Pagina do Webmail com o proxy configurado não acesa. [RESOLVIDO]

roselio_jantara
(usa Debian)

Enviado em 26/09/2013 - 13:54h

Seguinte, tá estranho o e-mail aqui na empresa, do nada algumas maquinas ficão com o acesso ao e-mail lento(Todas usam o Outlook 2007).
Notei também que as maquinas que estão com o ip livre pra navegação o e-mail está normal, porem na pagina do webmail não conecta, aparece a mensagem "O site recusou-se a mostrar esta pagina na Web" e na aba do navegador aparece HTTP 403- proibido, sendo que o mesmo está na lista branca(sites permitidos, por mais que não estivesse teria que abrir pois estas maquinas tem os ips liberados) e maquinas que navegam apenas no sites da lista branca o e-mail está lento mais na pagina do Webmail funciona normal!
Isso começou a três dias, achei que fosse por eu ter bloqueado por "string" alguns sites no iptables, mais já limpei as regras lá e continua o mesmo problema.

Eu sei que está bastante confuso minhas informações e vai ficar mais ainda!
Apesar de usar proxy transparente, para minhas "string" funcionarem no bloqueio do iptables tive que configurar o proxy no navegador como muita gente teve que fazer por ai. Estou comentando isto porque quando tiro o proxy do navegador a pagina do Webmail funciona(tanto para ips livre ou para o ips bloqueado), porem o Outlook fica lento.
O site do Webmail usa https.
Será que é problema na minha configuração do proxy?
O site do Webmail usa https.
Abaixo segue meu Squid e meu Firewall.

################Meu Squid ################

http_port 3128 transparent



hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 512 MB

maximum_object_size_in_memory 200 KB 

maximum_object_size 3 GB 

minimum_object_size 0 KB 

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 1000 16 256

cache_access_log /var/log/squid3/access.log





#Nome servidor

visible_hostname Servidor.Proxy.Metalfor



cache_mgr manutencao.pc.cia@gmail.com

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 10 20% 2280

refresh_pattern ^gopher: 10 0% 1440

refresh_pattern . 15 20% 2280



dns_nameservers 8.8.4.4

dns_nameservers 8.8.8.8



#Recommended minimum configuration:

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl Safe_ports port 25 110

acl Safe_ports port 80		# http

acl Safe_ports port 21		# ftp

acl Safe_ports port 443 563	# https, snews

acl Safe_ports port 70		# gopher

acl Safe_ports port 210		# wais

acl Safe_ports port 1025-65535	# unregistered ports

acl Safe_ports port 280		# http-mgmt

acl Safe_ports port 488		# gss-http

acl Safe_ports port 591		# filemaker

acl Safe_ports port 777		# multiling http

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



acl localnetwork src 192.168.7.0/24

acl liberados src "/etc/squid3/ips_livres"

acl lista_branca url_regex "/etc/squid3/sites_allow"



http_access deny !localnetwork

http_access allow liberados 

http_access allow lista_branca

http_access allow localnetwork lista_branca



icp_access allow all

always_direct allow all

http_access deny all

 

########## Firewall #########

#!/bin/bash

EXTIF="eth2"

INTIF="eth1"



echo -e "\nPermitindo roteamento de Pacotes: \n"

echo "1" > /proc/sys/net/ipv4/ip_forward

echo -e "\nRoteamento de Pacotes OK \n"



echo -e "\nLimpando Regras e Liberando conexoes necessarias\n"

iptables -F

iptables -t nat -F

iptables -P INPUT ACCEPT

iptables -F INPUT

iptables -P OUTPUT ACCEPT

iptables -F OUTPUT

iptables -P FORWARD ACCEPT

iptables -F FORWARD



echo -e "\nBloqueio de sites https (porta-443)\n"

iptables -A FORWARD -m string --algo bm --string "facebook.com" -j DROP

iptables -A FORWARD -m string --algo bm --string "youtube.com" -j DROP

iptables -A FORWARD -m string --algo bm --string "twitter.com" -j DROP

echo -e "\nBloqueio de sites  . . . [ok] \n"



echo -e "\nLiberando destino Conexoes necessarias \n"

iptables -A FORWARD -i $EXTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

iptables -A FORWARD -j LOG

iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

echo -e "\nConexoes necessarias  . . . [ok]  \n"



echo -e "\nRoteando pacotes para a porta 3128 \n"

iptables -t nat -A PREROUTING -s 192.168.7.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s 192.168.7.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128

echo -e "\nRoteando pacotes para a porta 3128 . . . [ok] \n"







echo -e "\nRedireciona porta 3389 servidor XADM.\n"

iptables -t nat -A PREROUTING -p tcp --dport 3389 -d 189.11.7.108 -j DNAT --to-destination 192.168.7.20:3389

iptables -t nat -A POSTROUTING -p tcp -d 192.168.7.20 -j MASQUERADE

echo -e "\nRedirecionamento Servidor XADM  . . . [ok] \n"





echo -e "\nFrewall inicializado.\n"



 

Agradeço a força ai pessoal .

roselio_jantara
(usa Debian)

Enviado em 26/09/2013 - 18:59h

Bom Pessoal, passei a tarde trabalhando em cima do meu problema, cheguei as seguintes conclusões:
Não sei onde meu problema tá.
Limpei todas as regra do firewall e defeito continuou,
comentei todas minhas # acl deixando a net liberada pra todos, e o problema continua. Ips livres com o proxy setado Outlook funciona mais a pagina do Webmail não. Ips bloqueados Outlook funciona lento tanto no proxy quanto fora e a pagina do Webmail so abre fora do proxy . . . .

