[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Squid

Como você tem acesso ao firewall, você pode colocar uma exceção para esse site especificamente não passar pelo proxy. 


2013/6/5 Patrick EL Youssef <wushumasters@gmail.com>
Tobias,

A limpeza do cache já havia feito e não funcionou

A regra abaixo não funciona pois todas as solicitações chegam na porta 3128 e não na 80. Ja havia testado antes tb.

O navegador também nao é pois testei em todos

Ativa o squid nao funciona, quando desativa vai.

Muito estranho

Mais alguma dica?

Valeu,
Patrick

Em 04-06-2013 15:46, Tobias Sette escreveu:
Para apagar o cache do squid faça:
service squid3 stop
rm -Rf /var/spool/squid3/*
squid3 -z
service squid3 start

Para apagar o cache do browser vai depender de cada browser. Tambem é interessante trocar de browser.

Caso nao dê certo libere no squid o dominio problematico, antes da regra que pede autenticação.

Por ultimo, voce pode possibilitar que o acesso a este dominio seja feito por fora do proxy, para isso adicione o dominio na lista de exceções do navegador (esta opção fica perto da que define o endereço do proxy) e liberar o site no firewall. Exemplo de regra no iptables:

$IPTABLES -A FORWARD -p tcp -s $REDE -d 200.142.253.26 --dport 80 -j ACCEPT

Nota: 200.142.253.26 é o ip que atende por painel.arpe.com.br. Caso voce utilize este mesmo procedimento para sites maiores é provavel que hajam varios ips responsaveis pelo dominio, neste caso utilize este site http://pop.robtex.com para fazer a consulta do range de ips, ele vai aparecer na coluna route do registro a.


Att,

Tobias

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
------END GEEK CODE BLOCK------



Em 4 de junho de 2013 14:22, Patrick EL Youssef <wushumasters@gmail.com> escreveu:
Não da nenhum erro

Ele fica carregando infinitamente

As vezes carrega só um pedaço do site

Fiz isso do cache e ficou a mesma coisa

Valeu,
Patrick

Em 04-06-2013 13:44, Tobias Sette escreveu:
Ops, acabou que estavamos conversando fora da lista.

Qual erro ocorre no site?

Limpe o cache do squid e do navegador e tente novamente.

Att,

Tobias

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
------END GEEK CODE BLOCK------



Em 4 de junho de 2013 11:28, Patrick EL Youssef <wushumasters@gmail.com> escreveu:
Opa Alexandre,

Primeiramente obrigado a todos

O Tobias me encaminhou este link e é exatamente o mesmo caso porém não é um site de banco
http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-lidar-com-sites-de-bancos-OU-Permitir-determinados-sites-de-sairem-pela-porta-80/

Meu squid esta na versão 3.1.6 que é a versão do debian squeeze e segue o squid.conf

http_port 192.168.1.1:3128
error_directory /usr/share/squid3/errors/Portuguese
httpd_suppress_version_string on

cache_mem 512 MB

maximum_object_size_in_memory 64 KB
maximum_object_size 800 MB
minimum_object_size 10 KB

cache_swap_low 90
cache_swap_high 95

cache_dir ufs /var/spool/squid3 2048 32 512
cache_access_log /var/log/squid3/access.log

refresh_pattern ^ftp: 5 20% 2280
refresh_pattern ^gopher: 5 0% 2280
refresh_pattern . 5 20% 2280

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregister ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

auth_param basic realm SQUID
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/.squid_passwd
auth_param basic children 5

acl palavras_comuns url_regex -i "/etc/squid3/palavras_comuns"
acl diretoria proxy_auth usuario
acl autenticados proxy_auth REQUIRED

http_access allow diretoria
http_access deny palavras_comuns
http_access allow autenticados

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access deny to_localhost
http_access allow redelocal
http_access deny all

Meu firewall:

IPTABLES=`which iptables`
EXT=eth1
EXT2=eth2
INT=eth0
REDE=192.168.1.0/24

#----CARREGA OS MODULOS DO IPTABLES----
modprobe ip_tables
modprobe iptable_nat

#----LIMPA AS TABELAS JA EXISTENTES----
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t filter -F
$IPTABLES -t mangle -F
$IPTABLES -X -t nat

#----PROTEGE CONTRA SYN-FLOOD------
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#----CONTRA TRACEROUTE-----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
#----PROTEGE CONTRA RESPONSES BOGUS-----
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#----NAO RESPONDE A PING------
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#----DESATIVA O PING BROADCAST-----
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#----IMPEDE ALTERACAO DE ROTAS----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#----DESCARTA PACOTES MAL FORMADOS----
$IPTABLES -A INPUT -m state --state INVALID -j DROP

#-----BLOQUEANDO TRACEROUTE------
$IPTABLES -A INPUT -p udp -s 0/0 -i $EXT --dport 33435:33525 -j DROP
# Habilitar verificacao de rota de origem (Protecao p/ IP Spoofing)
for RP in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $RP ; done

#----SETA A POLITICA PADRAO DO FIREWALL----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -I FORWARD -p tcp -s 192.168.1.0/24 -i $INT --dport 80 -j DROP

#$IPTABLES -A INPUT -j LOG

#----LIBERA A PORTA 7022 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL SSH "
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT


#----LIBERA A PORTA 80 APENAS PARA A REDE INTERNA E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix "APACHE "
$IPTABLES -A INPUT -p tcp -s $REDE --dport 80 -j ACCEPT

#----LIBERA A PORTA 2564 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p udp --dport 1194 -j LOG --log-prefix "OPENVPN "
$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT

$IPTABLES -t nat -s $REDE -A POSTROUTING -o $EXT -j MASQUERADE
$IPTABLES -t nat -s 10.0.0.0/24 -A POSTROUTING -o $INT -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward


#----LIMITA O PING PARA UMA RESPOSTA POR SEGUNDO----
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#----PERMITE PACOTES DE CONEXOES JA INICIADAS-----
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#----LOGA OS PACOTES MORTOS POR INATIVIDADE---- 
$IPTABLES -A FORWARD -m limit --limit  3/minute --limit-burst 3 -j LOG

#----PROTECAO CONTRA ATAQUES DO TIPO SYN-FLOOD,DOS,ETC----
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#----PROTECAO CONTRA PACOTES QUE PODEM PROCURAR E OBTER INFORMACOES DA REDE INTERNA---
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

#----PRECAUCAO CONTRA FALHAS NO NAT----
$IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP

$IPTABLES -A INPUT -p udp -s 208.67.222.222 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.222.222 -j ACCEPT
$IPTABLES -A INPUT -p udp -s 208.67.220.220 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.220.220 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT
#$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT

#---LIBERA A PORTA NTP---
$IPTABLES -A FORWARD -p udp --dport 123 -j ACCEPT

#----ABRE PARA A REDE LOCAL
#$IPTABLES -A INPUT -p tcp --syn -s $REDE -j ACCEPT

#---LIBERA PARA A REDE INTERNA----
$IPTABLES -A INPUT -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -d $REDE -j ACCEPT

#---LIBERA O LOCALHOST----
$IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT

#----FECHA O RESTO DA REDE----
$IPTABLES -A INPUT -p tcp -j DROP

O problema é que as requisições chegam na porta 3128 e nao na 80 então no firewall nao consegui fazer isso

Quando eu tento acessar o site ele me retorna ou TCP/000 ou TCP/304

Obrigado
Patrick

Em 04-06-2013 08:30, Alexandre Borges Souza escreveu:
Fala, Patrick

Tens como passar-nos a configuração do squid e firewall? Assim podemos lhe ajudar.

Abraços,


Em 31 de maio de 2013 22:08, Patrick EL Youssef <wushumasters@gmail.com> escreveu:
Olá Pessoal,


Sou novo na lista e estou com um problema

Tem um site em especifico que não consigo acessar quando estou atras do squid mesmo ele estando com autenticação ou não

Quando desabilito ele funciona normalmente

Eu tenho uma conf de DHCP + DNS + Squid para solicitar autenticação sem precisar configurar o navegador

Tentei algumas regras do squid com o nome da url mas nada

Fiz algumas regras de firewall para passar por fora mas pelo visto não funcionou, imagino que a regra deva estar errada

Alguém tem alguma dica para me ajudar

Lembrando que todo meu trafego vai pra porta 3128

Obrigado,
Patrick


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 51A94981.60803@gmail.com" target="_blank">http://lists.debian.org/[🔎] 51A94981.60803@gmail.com




--
Alexandre Borges Souza

E-mail: aborgessouza@gmail.com / xandelg_sc@yahoo.com.br
WEB: http://www.alexandresouza.pro.br/
MSN: alexandreborgessouza@hotmail.com








--
Bruno Ayub
Reply to: