Squid Bloqueando Sites Https [RESOLVIDO]

crazyforbeer
(usa Fedora)

Enviado em 27/06/2014 - 16:04h

Boa tarde comunidade VOL!!!

Tenho visto vários tópicos em vários fóruns, onde o squid não consegue bloquear os sites em HTTPS, porém estou enfrentando um problema inverso onde o Squid, esta "BLOQUEANDO" alguns sites https.
Na verdade não é um bloqueio, mas o site fica tentando "entrar", demora uns 2 minutos até dar erro: Esta pagina não pode ser exibida.

O meu cenário é o seguinte:
Conexão de Fibra 5Mb (eth0 = dhcp ligada ao modem e eth1 = 192.168.0.202 p/ rede interna)
+ CentOs 6.5 + Squid 3.1.10 + Sarg

Estranhamente, montei outra máquina com seguinte versão:
Conexão de Fibra 5Mb + CentOs 5.7 + Squid 2.6 + Sarg e o erro é o mesmo;

O detalhe é: ao remover o proxy do navegador da estação, funciona tudo normalmente, mas ao
adicionar o proxy o mesmo bloqueia alguns sites HTTPS.

Observei pelo access.log que o site não esta sendo bloqueando, pois apresenta o tcp_miss como pode ser visto abaixo:

##Primeiro entro no ambiente do site fmcdealer:
##Acessa belezinha...

1403894898.001 10 192.168.0.80 TCP_MISS/304 375 GET http://www.fmcdealer.dealerconnection.com/sites/Brasil/Style%20Library/pt-PT/Themable/Core%20Styles/... - DIRECT/136.1.78.14 text/css
1403894899.355 122 192.168.0.80 TCP_MISS/304 376 GET http://www.fmcdealer.dealerconnection.com/sites/Brasil/DRD/Documents/TESTE.png - DIRECT/136.1.78.14 image/png
1403894899.837 588 192.168.0.80 TCP_MISS/304 376 GET http://www.fmcdealer.dealerconnection.com/sites/Brasil/DRD/Documents/Untitled.png - DIRECT/136.1.78.14 image/png
1403894899.901 3637 192.168.0.80 TCP_MISS/200 42772 GET http://www.fmcdealer.dealerconnection.com/sites/Brasil/DRD/Paginas/HomePageDRD.aspx - DIRECT/136.1.78.14 text/html
1403894901.413 678 192.168.0.80 TCP_MISS/200 732 GET http://www.tagwebtrends.ford.com/dcsz4l06c000008izxeo654j4_7x2g/dcs.gif? - DIRECT/136.1.44.112 image/gif
1403894903.058 419 192.168.0.80 TCP_MISS/200 732 GET http://www.tagwebtrends.ford.com/dcsz4l06c000008izxeo654j4_7x2g/dcs.gif? - DIRECT/136.1.44.112 image/gif

##Porém ao clicar em qualquer aba de acesso para redirecionar (link)ele não consegue o acesso:
##mesmo dando p TCP_MISS/200

1403895048.057 145411 192.168.0.80 TCP_MISS/200 6005 CONNECT www.qcp.dealerconnection.com:443 - DIRECT/136.1.38.63 -

O firewall extremamente básico como podem ver logo abaixo; pensei que o mesmo seria o responsável pelo erro.


Outra informação importante, o erro ao acessar esses sites ocorre também com uma configuração limpa do squid.


Segue a configuração do Squid.conf + Firewall:

####squid.conf#####

visible_hostname Internet

# BLOQUEADOS E LIBERADOS
acl liberados url_regex "/etc/squid/liberados"
http_access allow liberados

acl palavras dstdom_regex "/etc/squid/palavras"
http_access deny palavras

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

access_log /var/log/squid/access.log squid


####Firewall Compartilhamento#####

##
#!/bin/bash
#liberando o encaminhamento de pacotes
echo "1" > /proc/sys/net/ipv4/ip_forward

#adicionando módulos no kernel
modprobe ip_tables
modprobe iptable_nat

#limpando todas as regras pré-existentes no iptables
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F

