[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RE: [OT] Errores 400 en Squid3

Hola, como voy un poco perdida con estas incidencias, he probado a activar el modulo SSL por si iban por ahílos tiros, creo que lo he hecho bien porque ahora me aparece squid3 asi ('--enable-ssl' '--with-open-ssl=/etc/ssl/openssl.cnf'):

Squid Cache: Version 3.4.8
Debian linux
configure options:  '--build=i586-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--enable-ssl' '--with-open-ssl=/etc/ssl/openssl.cnf' '--disable-translation' '--with-swapdir=/var/spool/squid3' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info=Debian linux' '--enable-linux-netfilter' 'build_alias=i586-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'

por suerte para mi todo siqgue funcionando, la mala noticia es que los errores siguen igual, y lo que no tengo claro es, una vez recompilado squid3 para habilitar SSL, si tengo que seguir con algun paso adicional para crear certificados o similar

si alguien me puede orientar lo agadezco

Saludos, Laura 

-----Mensaje original-----
De: Laura Marzà Porcar [mailto:laura.marza@servidir.es] 
Enviado el: jueves, 08 de septiembre de 2016 9:33
Para: debian-user-spanish@lists.debian.org
Asunto: [OT] Errores 400 en Squid3


Buenos días,
Monte un squid/3.4.8 en una Debian Jessie, en general funciona correctamente, pero hay algo que se me escapa, ya que en algunas páginas me dice "Bad Request", creo que están todos relacionados con el mismo problema y con algo referente a seguridad, por el tipo de contenido de las paginas que me dan errores.

en ocasiones el error es: 

"Your browser sent a request that this server could not understand.
Request header field is missing ':' separator."

p.e.:
http://www.sri.gob.ec/
TCP_MISS/400 747 GET http://www.sri.gob.ec/ lmarza HIER_DIRECT/201.234.223.197 text/html


En otras:

"Bad Request - Invalid Header

HTTP Error 400. The request has an invalid header name."

Cuando me aparece este tipo de error, busco a donde lleva la pagina y accedo directamente al https (en el ejemplo se ve mejor lo que quiero decir)

p.e:
http://bancopopular.es/  --> pero aquí accedo correctamente: https://www2.bancopopular.es/empresasN o https://www2.bancopopular.es/particularesN
TCP_MISS/400 731 GET http://bancopopular.es/favicon.ico lmarza HIER_DIRECT/195.55.131.69 text/html

Tambien:
"400 - Bad Request"

p.e.
http://portal.lacaixa.es/ --> pero así accedo perfectamente: https://portal.lacaixa.es/ TCP_MISS/400 811 GET http://portal.lacaixa.es/ lmarza HIER_DIRECT/192.229.182.219 text/html,application/xhtml+xml,application/xml

Otro:
"Bad request
Your browser sent a query this server could not understand. "

p.e:
http://www.ruralvia.com/
TCP_MISS/400 728 GET http://www.ruralvia.com/ lmarza HIER_DIRECT/195.53.82.136 text/html


La configuración de SQUID3 es la siguiente le he eliminado los comentarios y algunas restricciones de acceso que no afectan en este caso para resumir líneas):

##############################

http_port 3128
tcp_outgoing_address [IP_SQUID]
auth_param negotiate program /usr/local/bin/negotiate_wrapper -d --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=MARINA --kerberos /usr/local/bin/squid_kerb_auth -d -s GSS_C_NO_NAME auth_param ntlm children 30 auth_param ntlm keep_alive off auth_param basic children 30 auth_param basic realm Servidor Proxy Dominio MARINA.LOCAL auth_param basic credentialsttl 2 hours acl SSL_ports port 443 acl SSL_ports port 8100
acl Safe_ports port 80		# http
acl Safe_ports port 20 21	# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 9010	# cofraweb
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
hierarchy_stoplist cgi-bin ?
acl css urlpath_regex cgi-bin \? \.css
acl js urlpath_regex cgi-bin \? \.js
acl no_cachear dstdomain "/etc/squid3/no_cachear.conf"
no_cache deny no_cachear css js
always_direct allow no_cachear
acl msn req_mime_type -i ^application/x-msn-messenger$ acl estilos req_mime_type -i ^text/css$ debug_options ALL,1 33,2 acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT RPC_IN_DATA RPC_OUT_DATA acl descargas urlpath_regex -i \.deb$ http_access allow descargas external_acl_type wbinfo_group_helper %LOGIN /usr/lib/squid3/wbinfo_group.pl acl Autorizados proxy_auth REQUIRED http_access deny !Autorizados

