Notebook com problemas em acesso em sites após liberação no SQUID

flsouza01
(usa Ubuntu)

Enviado em 19/02/2016 - 14:13h

Olá a todos.

Trabalho em uma empresa de consultoria e estamos com um novo cliente que possui um firewall Linux ativo e os conhecimentos que temos nesta linguagem são básicos.

De acordo com o que recebemos do antigo prestador de TI, existe um ACL para liberar equipamentos pelo endereço IP.

Editei o arquivo, fiz o reload do Squid, mas o equipamento continua com restrições.

Usando uma conta com perfil de administrador do domínio, o acesso é feito sem problemas. O usuário que está com problemas está usando uma conta que possui perfil de administrador local no notebook e acessa normalmente em outros equipamentos.

Verifiquei nos grupos de restrição e o notebook não consta nos mesmos (isolando a princípio)

Comparei configuração do proxy e GPOs Windows com outro notebook que está funcionando e aparentemente está OK.

Cheguei a alterar o Iptables, declarando o IP formalmente e não obtive sucesso.

Pesquisei aqui no fórum e em outros e não encontrei nada que pudesse me direcionar.

Alguma sugestão?

pelo
(usa Debian)

Enviado em 19/02/2016 - 14:32h

Olá meu caro.

Coloque o squid.conf aqui.
Além disso, os comandos que você utilizou pra reinicar o squid.

Até!

Sérgio Abrantes

flsouza01
(usa Ubuntu)

Enviado em 19/02/2016 - 14:51h

Obrigado pela rápida resposta:

O Squid foi reiniciado usando o comando sudo restart squid3

Abaixo segue o squid.conf

http_port 3128
visible_hostname FIREWALL
#error_directory /usr/share/squid3/errors/pt-br

cache_mem 128 MB
cache_swap_low 85
cache_swap_high 95
maximum_object_size 5048 KB
minimum_object_size 110 KB
cache_dir ufs /var/spool/squid3 1024 16 128
error_directory /usr/share/squid3/errors/pt-br

log


cache_access_log /var/log/squid3/access.log
#ACL

acl local src 127.0.0.1/32
acl rede src 15.191.0.0/24;
acl rede src 15.191.1.0/24;
acl msndll url_regex -i /gateway/gateway.dll

acl dominios_bloqueados url_regex -i "/etc/squid3/controle/dominios_bloqueados.txt"
acl streaming rep_mime_type -i "/etc/squid3/controle/aplicativo.txt"
acl proibir_musica urlpath_regex -i "/etc/squid3/controle/audio_block.txt"
acl liberados url_regex -i "/etc/squid3/controle/dominios_liberados.txt"
#acl liberados dstdomain -i "/etc/squid3/controle/dominios_liberados.txt"
# GRUPOS

acl grupo_negado src "/etc/squid3/grupos/grupo_negado.txt"
acl grupo_restrito src "/etc/squid3/grupos/grupo_restrito.txt"
acl grupo_livre src "/etc/squid3/grupos/grupo_livre.txt"


#################################################
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl Safe_ports port 25 # portas altas
acl Safe_ports port 110 # portas altas
acl Safe_ports port 1194 # portas altas
acl Safe_ports port 995 # portas altas
acl Safe_ports port 465 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

# Controle de Banda

delay_pools 1
delay_class 1 2
delay_parameters 1 102400000/102400000 102400000/102400000
delay_access 1 allow rede

# Regras

http_access allow local
http_access allow liberados
#http_reply_access allow liberados
#http_reply_access allow grupo_livre
http_access allow grupo_livre
#http_reply_access deny streaming
#http_reply_access deny proibir_musica
http_access deny dominios_bloqueados
http_access allow rede grupo_restrito
http_access allow !Safe_ports

pelo
(usa Debian)

Enviado em 19/02/2016 - 15:47h

Olá,

O squid possui integração com AD?
Pelo que está ali no squid.conf não possui.
Qual o IP que o notebook está pegando?

Você não deveria colocar o IP dele dentro de alguma ACL ?
Tirando o que não está em uso, segue resumo?

1 ok acl local src 127.0.0.1/32
5 ok acl rede src 15.191.0.0/24;
5 ok acl rede src 15.191.1.0/24;
3 ok acl dominios_bloqueados url_regex -i "/etc/squid3/controle/dominios_bloqueados.txt"
2 ok acl liberados url_regex -i "/etc/squid3/controle/dominios_liberados.txt"

# GRUPOS

acl grupo_negado src "/etc/squid3/grupos/grupo_negado.txt"
5 ok acl grupo_restrito src "/etc/squid3/grupos/grupo_restrito.txt"
3 ok acl grupo_livre src "/etc/squid3/grupos/grupo_livre.txt"

1 ok http_access allow local
2 ok http_access allow liberados
3 ok http_access allow grupo_livre
4 ok http_access deny dominios_bloqueados
5 ok http_access allow rede grupo_restrito
http_access allow !Safe_ports

O IP desse notebook não está dentro de alguma lista da ACL?
Tente colocar o IP do notebook dentro do /etc/squid3/grupos/grupo_livre.txt para testar.

Até!

flsouza01
(usa Ubuntu)

Enviado em 19/02/2016 - 16:07h

Olá,

O notebook está com IP final 168. (15.191.0.168)

Coloquei o IP no ACL Grupo_livre.txt

pelo
(usa Debian)

Enviado em 19/02/2016 - 17:14h

Olá,

Aparece alguma tela de bloqueio do squid?
Chegou a ver o que aparece no /var/log/squid3/access.log?

Até!

Sérgio Abrantes

flsouza01
(usa Ubuntu)

Enviado em 22/02/2016 - 19:41h

Boa noite.

Comecei a olhar os logs, mas fui informado que existe um segundo servidor que é justamente o que eles definem como Proxy Server nas estações.

Ocorre que a empresa informou que não possui a senha de acesso neste servidor proxy, mas sabe que é o mesmo usuário que uso para conectar no servidor que uso para o Squid.

Existe alguma forma de acessar o segundo servidor via putty / terminal ou mesmo alterar a senha ou seria apenas via terminal localmente?

pelo
(usa Debian)

Enviado em 22/02/2016 - 20:29h

Olá,

Através da conexão com o servidor atual, tente conectar via ssh nesse segundo.
Isso se o ssh estiver habilitado. Tente teamviewer num desktop e dele acessar esse servidor.
A última alternativa é localmente.

Sérgio Abrantes