Problema Site Sulamerica Seguros Iptables/Squid

duilio
(usa Suse)

Enviado em 02/10/2012 - 20:53h

Boa noite a todos,

De uns dias pra cá estou tendo problemas com o seguite site

portal.sulamericaseguros.com.br

Conseguimos fazer o login no site, acessar algumas informações, mais depois começa a aparecer uma mensagem

Aviso
O usuário não foi informado corretamente
(Código: server.generalexception)

Nos logs do Squid estão aparecendo essas linhas

1349178124.773 46 192.168.0.45 TCP_MISS/304 305 GET http://portal.sulamericaseguros.com.br/lumis/portal/client/script/LumisPortal.js - DIRECT/200.255.120.216 -
1349178124.779 45 192.168.0.45 TCP_MISS/304 304 GET http://portal.sulamericaseguros.com.br/lumis/doui/client/script/LumisDouiClientSideReadable.js - DIRECT/200.255.120.216 -
1349178124.779 49 192.168.0.45 TCP_MISS/304 304 GET http://portal.sulamericaseguros.com.br/lumis/doui/client/script/LumisDouiErrorSummary.js - DIRECT/200.255.120.216 -
1349178124.785 23 192.168.0.45 TCP_MISS/304 305 GET http://portal.sulamericaseguros.com.br/sai/script/swfobject.js - DIRECT/200.255.120.216 -
1349178124.792 54 192.168.0.45 TCP_MISS/304 304 GET http://portal.sulamericaseguros.com.br/lumis/doui/client/script/LumisDoui.js - DIRECT/200.255.120.216 -
1349178124.792 50 192.168.0.45 TCP_MISS/304 304 GET http://portal.sulamericaseguros.com.br/lumis/doui/control/validator/client/script/LumisDouiValidator... - DIRECT/200.255.120.216 -

Pensando ser um problema no site fiz o teste com um modem 3G da TIM e o site funcionou normalmente, em outros locais o site também funciona - devido aos testes penso que seja algo no Squid/Iptables.

Hoje estou utilizando o Debian 6 com Squid 3 (Proxy Transparente)

Segue squid.conf

http_port 3128 transparent
visible_hostname cap-server-fw01
error_directory /usr/share/squid3/errors/pt-br
cache_mem 64 MB
maximum_object_size_in_memory 7192 KB
maximum_object_size 700 MB
minimum_object_size 10 KB
cache_dir ufs /var/spool/squid3 1024 16 256
refresh_pattern ^ftp: 10 20% 570
refresh_pattern ^gopher: 10 20% 570
refresh_pattern . 10 20% 570
cache_access_log /var/log/squid3/access.log
cache_mgr ti@capitalrealty.com.br

################### ACLs CAPITAL REALTY #############################

acl localnet1 src 192.168.0.0/24
#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

acl msn_liberados src "/etc/squid3/msn_liberados"
acl mac_permitidos arp "/etc/squid3/mac_liberados"
acl negar_msn dstdomain "/etc/squid3/msn"
acl negar_msn2 url_regex "/etc/squid3/msn2"
acl msn url_regex -i gateway.dll
acl imo url_regex -i imo.im:443
acl msn2 req_mime_type -i ^application/x-msn-messenger
acl sites_proibidos dstdomain "/etc/squid3/sites_proibidos"
acl dominios_liberados dstdomain "/etc/squid3/dominios_liberados"
acl sites_liberados dstdomain "/etc/squid3/sites_liberados"
acl palavras_proibidas url_regex -i "/etc/squid3/palavras_proibidas"
acl hotmail url_regex -i "/etc/squid3/hotmail"
acl BLOCKTALK url_regex -i mail.google.com/mail/channel/bind
acl gtalk url_regex -i talk.google.com:443
acl gtalk url_regex -i talk.google.com:5222
acl gtalk url_regex -i desktop.google.com/download/googletalk/google-talk-versioncheck.txt?
acl gtalk url_regex -i chatenabled.mail.google.com

###############################################################
http_access allow mac_permitidos
http_access allow hotmail
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny BLOCKTALK
http_access deny gtalk
http_access deny negar_msn !msn_liberados
http_access deny negar_msn2 !msn_liberados
http_access deny msn !msn_liberados
http_access deny msn2 !msn_liberados
http_access deny sites_proibidos
http_access allow dominios_liberados
http_access allow sites_liberados
http_access deny palavras_proibidas
http_access allow localnet1
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow to_localhost
http_access deny all
http_reply_access allow all

Se alguém já passou por esse tipo de problema e puder me dar uma força agradeçco

Obrigado a todos

phrich
(usa Slackware)

Enviado em 02/10/2012 - 21:51h

Cara, o erro acontece pq o seu proxy é transparente...

Vc tem duas opções:

1 - Manter o proxy transparente e criar várias excessões para os sites com problemas no iptables

2 - Mudar para proxy autenticado (o mais recomendado)

duilio
(usa Suse)

Enviado em 03/10/2012 - 09:39h

Bom dia,

Voce tem algum exemplo de regra para o iptables para fazer essa exceção?
Testei algumas aqui e não estou conseguindo!

Mais uma vez obrigado

phrich
(usa Slackware)

Enviado em 03/10/2012 - 09:43h

na sua linha que redireciona o tráfego da 80 para a 3128 crie uma excessão com o "!":

iptables -t nat -A PREROUTING -p tcp --dport 80 !www.site.com ....


Mas o ideal mesmo é que fosse o Ip do site...

duilio
(usa Suse)

Enviado em 03/10/2012 - 10:34h

Fiz a exceção e mesmo assim continuo tendo a mensagem de erro!
Esse site esta pior que o da Conectivdade da Caixa heheheheheh

renato_pacheco
(usa Debian)

Enviado em 03/10/2012 - 11:06h

A primeira coisa é testar sem proxy, desativando a regra d redirecionamento. Se continuar a dar problemas, ponha exceção no endereço IP do site. Ex.:

iptables -t nat -A PREROUTING -d IP_SITE -j RETURN

 

Assim ele não passará nem pelo proxy e nem pelas regras do firewall, irá diretão.