acl HorarioLabDw time 00:00-08:00
acl HorarioLabUp time 21:30-23:59                                               
acl sabado time A                                                            
acl domingo time S                                                           

acl buscadores url_regex -i "/etc/squid3/Buscadores"
acl denegados url_regex "/etc/squid3/SitiosDenegados"
acl juegos url_regex "/etc/squid3/SitiosJuegos"
acl inocentes url_regex "/etc/squid3/SitiosInocentes"
acl redsocial url_regex -i "/etc/squid3/RedesSociales"
acl stream url_regex "/etc/squid3/Streaming"
acl webmails url_regex -i "/etc/squid3/Webmails"
acl youtube url_regex -i "/etc/squid3/Youtube"
acl cloud url_regex -i "/etc/squid3/Almacenamiento"
acl administ url_regex -i "/etc/squid3/Administracion"
acl auditint url_regex -i "/etc/squid3/AuditInt"
acl banca url_regex -i "/etc/squid3/Banca"
acl cams url_regex -i "/etc/squid3/Camaras"
acl general url_regex -i "/etc/squid3/General"
acl juridic url_regex -i "/etc/squid3/Juridico"
acl pers url_regex -i "/etc/squid3/Personal"
acl prensa url_regex "/etc/squid3/Prensa"
acl servidor url_regex -i "/etc/squid3/Servidor"
acl telem url_regex -i "/etc/squid3/Telemarketing"
acl aIP4 src "/etc/squid3/aIP4"

acl UsuariosLibre external wbinfo_group_helper squidcs_usuarioslibre acl UsuariosPrensa external wbinfo_group_helper squidcs_usuariosprensa acl UsuariosStream external wbinfo_group_helper squidcs_usuariosstream acl UsuariosRedesSoc external wbinfo_group_helper squidcs_usuariosredessoc acl UsuariosJuegos external wbinfo_group_helper squidcs_usuariosjuegos acl UsuariosWebmail external wbinfo_group_helper squidcs_usuarioswebmail acl UsuariosYoutube external wbinfo_group_helper squidcs_usuariosyoutube acl UsuariosCloud external wbinfo_group_helper squidcs_usuarioscloud

acl CONTABILIDAD external wbinfo_group_helper squidcs_contabilidad

http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow CONNECT
http_access allow localhost manager
http_access deny manager
http_access allow all buscadores estilos general inocentes http_access deny all msn http_access deny all cloud !UsuariosLibre !UsuariosCloud http_access deny all prensa !UsuariosLibre !UsuariosPrensa http_access deny all stream !UsuariosLibre !UsuariosStream !UsuariosRedesSoc http_access deny all webmails !UsuariosLibre !UsuariosWebmail http_access deny all redsocial !UsuariosLibre !UsuariosRedesSoc http_access deny all youtube !UsuariosLibre !UsuariosYoutube http_access deny all denegados !UsuariosLibre http_access deny all juegos !UsuariosLibre !UsuariosJuegos http_access allow UsuariosLibre

http_access allow CONTABILIDAD

http_access deny sabado
http_access deny domingo
http_access deny HorarioLabDw
http_access deny HorarioLabUp

logformat squid %tg %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<a %mt
logformat common     %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st %Ss:%Sh
logformat combined   %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
logformat referrer   %ts.%03tu %>a %{Referer}>h %ru
logformat useragent  %>a [%tl] "%{User-Agent}>h"
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
error_log_languages on
err_page_stylesheet /etc/squid3/errorpage.css email_err_data on

########################################

He leído muchos posts de gente, pero no he conseguido localizar una solución que me valga, algunos datos que creo que puedan interesar:

Debian:
#lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 8.4 (jessie)
Release:        8.4
Codename:       jessie

Apache (lei algo relacionado con este problema sobre apache y los certificados, pero yo no tengo paginas alojadas en mi servidor) # apache2ctl -v Server version: Apache/2.4.10 (Debian)
Server built:   Jul 20 2016 07:07:13

gracias, Laura
Reply to: