Squid = sem navegação

guilmar
(usa Outra)

Enviado em 20/05/2011 - 09:46h

Estranho??? estranho sou eu... kkkkkkkkkkkkkkkkkk

Endereço IP: 172.16.32.36
Máscara de sub-rede: 255.255.255.0
Gateway padrão: 172.16.32.1
Servidor DHCP: 172.16.32.5
Obtenção da concessão: 20/5/2011 09:30:24
Vencimento da concessão: 20/5/2011 10:30:24
Servidores DNS: 172.16.32.5, 172.16.32.10
Servidor WINS: 172.16.32.5

Os ips .5 e .10 são dois servidores windows 2003, dois ADS.

Pow cara.. te agradeço mto a ajuda q tah dando!!!! =D

lpossamai
(usa Arch Linux)

Enviado em 20/05/2011 - 10:01h

sem stress cara...


fóda que não tem muito mais no que eu possa te ajudar...
meu palpite é de que, o pau esteja em seu arquivo de firewall...

dexcript
(usa Slackware)

Enviado em 20/05/2011 - 10:04h

Seguinte,

finaliza o squid com o comando: kill -9 `pgrep squid`

Na sequência inicie o squid da seguinte forma: squid -d3

Poste a saída do debug do squid para verificarmos possíveis problemas.

guilmar
(usa Outra)

Enviado em 20/05/2011 - 10:23h

gateway:/etc/squid> squid -d3
gateway:/etc/squid> 2011/05/20 10:22:55| Starting Squid Cache version 2.6.STABLE6 for i686-redhat-linux-gnu...
2011/05/20 10:22:55| Process ID 3563
2011/05/20 10:22:55| With 1024 file descriptors available
2011/05/20 10:22:55| Using epoll for the IO loop
2011/05/20 10:22:55| Performing DNS Tests...
2011/05/20 10:22:55| Successful DNS name lookup tests...
2011/05/20 10:22:55| DNS Socket created at 0.0.0.0, port 32890, FD 5
2011/05/20 10:22:55| Adding nameserver 172.16.32.5 from squid.conf
2011/05/20 10:22:55| User-Agent logging is disabled.
2011/05/20 10:22:55| Referer logging is disabled.
2011/05/20 10:22:55| Unlinkd pipe opened on FD 10
2011/05/20 10:22:55| Swap maxSize 2097152 KB, estimated 161319 objects
2011/05/20 10:22:55| Target number of buckets: 8065
2011/05/20 10:22:55| Using 8192 Store buckets
2011/05/20 10:22:55| Max Mem size: 131072 KB
2011/05/20 10:22:55| Max Swap size: 2097152 KB
2011/05/20 10:22:55| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2011/05/20 10:22:55| Rebuilding storage in /var/spool/squid (DIRTY)
2011/05/20 10:22:55| Using Least Load store dir selection
2011/05/20 10:22:55| Set Current Directory to /var/spool/squid
2011/05/20 10:22:55| Loaded Icons.
2011/05/20 10:22:56| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 12.
2011/05/20 10:22:56| Accepting ICP messages at 0.0.0.0, port 3130, FD 13.
2011/05/20 10:22:56| WCCP Disabled.
2011/05/20 10:22:56| Ready to serve requests.
2011/05/20 10:22:56| Done reading /var/spool/squid swaplog (0 entries)
2011/05/20 10:22:56| Finished rebuilding storage from disk.
2011/05/20 10:22:56| 0 Entries scanned
2011/05/20 10:22:56| 0 Invalid entries.
2011/05/20 10:22:56| 0 With invalid flags.
2011/05/20 10:22:56| 0 Objects loaded.
2011/05/20 10:22:56| 0 Objects expired.
2011/05/20 10:22:56| 0 Objects cancelled.
2011/05/20 10:22:56| 0 Duplicate URLs purged.
2011/05/20 10:22:56| 0 Swapfile clashes avoided.
2011/05/20 10:22:56| Took 0.5 seconds ( 0.0 objects/sec).
2011/05/20 10:22:56| Beginning Validation Procedure
2011/05/20 10:22:56| Completed Validation Procedure
2011/05/20 10:22:56| Validated 0 Entries
2011/05/20 10:22:56| store_swap_size = 0k
2011/05/20 10:22:56| storeLateRelease: released 0 objects
gateway:/etc/squid>


Estranho é que, se eu configuro o squid.conf com um DENY ALL, ele bloqueia e exibe a msg dizendo que não é permitido.... porém, se eu coloco um ALLOW ALL, ele dá timeout!! É como se não tivesse chegando as requisições.... =///
O que to entendendo é que, o squid tá liberando ou negando acesso como deveria, porem, após liberar, as requisições não retornam para ele.

dexcript
(usa Slackware)

Enviado em 20/05/2011 - 11:00h

Adicione a seguinte regra:
-A INPUT -s 172.16.32.0/24 -p tcp --dport 3128 -m state --state ESTABLISHED,RELATED -j ACCEPT

No contexto do teu arquivo de regras seria na seguinte ordem.

# Squid
-A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
-A INPUT -s 172.16.32.0/24 -p tcp --dport 3128 -m state --state ESTABLISHED,RELATED -j ACCEPT

Obs: essa regra somente manterá o estado das conexões com o squid. Já que você possui um default DROP na chain INPUT.

# realize o seguinte teste após:
squiclient -l 127.0.0.1 http://www.kernel.org

Poste as últimas 10 linhas da saída desse comando.

No aguardo...

guilmar
(usa Outra)

Enviado em 20/05/2011 - 13:24h

gateway:/root> squidclient -l 127.0.0.1 http://www.kernel.org
Alarme de tempo
gateway:/root>

dexcript
(usa Slackware)

Enviado em 20/05/2011 - 13:36h

poste a saída do comando 'cat /etc/resolv.conf'

poste a saída dos comandos abaixo:
execute o comando 'iptables -t filter -L -nv'
execute o comando 'iptables -t nat -L -nv'

No aguardo...

guilmar
(usa Outra)

Enviado em 20/05/2011 - 13:43h

Quando eu comento essas duas linhas:
#-A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 172.16.32.1:3128
#-A PREROUTING -i eth1 -s 172.16.32.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Eu volto a navegar... sem o squid, mas a navegação fica normal...

gateway:/root> cat /etc/resolv.conf
search vix.br.oiltanking.com
nameserver 172.16.32.5
gateway:/root>
-------------------------------

A saída do comando "iptables -t nat -L -nv" é gigante... o.0
Precisa da tudo ou de algo específico????

--------------------------------------------
gateway:/root> iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 745 packets, 51917 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 189.19.219.41 [IP] tcp dpt:3389 to:172.16.32.4:3389
0 0 DNAT tcp -- * * 189.19.219.41 [IP] tcp dpt:1433 to:172.16.32.4:1433
0 0 DNAT tcp -- * * 189.14.200.67 [IP] tcp dpt:3389 to:172.16.32.4:3389
0 0 DNAT tcp -- * * 189.14.200.67 [IP] tcp dpt:1433 to:172.16.32.4:1433
0 0 DNAT tcp -- * * 187.36.139.199 [IP] tcp dpt:3389 to:172.16.32.50:3389
0 0 DNAT tcp -- * * 187.36.139.199 [IP] tcp dpt:1433 to:172.16.32.50:1433

Chain POSTROUTING (policy ACCEPT 71 packets, 22283 bytes)
pkts bytes target prot opt in out source destination
568 33741 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 128 packets, 26097 bytes)
pkts bytes target prot opt in out source destination
gateway:/root>
------------------------------------------

Onde [IP] é o meu ip externo....

dexcript
(usa Slackware)

Enviado em 20/05/2011 - 14:28h

A questão é a seguinte,

tu utiliza proxy transparente ou proxy padrão???

Proxy Transparente - não é necessário configurar proxy nas estações ( browsers ), pois o iptables cuida para que as conexões da porta 80 sejam redirecionadas para o squid ( porta 3128 ).
Proxy Padrão - é necessário configurar proxy manualmente nas estações ( browsers ).

Para ativar o proxy transparente ( no teu caso ), siga os passos abaixo:

No arquivo /etc/squid/squid.conf configure a opção http_port conforme abaixo:

http_port 3128 transparent

Obs: no arquivo /etc/squid.conf que tu postou está 'http_port 3128'.

Reinicie o squid após a alteração.

Ative a regra abaixo no iptables:
iptables -t nat -A PREROUTING -i eth1 -s 172.16.32.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Recarregue as regras de iptables após a modificação.

OBS: o squid deve ser versão >= 2.6, caso contrário a configuração é diferente.
Para ver a versão do squid use o comando: squid -v | grep -i "version"

no aguardo.... valeu.

guilmar
(usa Outra)

Enviado em 20/05/2011 - 14:29h

Então... já ativei o transparent, e tbm já inseri essa regra no iptables...
Meu squid é o 2.6 Stable6

Não está funcionando nem sem se transparente... configurando diretamente no browser....

Segue um log de tentativa de acesso:

gateway:/root> tail /var/log/squid/access.log
1305912471.070 4544 172.16.32.49 TCP_MISS/000 0 GET http://0.89.channel.facebook.com/p - DIRECT/0.89.channel.facebook.com -
1305912472.015 27533 172.16.32.49 TCP_MISS/000 0 POST http://www.facebook.com/logout.php - DIRECT/www.facebook.com -
1305912473.146 35 172.16.32.49 TCP_MISS/000 0 GET http://static.ak.fbcdn.net/rsrc.php/v1/z-/r/nQo8LrNCPfQ.png - DIRECT/static.ak.fbcdn.net -
1305912473.283 4870 172.16.32.47 TCP_MISS/000 0 GET http://0.30.channel.facebook.com/p - DIRECT/0.30.channel.facebook.com -
1305912475.949 4220 172.16.32.49 TCP_MISS/000 0 GET http://0.89.channel.facebook.com/p - DIRECT/0.89.channel.facebook.com -
1305912477.949 4535 172.16.32.47 TCP_MISS/000 0 GET http://0.30.channel.facebook.com/p - DIRECT/0.30.channel.facebook.com -
1305912480.961 4257 172.16.32.49 TCP_MISS/000 0 GET http://0.89.channel.facebook.com/p - DIRECT/0.89.channel.facebook.com -
1305912482.950 4534 172.16.32.47 TCP_MISS/000 0 GET http://0.30.channel.facebook.com/p - DIRECT/0.30.channel.facebook.com -
1305912484.388 12109 172.16.32.49 TCP_MISS/000 0 POST http://www.facebook.com/logout.php - DIRECT/www.facebook.com -
1305912486.451 4747 172.16.32.49 TCP_MISS/000 0 GET http://0.89.channel.facebook.com/p - DIRECT/0.89.channel.facebook.com -
gateway:/root>

=//

lpossamai
(usa Arch Linux)

Enviado em 20/05/2011 - 14:31h

hehehhe...

cara.. pq sempre facebook? tem como testar com outro? só pra.. garantir
Outra coisa..
Você está usando proxy transparente? sim ou não?
Poste para Nós o seu squid.conf
sabemos que vc já havia postado, mas poste o atual...

guilmar
(usa Outra)

Enviado em 20/05/2011 - 14:35h

KKKKKKKKKKKKKKKKKKKKKKKKK
Verdade... FB e orkut são sempre o alvo... xD
Segue squid.conf

------------------------------------------------
############## PORTA SQUID ##############
http_port 3128 transparent
visible_hostname visible_hostname gateway.vix.br.oiltanking.com

hierarchy_stoplist cgi-bin ?

dns_nameservers 172.16.32.5
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

############## REDE LOCAL ##############
acl localnet src 172.16.32.0/24

############## ACL PORTAS ##############
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny download
http_access allow localhost
#http_access allow ldapauth
http_access allow localnet

#icp_access allow localnet
#icp_access deny all
http_access deny all

############## LOGS ##############
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log

############## DESEMPENHO/DISCO ##############
cache_mem 64 MB
maximum_object_size_in_memory 8 KB
memory_replacement_policy lru
cache_replacement_policy lru
cache_dir ufs /var/spool/squid 2048 16 256

### Tamanho maximo do arquivo que ira ser armazenado em cache ###
maximum_object_size 20000 KB

icp_access allow all

### Limpa cache ###
cache_swap_low 90
cache_swap_high 95

### Icones ###
icon_directory /usr/share/squid/icons
short_icon_urls on

### Errors configuracao ###
error_directory /usr/share/squid/errors/Portuguese

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#Cache windowsupdate
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
refresh_pattern www.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

#Cache atulizacao avira
refresh_pattern personal.avira-update.com/.*\.(cab|exe|dll|msi|gz) 10080 100% 43200 reload-into-ims

icp_port 3130
coredump_dir /var/spool/squid

------------------------------------------------