#habilitando o encaminhamento de pacotes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Desde já agradeço a colaboração de todos.

renato_pacheco
(usa Debian)

Enviado em 27/06/2014 - 16:10h

As políticas das chains estão como ACCEPT? Veja ae:

iptables -nL

iptables -t nat -nL

 

crazyforbeer
(usa Fedora)

Enviado em 27/06/2014 - 17:03h

Boa tarde Renato, inclui essas chains logo após a limpeza do iptables da seguinte forma:

#limpando todas as regras pré-existentes no iptables
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F

###dica VOL/Renato####
iptables -nL ACCEPT
iptables -t nat -nL ACCEPT

Reiniciei o servidor mas infelizmente não resolveu.
A inclusão seria dessa forma mesmo?

Agradeço muito a sua atenção.


...e a luta continua...

ratoman
(usa Debian)

Enviado em 27/06/2014 - 18:02h

Boa tarde senhores,
Eu já ia abrindo um tópico exatamente sobre isso. Meu problema é idêntico. Até o momento eu identifiquei esse problema apenas no site da Gol. Acesso o site normalmente e consigo preencher o formulário de pesquisa de passagens. O erro acontece quando eu envio a pesquisa. Ela não retorna de jeito nenhum. Percebi que ela navega no voegol.com.br, e quando envio o formulário ele envia para http://compre2.voegol.com.br. Eu já fiz os testes de acesso pelo Chrome, Firefox e IE. Inclusive em modo anônimo. Porém se eu desabitar o proxy a navegação passa numa boa. Meu ambiente tem dansguardian antes do SQUID e o servidor ainda está em fase de testes. O proxy anterior, que ainda está em produção, consegue acessar o site da gol sem problemas. Porém eu verifiquei nas configurações do dansguardian e do squid dele e não encontrei absolutamente nada demais. Apenas estava na lista de exceções, o que eu fiz também no novo mas não resolveu. De qualquer forma eu sei que não é no dansguardian porque usei perfil sem restrição de acesso e o problema persistiu. Também não acredito que seja no firewall porque quando eu desmarco o proxy do navegador a navegação acontece. Só me resta o squid. Já revisei meu squid.conf mas ainda não sou afiado no negócio.

Abaixo segue o log squid a partir de quando o problema começa:
LOG SQUID:
1403902272.364 774 127.0.0.1 TCP_MISS/200 1122 POST http://www.voegol.com.br/pt-br/promocoes/Paginas/ofertas-novo.aspx infra DIRECT/200.185.163.236 text/html
1403902272.820 358 127.0.0.1 TCP_MISS/302 279 POST http://compre2.voegol.com.br/CSearch.aspx? infra DIRECT/208.72.8.246 -
1403902273.156 331 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902273.480 318 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902273.803 319 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902274.141 332 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902274.477 323 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902274.824 334 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902275.181 336 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902275.526 334 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902275.857 320 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902276.203 334 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902276.553 335 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902276.895 332 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902277.237 333 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902277.578 330 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902277.919 331 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902278.264 333 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902278.605 331 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902278.950 334 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902279.292 333 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -
1403902279.635 332 127.0.0.1 TCP_MISS/302 279 GET http://compre2.voegol.com.br/sorry/ infra DIRECT/208.72.8.246 -

Abaixo o log do Dansguardian
LOG DANSGUARDIAN

2014.6.27 17:53:30 infra 10.0.2.232 http://compre2.voegol.com.br/CSearch.aspx?culture=pt-BR *EXCEPTION* Usuário está na lista de exceções. POST 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:31 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:31 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:31 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:32 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:32 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:32 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:33 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:33 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:33 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:34 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:34 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:34 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:35 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:35 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:36 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:36 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:36 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:37 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:37 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -
2014.6.27 17:53:37 infra 10.0.2.232 http://compre2.voegol.com.br/sorry/ *EXCEPTION* Usuário está na lista de exceções. GET 0 0 2 200 - ACESSO IRRESTRITO - -


