Squid 3.5 barrando tudo [RESOLVIDO]

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 13:33h

Olá Pessoal.
Bom, vou direto: estava utilizando o squid 2.7 como proxy e estava funcionando tranquilamente HTTP e o HTTPS eu bloqueava pelo firewall mesmo. Vi que, a partir da versão 3.2, o Squid possui suporte para HTTPS, então lá fui eu tentar atualizar. Depois que atualizei, ele barra tudo. Tirei de tudo e já tentei várias formas de tentar liberar o tráfego, mas até se eu liberar a localnet de cara, ele continua barrando, e as páginas sempre dão TIMEOUT.

Configurei assim:

# ./configure --build=i486-linux-gnu --prefix=/usr --includedir=${prefix}/include --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --libexecdir=${prefix}/lib/squid --srcdir=. --datadir=/usr/share/squid --sysconfdir=/etc/squid --mandir=/usr/share/man --with-cppunit-basedir=/usr --with-logdir=/var/log/squid --with-pidfile=/var/run/squid.pid --with-filedescriptors=65536 --with-large-files --with-default-user=proxy --enable-ssl --enable-ssl-crtd --with-openssl 

Squid.conf:

http_port 3128 intercept
http_port 8080
https_port 3130 intercept ssl-bump cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key
visible_hostname MIRACULIX

always_direct allow all
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 8 startup=1 idle=1

acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_mgr thiago.nogueira@prestus.com.br

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/access.log
access_log stdio:/var/log/squid/access.log squid
cache_store_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt

pid_filename /var/log/squid/squid.pid

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl SSL_ports port 443 563
acl Safe_ports port 21 22 80 443 563 70 210 280 488 59 777 901 8080 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
acl localnet src 192.168.100.0/24

http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados.txt"
#acl liberados src "/etc/squid/ips_liberados.txt"

http_access deny sites_bloqueados
http_access allow localnet
http_access allow localhost
http_access deny all 

Firewall:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3130 

Bom, eu, particularmente, não gosto muito de ficar enchendo o saco de vocês, mas é que já tentei várias configurações diferentes e até com squid.conf.default, mas não vai de jeito nenhum, o que me leva a crer que foi configurado errado, mas, caso possam me ajudar, eu agradeço. Abraços o/

renato_pacheco
(usa Debian)

Enviado em 27/04/2015 - 15:21h

Pare seu Squid e vamos por partes:

- Seu firewall tá OK, não precisa mexer;
- Pq vc tem dois http_port? Remova o http_port 8080, não tem necessidade!
- Vc executou o comando /usr/lib/squid/ssl_crtd -s -c /var/lib/ssl_db -M 4MB? É necessário para criar a base de dados inicial. Não esqueça de colocar o diretório /var/lib/ssl_db como donos o usuário do proxy (pode ser proxy ou squid, depende da sua distro);
- Depois de tudo, execute o comando squid -k parse para verificar se existe algum erro no seu squid.conf.

Dê o seu feedback...

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 15:42h

Olá renato_pacheco,

Executei o comando /usr/lib/squid/ssl_crtd -s -c /var/lib/ssl_db -M 4MB sim e ajustei as permissões para o proxy.

O http_port 8080, eu tinha colocado por que estava dando um erro sobre porta de tráfego (que eu não lembra mais a mensagem exata), ae coloquei e a mensagem sumiu, mas já tirei.

Saída do squid -k parse:

2015/04/27 15:36:59| Startup: Initializing Authentication Schemes ...
2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'basic'
2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'digest'
2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'negotiate'
2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'ntlm'
2015/04/27 15:36:59| Startup: Initialized Authentication.
2015/04/27 15:36:59| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2015/04/27 15:36:59| Processing: http_port 3128 intercept
2015/04/27 15:36:59| Starting Authentication on port [::]:3128
2015/04/27 15:36:59| Disabling Authentication on port [::]:3128 (interception enabled)
2015/04/27 15:36:59| Processing: https_port 3130 intercept ssl-bump cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key
2015/04/27 15:36:59| Starting Authentication on port [::]:3130
2015/04/27 15:36:59| Disabling Authentication on port [::]:3130 (interception enabled)
2015/04/27 15:36:59| Processing: visible_hostname MIRACULIX
2015/04/27 15:36:59| Processing: always_direct allow all
2015/04/27 15:36:59| Processing: ssl_bump server-first all
2015/04/27 15:36:59| Processing: sslproxy_cert_error allow all
2015/04/27 15:36:59| Processing: sslproxy_flags DONT_VERIFY_PEER
2015/04/27 15:36:59| Processing: sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
2015/04/27 15:36:59| Processing: sslcrtd_children 8 startup=1 idle=1
2015/04/27 15:36:59| Processing: acl QUERY urlpath_regex cgi-bin?
2015/04/27 15:36:59| Processing: no_cache deny QUERY
2015/04/27 15:36:59| Processing: cache_mem 64 MB
2015/04/27 15:36:59| Processing: maximum_object_size_in_memory 64 KB
2015/04/27 15:36:59| Processing: maximum_object_size 512 MB
2015/04/27 15:36:59| Processing: minimum_object_size 0 KB
2015/04/27 15:36:59| Processing: cache_swap_low 90
2015/04/27 15:36:59| Processing: cache_swap_high 95
2015/04/27 15:36:59| Processing: cache_dir ufs /var/spool/squid 2048 16 256
2015/04/27 15:36:59| Processing: cache_mgr thiago.nogueira@prestus.com.br
2015/04/27 15:36:59| Processing: cache_access_log /var/log/squid/access.log
2015/04/27 15:36:59| Processing: cache_log /var/log/squid/access.log
2015/04/27 15:36:59| Processing: access_log stdio:/var/log/squid/access.log squid
2015/04/27 15:36:59| Processing: cache_store_log /var/log/squid/store.log
2015/04/27 15:36:59| Processing: cache_swap_log /var/log/squid/swap.log
2015/04/27 15:36:59| Processing: logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt
2015/04/27 15:36:59| Processing: pid_filename /var/log/squid/squid.pid
2015/04/27 15:36:59| Processing: refresh_pattern ^ftp: 15 20% 2280
2015/04/27 15:36:59| Processing: refresh_pattern ^gopher: 15 0% 2280
2015/04/27 15:36:59| Processing: refresh_pattern . 15 20% 2280
2015/04/27 15:36:59| Processing: acl SSL_ports port 443 563
2015/04/27 15:36:59| Processing: acl Safe_ports port 21 22 80 443 563 70 210 280 488 59 777 901 8080 1025-65535
2015/04/27 15:36:59| Processing: acl purge method PURGE
2015/04/27 15:36:59| Processing: acl CONNECT method CONNECT
2015/04/27 15:36:59| Processing: acl localnet src 192.168.100.0/24
2015/04/27 15:36:59| Processing: http_access allow purge localhost
2015/04/27 15:36:59| Processing: http_access deny purge
2015/04/27 15:36:59| Processing: http_access deny !Safe_ports
2015/04/27 15:36:59| Processing: http_access deny CONNECT !SSL_ports
2015/04/27 15:36:59| Processing: http_access allow localnet
2015/04/27 15:36:59| Processing: http_access allow localhost
2015/04/27 15:36:59| Processing: http_access deny all
2015/04/27 15:36:59| Initializing https proxy context
2015/04/27 15:36:59| Initializing https_port [::]:3130 SSL context
2015/04/27 15:36:59| Using certificate in /etc/squid/openssl.crt 

O tráfego continua barrado :/

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 16:21h

Estava lendo o access.log, e ele possui essa linha repetida várias vezes:
ERROR: No forward-proxy ports configured.

É a mesma linha que estava aparecendo quando eu coloquei http_port 8080 e parou de aparecer logo em seguida.

