msn bloqueado aleatoriamente [RESOLVIDO]

marvinoliveiras
(usa Slackware)

Enviado em 13/12/2011 - 15:14h

boa tarde, estou enfrentando um problema com o msn que pode ter haver com o meu servidor proxy, em alguns computadores quando tento acessar o msn ele dá um aviso de que a lista de contatos não está disponível. O que me deixa mais intrigado é que isso não é em todos os computadores. O meu squid.conf é esse:
# parametro de autenticação
auth_param basic program /usr/local/squid/libexec/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Use o mesmo login/senha de sempre. Em caso de dúvidas entre em contato com o CPD
auth_param basic casesensitive off

# regras padrão
http_port 3128
visible_hostname camara
cache_mgr contato@dominio
error_directory /usr/share/squid/errors/pt-br

hierarchy_stoplist cgi-bin ?
cache_mem 32 MB
maximum_object_size_in_memory 2048 KB
maximum_object_size 100 MB
cache_dir ufs /var/log/squid/cache 2048 16 256
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl localnet src 192.168.2.0/24

refresh_pattern ^ftp: 360 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

access_log /var/log/squid/access.log

acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 443
acl Safe_ports port 488
acl Safe_ports port 563
acl Safe_ports port 591
acl Safe_ports port 631
acl Safe_ports port 777
acl Safe_ports port 873
acl Safe_ports port 901
acl Safe_ports port 1863 #msn
acl Safe_ports port 5148 #msn
acl Safe_ports port 1025-65535

acl connect method CONNECT
acl SSL_ports port 443
acl SSL_ports port 563
acl SSL_ports port 873
http_access deny connect !SSL_ports

acl domains dstdomain "/etc/squid/domains"
acl words url_regex -i "/etc/squid/words"
acl extensions urlpath_regex -i "/etc/squid/extensions"
http_access deny domains
http_access deny words
http_access deny extensions

acl autenticados proxy_auth REQUIRED
acl permitidos src 192.168.2.0/24
acl permitidos src 192.168.50.0/29

http_access allow autenticados permitidos
http_access deny all

meu rc.firewall:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 443 -j MASQUERADE
#essa última regra acabei de adicionar na tentativa de conectar diretamente
iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j ACCEPT

desde já agradeço a atenção e a ajuda de todos

marvinoliveiras
(usa Slackware)

Enviado em 14/12/2011 - 17:54h

só para complementar, o código do erro é o seguinte: 80072ef3

viniciospbi
(usa Debian)

Enviado em 14/12/2011 - 20:47h

oq tem dentro do arquivo extensions?

marvinoliveiras
(usa Slackware)

Enviado em 15/12/2011 - 10:43h

\.bat($|\?|\&)
\.mp3($|\?|\&)
\.avi($|\?|\&)
\.mpg($|\?|\&)
\.src($|\?|\&)

marvinoliveiras
(usa Slackware)

Enviado em 15/12/2011 - 12:27h

consegui resolver, depois de muita pesquisa cheguei a uma página aqui mesmo no vol, em que o erro apresentado era muito parecido com o meu. Vou postar aqui para que possa ajudar caso mais alguém precise:

primeiro digitei esse comando:

cat /var/log/squid/access.log | grep -i TCP_DENIED

para saber quais portas estavam sendo bloqueadas foi então que percebi os sites:

local-bay.contacts.msn.com

http://www.sqm.microsoft.com/sqm/messenger/sqmserver.dll

já pela url dá para perceber que se trata da lista de contatos do msn, foi aí então que usei a dica da @elaine.pitty e criei uma acl para desbloquear os sites e ainda adicionei os que ela citava no post:

acl msn url_regex -i byrdr.omega.contacts.msn.com local-bay.contacts.msn.com sqm.microsoft.com

http_access allow msn

depois disso reiniciei o servidor (reiniciar só o squid não deu certo)e o primeiro acesso demorou um pouco mas deu certo.

a página original:
http://www.vivaolinux.com.br/topico/Squid-Iptables/Liberar-msn-9-no-firewall?pagina=3&num_por_pa...

Existem outras coisas que podem causar esse erro no msn como a data e a hora, se essas estiverem desajustadas, também as opções de "verificar revogação de certificados do servidor" e "verificar revogação de certificados do editor" do IE, essas opções devem ser desmarcadas.