CentOS — тоже никак 🙁 Тогда ОК. Вот буквально ваш случай, без решения, но может чем-то поможет: У меня эта ссылка уже даже как посещенная подсвечена 🙁 Похоже там так и не решили проблему. С маркировкой пакетов лень возиться, а все остальное я уже пробовал. Помимо этого находил и другие похожие случаи, но либо проблему не решили, либо задачи разные. Причем проблема явно где-то в Squid, потому что Tinyproxy работает отлично, даже в связке со Squid. Но хотелось бы сделать нормально, без Tinyproxy. Ну так и попробуйте маркировку, раз ничто другое не помогает. В вашем же примере с iptables написано: «6.1 First method (simpler, but does not work for some esoteric cases)». В общем эзотерика как она есть. Кто-то пишет, что просто обновление версии squid на том же конфиге может привести к подобной неработоспособности. Так что Tinyproxy — не показатель. На том же хосте поднял Squid 3.1.19 (был 3.3.13) в контейнере с Ubuntu 12.04 — все работает. Видимо надо читать changelog. А Tinyproxy сегодня завис. Ну вот это вот видимо оно и есть. «The HTTP Host: header cannot be trusted much in interception mode (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0801). Squid-3.2 and later will verify that 192.168.0.2:3128 IP address NAT delivered belongs to the Host: header domain before allowing the Host: header to be used. When it fails (as it will fail 100% on your system) Squid will be transparent and pass the request on t the same place the cleint was connection. On your system Squid is transparently relaying the intercepted traffic to the web server it is being told exists at 192.168.0.1:3128. Routers need to *route* the port 80 traffic to the Squid box *without* using NAT.» Источник Adblock detector