A solução apresentada aqui é configurar mais de uma porta para receber:
http://wiki.squid-cache.org/KnowledgeBase/NoForwardProxyPorts

Por isso fiz essa alteração. Vou voltá-la.

renato_pacheco
(usa Debian)

Enviado em 27/04/2015 - 16:28h

OK! Segundo passo. Vamos v as configs:

- Coloque o seu https_port assim: https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key;
- Remova o always_direct allow all, pois isto faz com q todas os pacotes não sejam analisados pelo Squid;
- Comente o http_access deny all inicialmente para vc fazer os testes. Depois vc bloqueia aos poucos.

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 16:40h

Fiz isso e tentei até jogar um http_access allow all logo depois das acl, mas não foi assim mesmo. Testando aqui, notei que, com exceção das páginas do Google (Google, Gmail, Drive), nenhuma outra abre, não importando se é por HTTP ou HTTPS. Todas dão ERR_CONNECTION_TIMED_OUT.

Será que não é configuração de instalação? Tentei com o 3.2 e deu o mesmo problema. Os únicos que consegui fazer funcionar foram o 2.7 e o 3.1, que não possuem suporte para HTTPS, mas ambos foram por apt-get :/

renato_pacheco
(usa Debian)

Enviado em 27/04/2015 - 17:04h

Então veja nos logs (access.log e cache.log) q lá deve ter alguma pista.

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 18:08h

A coisa mais estranha que achei foi no cache.log:
commBind: Cannot bind socket FD 11 to [::]:3128: (98) Address already in use
FATAL: Unable to open HTTP Socket
Squid Cache (Version 3.5.3): Terminated abnormally.

Verifiquei pelo netstat, e só o squid que está utilizando a porta 3128. Mas notei que rodam sempre dois squids no servidor:

# ps -aux | grep squid
root     19487  0.0  0.2  16316  2476 ?        Ss   17:44   0:00 squid
proxy    19489  0.0  1.1  20932 11724 ?        S    17:44   0:00 (squid-1) 

# netstat -antp | grep 3128
tcp6       0      0 :::3128       :::*     LISTEN     19489/(squid-1) 

Vou continuar pesquisando aqui, mas aceito ajuda :D

renato_pacheco
(usa Debian)

Enviado em 28/04/2015 - 09:08h

Cara, é simples: mate todos os processos do Squid antes d subi-lo:

killall -9 squid
 

E veja os logs novamente quando estiver rodando.

thinomar
(usa Linux Mint)

Enviado em 29/04/2015 - 18:20h

O cache.log está perfeito agora, sem nenhum warning, fatal ou qualquer outro problema, mas está barrando tudo ainda. Mas tem algo que me deixou na dúvida:
A porta 3128 teria de estar reservada para IPv4, não é? Olha o que aparece quando dou netstat:

# netstat -antp | grep 3128
tcp6       0      0 :::3128     :::*         LISTEN      16159/(squid-1) 

Esse tcp6 não é do IPv6? Acho que ele está barrando tudo que mandou pra ele por que não está ouvindo IPv4, mas sim IPv6, ou posso estar errado, não sei, mas alterei:

http_port 3128 intercept 

para

http_port 192.168.100.5:3128 intercept 

Depois disso, o netstat mostra a porta liberada para ipv4 apenas, mas... continua não funcionando. Não sei mais o que fazer :/

renato_pacheco
(usa Debian)

Enviado em 29/04/2015 - 23:34h

Cara, blz, vc viu como tá no access.log? E q tipo d bloqueio aparece no navegador? É a mensagem d bloqueio do squid?

SK5_RJ
(usa Debian)

Enviado em 30/04/2015 - 11:41h

Amigos boa tarde, atualizei o server e utilizo os mesmo serviços, mas estou aproveitando o Squid.conf da versão 3.1 com pouquíssimas modificações, entretanto não inclui nada para bloquear https, tem algum problema? Pergunto, pq no momento não tenho interesse em atualizar..

Detalhe, eu tenho o dansguardian em minha rede, ou seja primeiro os passam pelo dansguardian e so depois vão para o squid, sendo assim a porta 3128 vai para o dansguardian e a Https diretamente para o squid, certo??? Claro, isto eu criei as regras no Iptables!
Abraços!!!