Abaixo está meu squid.conf
SQUID.CONF
#Porta de escuta do squid
http_port 127.0.0.1:3128
http_port 10.0.210.254:3128
#http_port 10.0.210.254:3128 ESTA REGRA PODE SER DESCOMENTADA SE O SQUID FOR RECEBER COMUNICAO COM UM HOST DIRETO DA REDE. ENQUANTO ELE RECEBER COMUNICAO DO DANSGUARDIAN DELE MESMO ESSA REGRA PODE FICAR COMENTADA. DESCOMENTA-LA NAO VAI CAUSAR PARADAS E SIM UM VETOR DE SEGURANCA MAIS EXPOSTO. A HTTPS_ACCESS REDES_LOCAIS' ESTA ATRELADA A ESTA REGRA.
visible_hostname OMITIDO

# Autenticao com o active directory
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
#(A AUTENTICACAO ABAIXO DEVE SER TESTADA PARA SABER SE ATENDE A COMPUTADORES QUE NAO ESTAO NO DOMINIO)
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 10
#auth_param basic realm Proxy OMITIDO

access_log /var/log/squid/access.log squid
################# LISTAS DE ACESSO ##########################
# Recomendacao padrao minima do squid:
acl manager proto cache_object
acl localhost src 127.0.0.1/32 10.0.210.254/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
# ACL COM METODO DE CONEXAO 'CONNECT' PARA FAZER O TUNELAMENTO COM O PROXY. EVITA ERROS EM CONEXOES HTTPS.
acl CONNECT method CONNECT
# ACL PARA SITES QUE NAO NAVEGAM AUTENTICANDO NO SQUID
#acl SITES_SEM_AUTENTICACAO url_regex -i "/etc/squid/acl/sites_sem_autenticacao"
# ACL para exigir autenticacao do usuario
acl AUTENTICACAO proxy_auth -i REQUIRED
# ACL QUE ESPECIFICA QUAIS SAO AS REDES LOCAIS
acl REDES_LOCAIS src "/etc/squid/acl/redes_locais"
# ACL QUE ESPECIFICA QUAIS SAO AS PORTAS SSL. NESSE CASO SAO AS PORTAS QUE PASSAM TRAFEGO CRIPTOGRAFADO
acl PORTAS_SSL port "/etc/squid/acl/portas_ssl"
# ACL QUE ESPECIFICA QUAIS PORTAS SAO SEGURAS PARA COMUNICACAO. DIFERENTE DA ACL 'PORTAS_SSL', ESTA ACL INFORMA EM QUAIS PORTAS DE SERVIDORES O SQUID PODE ESTABELECER CONEXAO.
acl PORTAS_SEGURAS port "/etc/squid/acl/portas_seguras"
# ACL DE ENDERECOS DE DESTINO QUE ESTAO NAS REDES LOCAIS. IDEAL PARA DESTINOS NAS REDES LOCAIS QUE PRECISAM PASSAR PELO PROXY, MAS NAO SEJAM AUTENTICADOS. ESTA REGRA TEM POUCA UTILIZADE NO CENARIO ATUAL MAS PODE VIR A SER USADA.
acl REDES_LOCAIS_DESTINO dst "/etc/squid/acl/redes_locais_destino"

############################ REGRAS DE ACESSO ##########################
# Permite acesso a um script que exibe as estatisticas do proxy. o servidor web deve estar executando no proxy.
# http://srv-proxy/cgi-bin/cachemgr.cgi
http_access allow manager localhost
http_access deny manager
# REGRA QUE EXIGE AUTENTICACAO DO USUARIO PARA NAVEGAR. DEVE FICAR SEMPRE ACIMA DA 'HTTP_ACCESS ALLOW LOCALHOST', SENAO O DANSGUARDIAN PARA DE AUTENTICAR USUARIOS
# Permite conexoes a hosts da rede sem autenticar
http_access allow REDES_LOCAIS_DESTINO
# permite conexoes a enderecos que nao sao compativeis com autenticacao do proxy. nao descomentar enquanto a lista estiver vazia.
#http_access allow SITES_SEM_AUTENTICACAO
http_access allow AUTENTICACAO
# Permite conexoes diretas a partir do dansguardian
http_access allow localhost
# Recusa conexoes a portas que nao estejam na lista de portas seguras
http_access deny !PORTAS_SEGURAS
# Nega conexoes a portas que nao esteja na lista de portas SSL
http_access deny CONNECT !PORTAS_SSL

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

# REGRA QUE PERMITE ACESSO ATRAVES DAS REDES LOCAIS. REGRA NAO ATIVADA SE O DANSGUARDIAN ESTIVER EM USO
#http_access allow REDES_LOCAIS

# REGRA FINAL QUE BLOQUEIA QUALQUER ACESSO QUE NAO SEJA COMPATIVEL COM AS REGRAS ACIMA.
http_access deny all

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#cache deny localhost to_localhost REDES_LOCAIS PORTAS_SSL
# CONFIGURACAO DE DEBUG PARA EXIBIR QUAIS ACLS ESTAO SENDO APLICADAS
#debug_options ALL,1 33,2 28,9
#debug_options ALL,29
follow_x_forwarded_for allow localhost
acl_uses_indirect_client on
log_uses_indirect_client on
cache_mgr OMITIDO
logfile_rotate 0 # Nao remover esta linha, senao o rotacionamento dos logs poderao ter problemas

O firefox me retorna a seguinte mensagem:

Redirecionamento incorreto

O Firefox detectou que o pedido para este endereço não será concluído devido à forma que o servidor o está redirecionando.

Provavelmente pelo excesso de tentativas 302.
Mais um detalhe. Se eu tentar acessar diretamente o link https:\\compre2.voegol.com.br eu consigo fazer as consultas normalmente. Por isso, creio que por algum motivo o squid não está conseguindo fazer esse redirecionamento ou não está conseguindo devolvê-lo pra mim.


Estou reparando este problema há alguns dias, mas só agora que comecei a tentar resolvê-lo seriamente. Como eu disse, o proxy ainda está em fase de teste, mas quando começar a funcionar, pretendo não esbarrar nesse problema ainda. Agradeço a ajuda.

andrew_
(usa Debian)

Enviado em 27/06/2014 - 19:45h

Eu já passei por isso uma vez, mais foi por que eu tinha bloqueado o facebook com regras no iptables essa regra estava incorreta bloqueava o acesso ao facebook mais quando ia carregar algumas paginas que tinham aquela pequena janela do facebook elas não carregavam umas delas era o banco do brasil e uma pagina da justiça federal, mudei forma do bloqueio e o problema foi resolvido.

renato_pacheco
(usa Debian)

Enviado em 29/06/2014 - 23:53h

Não, cara. Tudo errado. O comando q eu t passei vai falar da política lá. Ex:

# iptables -nL



Chain INPUT (policy ACCEPT)

target     prot opt source               destination         



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

 

Onde tá escrito policy, veja se está ACCEPT ou DROP.

Buckminster
(usa Debian)

Enviado em 30/06/2014 - 08:04h

Antes de mais nada, mude essas linhas

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

para

acl localnet1 src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet2 src 192.168.0.0/16 # RFC1918 possible internal network

e depois mais embaixo

http_access allow localnet1
http_access allow localnet2
http_access allow localhost
http_access deny all

E nessa linha

http_port 3128 transparent

para o Squid 3.1 deve ser

http_port 3128 intercept

Até o Squid 3.0 o certo é transparent, do Squid 3.1 e acima é melhor colocar intercept.

crazyforbeer
(usa Fedora)

Enviado em 01/07/2014 - 08:29h

Bom dia Renato!

Desculpa o vacilo ai... mas pelo visto as políticas já estão corretas conforme o resultado abaixo:


[08:29:02] root@internet [~] # iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[08:29:12] root@internet [~] #

[08:29:23] root@internet [~] # iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[08:30:10] root@internet [~] #

Continuo na minha buscas aqui....
Muito Obrigado.

crazyforbeer
(usa Fedora)

Enviado em 01/07/2014 - 08:36h

Bom dia Buckminster!!!

Mudei ai as configurações conforme a sua orientação, mas não obtive sucesso...

Estou acabando de preparar outra máquina com uma a versão mais antiga parar ver se muda esse cenário:
Vou rodar aqui o CentOS 5.7 e o Squid 2.6 e realizar os testes...


O mais estranho de tudo é que, tinha aqui um servidor com o Fedora 10 e o Squid (mais antigo que não lembro a sua versão) que estava rodando desde 2008 sem dar problema nestes mesmo sites que estão sendo "barrados". Fui inventar de quer atualizar e atrapalhei a coisa toda...rs

Já vou começara configuração desse outro servidor e vou relatando ai os meus passos...

Obrigado pela ajuda e atenção.

Buckminster
(usa Debian)

Enviado em 01/07/2014 - 08:41h

TCP_MISS/304 << o objeto não estava no cache e não foi modificado, mas teve que ser buscado no servidor de origem.

TCP_MISS/200 << o objeto não estava no cache, mas estava Ok.

Aqui

#habilitando o encaminhamento de pacotes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

acrescente uma linha, ficando assim:

#habilitando o encaminhamento de pacotes via iptables
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 << proxy transparente tem que ter o redirecionamento.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

onde eth1 é a placa da rede interna.

E quanto ao teu problema de página não carregada, se for somente nesses sites aí, pode ser problema do site.
Faça as alterações e teste.

crazyforbeer
(usa Fedora)

Enviado em 04/07/2014 - 08:49h

Bom dia Buckminster!!!!

A sua orientação em relação ao redirecionamento deu certinho, o problema foi resolvido com louvor!!!!!

Muito obrigado a você e aos amigos do VOL que sempre nos ajudam com essas "dificuldades" do mundo LINUX.



PS: observei que a navegação ficou um pouco mais "lenta", acredito que seja por causa do cache que ainda esta se formando... existe alguma forma de verificar isso???

Mais uma vez OBRIGADÂO!!!!

Buckminster
(usa Debian)

Enviado em 05/07/2014 - 00:36h

Faltou tu definir no squid.conf o tamanho do cache_dir e do cache_mem. Tu não colocou essas opções então o Squid deixa no padrão.

Aconselho a acrescentar essas linhas na posição indicada:

http_port 3128 transparent (ou intercept)
cache_dir aufs /var/spool/squid3 5120 16 256
cache_mem 2048 MB
coredump_dir /var/spool/squid3

Em cache_dir coloquei 5 GB (5120). Atente para o caminho certo em cache_dir e em coredump (/var/...), mude aí no teu Squid. Esse é o tamanho destinado ao cache no HD. Se tu não tiver 5 GB de espaço na partição /var, diminua o cache_dir.

Em cache_mem veja quanto tu tem no total de memória RAM no servidor e se tiver 4 GB ou mais coloque metade, 2048 MB.Caso contrario coloque um valor adequado de acordo com os serviços que tu tem no servidor para o sistema não ficar sem memória.
Veja também se tu tem muitos serviços juntos aí nesse servidor (DNS, Squid, Apache, servidor de email, etc) daí coloque um valor de cache_mem adequado.
Esse é o tamanho de cache na memória RAM.

Faça as alterações, pare o Squid e execute squid -z para refazer o cache.
No início ele ficará lento até fazer o cache. Isso é normal por um ou dois dias, mas depende do tamanho da tua rede. Se ficar lento por mais de 2 dias é porque tem algum outro problema.

Seguem links:

http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

http://www.vivaolinux.com.br/artigo/Manual-traduzido-do-Squid/

http://www.vivaolinux.com.br/artigo/Manual-traduzido-do-Squid-Parte-2/

http://www.vivaolinux.com.br/artigo/Manual-traduzido-do-Squid-Parte-3/