Depois de apanhar tanto achei a solução
Primeiro foi a regra do Tobias, eu ja tinho testado essa regra porém foi necessário fazer o seguinte no arquivo wpad.dat
function FindProxyForURL(url, host) {
if(dnsDomainIs(host, "painel.arpe.com.br"))
return "DIRECT";
else
return "PROXY 192.168.1.1:3128";
}
Obrigado a todos pela ajuda
Em breve colocarei no meu blog a solução tuxmarcial.blogspot.com
Grato,
Patrick
Em 06-06-2013 00:21, Tobias Sette escreveu:
Patrick, mencionei no ultimo e-mail como adicionar a exceção:
Por ultimo, voce pode possibilitar que o acesso a este dominio seja feito por fora do proxy, para isso adicione o dominio na lista de exceções do navegador (esta opção fica perto da que define o endereço do proxy) e liberar o site no firewall. Exemplo de regra no iptables:
$IPTABLES -A FORWARD -p tcp -s $REDE -d 200.142.253.26 --dport 80 -j ACCEPT
Nota: 200.142.253.26 é o ip que atende por painel.arpe.com.br. Caso voce utilize este mesmo procedimento para sites maiores é provavel que hajam varios ips responsaveis pelo dominio, neste caso utilize este site http://pop.robtex.com para fazer a consulta do range de ips, ele vai aparecer na coluna route do registro a.
Att,
Tobias
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
------END GEEK CODE BLOCK------
Em 5 de junho de 2013 12:52, Patrick EL Youssef <wushumasters@gmail.com> escreveu:
Mas como eu coloco essa exceção se o proxy é automático via wpad e a requisição chega direto na porta 3128?
Valeu,
Patrick
Em 05-06-2013 09:58, Bruno Ayub escreveu:
Como você tem acesso ao firewall, você pode colocar uma exceção para esse site especificamente não passar pelo proxy.
2013/6/5 Patrick EL Youssef <wushumasters@gmail.com>
Tobias,
A limpeza do cache já havia feito e não funcionou
A regra abaixo não funciona pois todas as solicitações chegam na porta 3128 e não na 80. Ja havia testado antes tb.
O navegador também nao é pois testei em todos
Ativa o squid nao funciona, quando desativa vai.
Muito estranho
Mais alguma dica?
Valeu,
Patrick
Em 04-06-2013 15:46, Tobias Sette escreveu:
Para apagar o cache do squid faça:service squid3 stoprm -Rf /var/spool/squid3/*squid3 -zservice squid3 start
Para apagar o cache do browser vai depender de cada browser. Tambem é interessante trocar de browser.
Caso nao dê certo libere no squid o dominio problematico, antes da regra que pede autenticação.
Por ultimo, voce pode possibilitar que o acesso a este dominio seja feito por fora do proxy, para isso adicione o dominio na lista de exceções do navegador (esta opção fica perto da que define o endereço do proxy) e liberar o site no firewall. Exemplo de regra no iptables:
$IPTABLES -A FORWARD -p tcp -s $REDE -d 200.142.253.26 --dport 80 -j ACCEPT
Nota: 200.142.253.26 é o ip que atende por painel.arpe.com.br. Caso voce utilize este mesmo procedimento para sites maiores é provavel que hajam varios ips responsaveis pelo dominio, neste caso utilize este site http://pop.robtex.com para fazer a consulta do range de ips, ele vai aparecer na coluna route do registro a.
Att,
Tobias
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
------END GEEK CODE BLOCK------
Em 4 de junho de 2013 14:22, Patrick EL Youssef <wushumasters@gmail.com> escreveu:
Não da nenhum erro
Ele fica carregando infinitamente
As vezes carrega só um pedaço do site
Fiz isso do cache e ficou a mesma coisa
Valeu,
Patrick
Em 04-06-2013 13:44, Tobias Sette escreveu:
Ops, acabou que estavamos conversando fora da lista.
Qual erro ocorre no site?
Limpe o cache do squid e do navegador e tente novamente.
Att,
Tobias
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
------END GEEK CODE BLOCK------
Em 4 de junho de 2013 11:28, Patrick EL Youssef <wushumasters@gmail.com> escreveu:
Opa Alexandre,
Primeiramente obrigado a todos
O Tobias me encaminhou este link e é exatamente o mesmo caso porém não é um site de banco
http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-lidar-com-sites-de-bancos-OU-Permitir-determinados-sites-de-sairem-pela-porta-80/
Meu squid esta na versão 3.1.6 que é a versão do debian squeeze e segue o squid.conf
http_port 192.168.1.1:3128
error_directory /usr/share/squid3/errors/Portuguese
httpd_suppress_version_string on
cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 800 MB
minimum_object_size 10 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 32 512
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 5 20% 2280
refresh_pattern ^gopher: 5 0% 2280
refresh_pattern . 5 20% 2280
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregister ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
auth_param basic realm SQUID
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/.squid_passwd
auth_param basic children 5
acl palavras_comuns url_regex -i "/etc/squid3/palavras_comuns"
acl diretoria proxy_auth usuario
acl autenticados proxy_auth REQUIRED
http_access allow diretoria
http_access deny palavras_comuns
http_access allow autenticados
acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access deny to_localhost
http_access allow redelocal
http_access deny all
Meu firewall:
IPTABLES=`which iptables`
EXT=eth1
EXT2=eth2
INT=eth0
REDE=192.168.1.0/24
#----CARREGA OS MODULOS DO IPTABLES----
modprobe ip_tables
modprobe iptable_nat
#----LIMPA AS TABELAS JA EXISTENTES----
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t filter -F
$IPTABLES -t mangle -F
$IPTABLES -X -t nat
#----PROTEGE CONTRA SYN-FLOOD------
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#----CONTRA TRACEROUTE-----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
#----PROTEGE CONTRA RESPONSES BOGUS-----
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#----NAO RESPONDE A PING------
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#----DESATIVA O PING BROADCAST-----
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#----IMPEDE ALTERACAO DE ROTAS----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#----DESCARTA PACOTES MAL FORMADOS----
$IPTABLES -A INPUT -m state --state INVALID -j DROP
#-----BLOQUEANDO TRACEROUTE------
$IPTABLES -A INPUT -p udp -s 0/0 -i $EXT --dport 33435:33525 -j DROP
# Habilitar verificacao de rota de origem (Protecao p/ IP Spoofing)
for RP in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $RP ; done
#----SETA A POLITICA PADRAO DO FIREWALL----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -I FORWARD -p tcp -s 192.168.1.0/24 -i $INT --dport 80 -j DROP
#$IPTABLES -A INPUT -j LOG
#----LIBERA A PORTA 7022 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL SSH "
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
#----LIBERA A PORTA 80 APENAS PARA A REDE INTERNA E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix "APACHE "
$IPTABLES -A INPUT -p tcp -s $REDE --dport 80 -j ACCEPT
#----LIBERA A PORTA 2564 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p udp --dport 1194 -j LOG --log-prefix "OPENVPN "
$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT
$IPTABLES -t nat -s $REDE -A POSTROUTING -o $EXT -j MASQUERADE
$IPTABLES -t nat -s 10.0.0.0/24 -A POSTROUTING -o $INT -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#----LIMITA O PING PARA UMA RESPOSTA POR SEGUNDO----
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#----PERMITE PACOTES DE CONEXOES JA INICIADAS-----
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#----LOGA OS PACOTES MORTOS POR INATIVIDADE----
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG
#----PROTECAO CONTRA ATAQUES DO TIPO SYN-FLOOD,DOS,ETC----
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
#----PROTECAO CONTRA PACOTES QUE PODEM PROCURAR E OBTER INFORMACOES DA REDE INTERNA---
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
#----PRECAUCAO CONTRA FALHAS NO NAT----
$IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP
$IPTABLES -A INPUT -p udp -s 208.67.222.222 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.222.222 -j ACCEPT
$IPTABLES -A INPUT -p udp -s 208.67.220.220 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.220.220 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT
#$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
#---LIBERA A PORTA NTP---
$IPTABLES -A FORWARD -p udp --dport 123 -j ACCEPT
#----ABRE PARA A REDE LOCAL
#$IPTABLES -A INPUT -p tcp --syn -s $REDE -j ACCEPT
#---LIBERA PARA A REDE INTERNA----
$IPTABLES -A INPUT -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -d $REDE -j ACCEPT
#---LIBERA O LOCALHOST----
$IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT
#----FECHA O RESTO DA REDE----
$IPTABLES -A INPUT -p tcp -j DROP
O problema é que as requisições chegam na porta 3128 e nao na 80 então no firewall nao consegui fazer isso
Quando eu tento acessar o site ele me retorna ou TCP/000 ou TCP/304
Obrigado
Patrick
Em 04-06-2013 08:30, Alexandre Borges Souza escreveu:
Abraços,Fala, PatrickTens como passar-nos a configuração do squid e firewall? Assim podemos lhe ajudar.
Em 31 de maio de 2013 22:08, Patrick EL Youssef <wushumasters@gmail.com> escreveu:
Olá Pessoal,
Sou novo na lista e estou com um problema
Tem um site em especifico que não consigo acessar quando estou atras do squid mesmo ele estando com autenticação ou não
Quando desabilito ele funciona normalmente
Eu tenho uma conf de DHCP + DNS + Squid para solicitar autenticação sem precisar configurar o navegador
Tentei algumas regras do squid com o nome da url mas nada
Fiz algumas regras de firewall para passar por fora mas pelo visto não funcionou, imagino que a regra deva estar errada
Alguém tem alguma dica para me ajudar
Lembrando que todo meu trafego vai pra porta 3128
Obrigado,
Patrick
--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 51A94981.60803@gmail.com" target="_blank">http://lists.debian.org/[🔎] 51A94981.60803@gmail.com
--
Alexandre Borges Souza
E-mail: aborgessouza@gmail.com / xandelg_sc@yahoo.com.br
WEB: http://www.alexandresouza.pro.br/
MSN: alexandreborgessouza@hotmail.com
--
Bruno Ayub