Me ajudem pessoal pelo amor do amor . . .

Buckminster
(usa Debian)

Enviado em 27/09/2013 - 00:10h

Primeiro comenta ou deleta essas duas linhas abaixo no squid.conf, colocar DNSs deixa o Squid lento:

dns_nameservers 8.8.4.4
dns_nameservers 8.8.8.8

Se você quer setar os DNSs, sete no servidor DHCP (se tiver) ou sete direto no modem/roteador.

E comenta ou deleta essa linha:
http_access deny !localnetwork << essa linha não é necessária e ela também pode causar lentidão no Squid.

A linha http_access deny all faz todo o trabalho de negar tudo o que não foi liberado/bloqueado acima dela.

E esta linha
http_access allow localnetwork lista branca

deixe assim:
http_access allow localnetwork

Mas acredito que o teu problema está em alguma outra configuração, talvez no Outlook, no navegador ou no link do webmail.

Veja este link sobre o erro HTTP 403:
http://windows.microsoft.com/pt-br/windows-vista/get-help-with-website-error-messages-http-errors

E veja que no Iptables você tem duas regras parecidas fazendo a mesma coisa:
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
e
iptables -t nat -A POSTROUTING -p tcp -d 192.168.7.20 -j MASQUERADE

Pode deixar a primeira, mas colocando ela no lugar da segunda. Mas se quiser pode deixar como está, essa sugestão é somente por uma questão de organização.

E essa do log
iptables -A FORWARD -j LOG
deve ser a última regra, pois o log deve abranger todas as regras acima dele.

E teu Iptables está completamente liberado, veja:
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD ACCEPT
iptables -F FORWARD

Tuas políticas padrões estão todas como ACCEPT.

Deixe assim:
iptables -F
iptables -t nat -F << essas 4 regras abaixo com -F pode deixar se quiser, mas a regra acima iptables -F já zera todas as chains.
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Primeiro limpe as chains e depois estabeleça as políticas padrões.
Mas veja bem, como está acima fica mais seguro, mas você deve liberar depois com as regras nas chains INPUT e FORWARD tudo o que você quiser que seja liberado.

Vá fazendo as alterações aos poucos para não se perder.
Comece alterando o Squid, reinicie ele e teste, e vá fazendo assim... aos poucos.

E vá lendo com calma esses links abaixo, irão te ajudar:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

roselio_jantara
(usa Debian)

Enviado em 27/09/2013 - 10:17h

Bom dia Buckminster, você pode estar certo quanto a lentidão do link; acho a questão mais provável.
Pois como comentei deixei meu proxy apenas compartilhando a internet e continuou tudo na mesma.
Quanto as regra do squid os dns coloquei pra ver se resolvia . . .

dns_nameservers 8.8.4.4

dns_nameservers 8.8.8.8

 

Aqui você realmente esta certo, estas regras não sao necessarias

http_access deny !localnetwork 

http_access allow localnetwork lista branca

 

Aqui tive que fazer assim porque meu redirecionamento não estava funcionando, dessa forma funcionou.

iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # aqui compartilha a internet



iptables -t nat -A POSTROUTING -p tcp -d 192.168.7.20 -j MASQUERADE #sem esta regra o redirecionamento não funcionava.

 

NO firewall

iptables -P INPUT DROP 

iptables -P FORWARD DROP

# estava assim, mudei pra ACCEPT pra ver se resolvia algo.

 

Oque me deixa pensativo é que os ips que estão na lista de ips_livres funciona normal !

Vou testar aqui suas dicas. depois do expediente retorno com o resultado dos testes.

Deus lhe abençoe pela ajuda que você tem prestado a todos deste fórum, muito obrigado por enquanto.

roselio_jantara
(usa Debian)

Enviado em 28/09/2013 - 21:22h

Bom pessoal! Agradeço muito a ajuda de vocês. Obrigado mesmo! Marquei o tópico como resolvido pois depois de executado todos os testes inclusive as dicas que nosso amigo de fé irmão camarada nos deixou (Buckminster), acho que não a mais oque testar no servidor passei o problema pro suporte de WebMail vamos aguardar pra ver onde estava o problema. Volto a postar os resultados.

Obrigado faculdade VOL !

roselio_jantara
(usa Debian)

Enviado em 01/10/2013 - 00:11h

Bom pessoal, o e-mail voltou ao normal, apesar de ter tirado algumas concluzões precipitadas dixando meu post meio confuso, o problema era no link mesmo. A unica coisa que não concegui resolver é o problema da pagina do Webmail abrir com o proxy setado no navegador (lembrando que o site do e-mail é https).

Abraços pessoal . . .