Não consigo ter acesso por completo a uma página da empresa

1. Não consigo ter acesso por completo a uma página da empresa

Enviado em 03/03/2012 - 15:44h

Boa tarde!

Sei muito pouco de Squid/Iptables e estou tendo dificuldades para habilitar por inteiro uma página de nossa empressa que possui um chat para comunição. Quem possui acesso total consegue receber e enviar mensagens mas que possui acesso limitado só está conseguindo enviar mensagem mas não recebe. Tem algo bloqueando e eu ainda nao consegui descobrir ao certo o que poderia ser. Fiz um monitoramento na maquina com IP limitado e em uma das linhas mostra a seguinte mensagem:

1330791895.672 12 0.0.0.0 TCP_DENIED/403 1582 GET http://sitedaempresa.com.br/sites/all/modules/drupalchat/swf/sound.swf? - NONE/- text/html

Ja inclui toda esta linha nos sites permitidos mas continua dando a mesma mensagem. Gostaria de saber como posso fazer para desbloquer por completo a página para que todos tenham acesso a está página?

O squid.conf está assim no momento:

#no_cache deny QUERY
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#Default:
# maximum_object_size 40096 KB
#reply_body_max_size 10485760 allow all

#Liberando Avast
acl avast url_regex -i "/etc/squid/avast"
acl lib_avast src 0.0.0.0

#http_access deny msn
#acl msn url_regex -i

# CRIA ACL LIBERA MSN
acl libera_msn url_regex -i "/etc/squid/ip_msn"
acl lib_msn src 0.0.0.0
visible_hostname meuemail@siteempresa.com.br

#acl tudo src 0.0.0.0/0.0.0.0
acl all src 0.0.0.0/24
acl all src 0.0.1.0/24
always_direct deny all
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
http_access allow lib_avast avast
http_access deny avast lib_avast
http_access allow libera_msn lib_msn

acl Safe_ports port 80 # http
acl Safe_ports port 443 563 10000 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT

acl purge method PURGE
acl CONNECT method CONNECT
http_port 3128
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
coredump_dir /var/spool/squid
ftp_passive on
ftp_list_width 16
acl FTP proto FTP
#Bloqueio de Sites Indevidos
acl bloqueado url_regex -i "/etc/squid/bloqueio"
#acl sitesmsn url_regex -i "/etc/squid/sitesmsn"
acl permitidos url_regex -i "/etc/squid/permitidos"
acl permitidos_pa url_regex -i "/etc/squid/permitidos_pa"

acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #

#http_access allow ip_liberado
http_access deny bloqueado

#bloqueados
acl ip_bloqueado src 0.0.0.0 #
acl ip_bloqueado src 0.0.0.0 #
acl ip_bloqueado src 0.0.0.0 #

http_access deny !permitidos ip_bloqueado

always_direct allow FTP

0 0

Quote

2. Re: Não consigo ter acesso por completo a uma página da empresa

Wotila_Carneiro
(usa Ubuntu)

Enviado em 03/03/2012 - 15:59h

Pode ser algum problema com o iptables. Talvez ele permita a saída do pacote, mas não o retorno.

0 0

Quote

3. Re: Não consigo ter acesso por completo a uma página da empresa

renato_pacheco
(usa Debian)

Enviado em 04/03/2012 - 09:07h

Vc pode estar bloqueando a extensão do arquivo (.swf) em vez do site. Vou dar algumas comentadas no seu arquivo pq tou achando uma bagunça:



#no_cache deny QUERY

hosts_file /etc/hosts

refresh_pattern ^ftp:		1440	20%	10080

refresh_pattern ^gopher:	1440	0%	1440

refresh_pattern .		0	20%	4320

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log



#Default:

# maximum_object_size 40096 KB

#reply_body_max_size 10485760 allow all



#Liberando Avast

acl avast url_regex -i "/etc/squid/avast"

acl lib_avast src 0.0.0.0 <-- isso tá errado... apague!



#http_access deny msn

#acl msn url_regex -i



# CRIA ACL LIBERA MSN

acl libera_msn url_regex -i "/etc/squid/ip_msn"

acl lib_msn src 0.0.0.0 <-- isso tá errado... apague!

visible_hostname meuemail@siteempresa.com.br



#acl tudo src 0.0.0.0/0.0.0.0

acl all src 0.0.0.0/24 <-- isso tá errado... apague!

acl all src 0.0.1.0/24 <-- isso tá errado... apague!

always_direct deny all <-- essa regra não permite passar nada sem cache. É isso q vc quer msm?

acl SSL_ports port 443 563 # https, snews <-- apague essa linha, tá repetida

acl SSL_ports port 873 # rsync <-- apague essa linha, tá repetida

http_access allow lib_avast avast <-- apague a acl lib_avast

http_access deny avast lib_avast <-- apague isso, tá errado!

http_access allow libera_msn lib_msn <-- apague a acl lib_msn



acl Safe_ports port 80 # http

acl Safe_ports port 443 563 10000 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 631 # cups

acl Safe_ports port 873 # rsync

acl Safe_ports port 901 # SWAT



acl purge method PURGE

acl CONNECT method CONNECT

http_port 3128

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

coredump_dir /var/spool/squid

ftp_passive on

ftp_list_width 16

acl FTP proto FTP

#Bloqueio de Sites Indevidos

acl bloqueado url_regex -i "/etc/squid/bloqueio"

#acl sitesmsn url_regex -i "/etc/squid/sitesmsn"

acl permitidos url_regex -i "/etc/squid/permitidos"

acl permitidos_pa url_regex -i "/etc/squid/permitidos_pa"



acl ip_liberado src 0.0.0.0 # 

acl ip_liberado src 0.0.0.0 # 

acl ip_liberado src 0.0.0.0 # 

acl ip_liberado src 0.0.0.0 # <-- q acls são essas? apague tudo!

acl ip_liberado src 0.0.0.0 # 

acl ip_liberado src 0.0.0.0 # 

acl ip_liberado src 0.0.0.0 # 

acl ip_liberado src 0.0.0.0 # 





#http_access allow ip_liberado

http_access deny bloqueado



#bloqueados

acl ip_bloqueado src 0.0.0.0  # 

acl ip_bloqueado src 0.0.0.0 # <-- q acls são essas? apague tudo!

acl ip_bloqueado src 0.0.0.0 # 



http_access deny !permitidos ip_bloqueado <-- apague essa linha e deixe assim:



http_access allow permitidos

http_access deny all



always_direct allow FTP <-- se vc negou o always_direct pra todos, essa regra não vai funcionar...

0 0

Quote

4. Re: Não consigo ter acesso por completo a uma página da empresa

phrich
(usa Slackware)

Enviado em 08/03/2012 - 14:36h

dentro do arquivo que libera os sites, coloque:

.seusite.com*

E depois teste, caso não funcione faça o seguinte:

tail -f /var/log/squid3/access.log | grep ip_do_host | grep -i denied

onde ip do host é o ip de origem, ou seja, o host q vc está usando para realizar o teste.

Assim vc consegue ver o que está sendo bloqueado.

0 0

Quote