Squid Bloqueando todos acessos [RESOLVIDO]

diogospace
(usa Debian)

Enviado em 06/06/2017 - 17:59h

Pessoal boa tarde.

Estou com um squid -v 3.4.8 que esta bloqueando todos acessos.

Alguem pode me ajudar ? abaixo meu squid.conf

root@proxy:/etc/squid3# cat squid.conf

# Squid normally listens to port 3128

http_port 3128 intercept

visible_hostname proxy.controler

dns_nameservers 201.6.2.124 #208.67.222.222 #DNS do OPENDNS

dns_nameservers 208.67.220.220 #DNS do OPENDNS



maximum_object_size 16 MB

cache_dir ufs /var/spool/squid3 2048 16 256

# Leave coredumps in the first cache dir

coredump_dir /var/spool/squid3

always_direct allow all

#never_direct allow none

refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern .               0       20%     4320



##ACLS

acl all src 0.0.0.0/0.0.0.0

acl localnet src 192.168.0.0/24



acl proibidos url_regex -i "/etc/squid3/sites_proibidos"

acl permitidos url_regex -i "/etc/squid3/sites_permitidos"

acl FullAccess src 192.168.0.49

acl redelocal src 192.168.0.0/24



#http_access allow localhost manager localnet

#http_access deny manager

#http_access deny !Safe_ports

#http_access deny CONNECT !SSL_ports



acl SSL_ports port  443 563

acl Safe_ports port 2095        # webmail

acl Safe_ports port 25          # smtp

acl Safe_ports port 587         # smtp

acl Safe_ports port 110         # pop

acl Safe_ports port 80          # http

acl Port_8080  port 8080        # prefeitura

acl Port_809   port 809         # SPtrans

acl Safe_ports port 21          # ftp

acl Safe_ports port 443 563     # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http

acl Safe_ports port 37777       # intelbras portatil

acl Safe_ports port 7070        # intepbras http

acl Safe_ports port 8081        #grv

acl Safe_ports port 2021        # intepbras http

acl purge method PURGE

acl CONNECT method CONNECT



http_access allow Port_8080

http_access allow Port_809

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !Safe_ports

http_access allow localhost

##Controle de acesso



http_access allow redelocal FullAccess

http_access allow permitidos

http_access deny proibidos



http_access allow localhost

http_access allow all

 

Meu firewall esta com essas regras

iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT

iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128



 

Alguem me ajuda?

Buckminster
(usa Debian)

Enviado em 06/06/2017 - 20:27h

Troque essas duas regras do firewall

iptables -A INPUT -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -A PREROUTING -t nat -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

por essa

iptables -t nat -A PREROUTING -i ethx -p tcp --dport 80 -j REDIRECT --to-port 3128 # Em ethx tu coloca a interface da rede interna

Faça a alteração comentando as duas regras e acrescentando a outra, reinicie o servidor e teste.
Depois a gente mexe no teu Squid porque tem alguns erros nele.
Dúvidas, posta aqui.

diogospace
(usa Debian)

Enviado em 07/06/2017 - 08:32h

Bom dia.
Realizei as alterações e infelizmente continua bloqueando, se for possivel me dar esse help ficarei muito grato por desprender do seu tempo.
Havia esquecido de postar, mas segue abaixo o access.log

1496834939.922      0 192.168.0.49 TAG_NONE/409 3905 CONNECT ssl.gstatic.com:443 - HIER_NONE/- text/html

1496834939.987      0 192.168.0.49 TAG_NONE/409 3911 CONNECT www.google.com.br:443 - HIER_NONE/- text/html

1496834940.068      0 192.168.0.251 TCP_MISS/403 5002 GET http://www.mercadolivre.com.br/ - HIER_NONE/- text/html

1496834940.069    137 192.168.0.49 TCP_MISS/403 5118 GET http://www.mercadolivre.com.br/ - ORIGINAL_DST/192.168.0.251 text/html

1496834940.556      0 192.168.0.251 TCP_MISS/403 4016 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html

1496834940.556    473 192.168.0.49 TCP_MISS/403 4132 GET http://www.squid-cache.org/Artwork/SN.png - ORIGINAL_DST/192.168.0.251 text/html

1496834940.739      0 192.168.0.251 TCP_MISS/403 5001 GET http://www.mercadolivre.com.br/favicon.ico - HIER_NONE/- text/html

1496834940.739      1 192.168.0.49 TCP_MISS/403 5117 GET http://www.mercadolivre.com.br/favicon.ico - ORIGINAL_DST/192.168.0.251 text/html

1496834941.392      0 192.168.0.49 TAG_NONE/409 3917 CONNECT accounts.google.com:443 - HIER_NONE/- text/html

1496834949.815      0 192.168.0.49 TAG_NONE/409 3917 CONNECT accounts.google.com:443 - HIER_NONE/- text/html

1496834971.457      0 192.168.0.49 TAG_NONE/409 3917 CONNECT accounts.google.com:443 - HIER_NONE/- text/html

1496835047.706      0 192.168.0.49 TAG_NONE/409 3917 CONNECT accounts.google.com:443 - HIER_NONE/- text/html

 

diogospace
(usa Debian)

Enviado em 07/06/2017 - 11:12h

obrigado

Buckminster
(usa Debian)

Enviado em 07/06/2017 - 11:55h

Comente as linhas abaixo:

dns_nameservers 201.6.2.124 #208.67.222.222 #DNS do OPENDNS
dns_nameservers 208.67.220.220 #DNS do OPENDNS
always_direct allow all
acl all src 0.0.0.0/0.0.0.0
acl localnet src 192.168.0.0/24

Responda-me:
Qual a mensagem de erro ou bloqueio que o navegador dá?

Você fez um script do Iptables e colocou ele para iniciar junto com o sistema?
Todo o conteúdo do teu Iptables é somente essa linha que eu postei?

O erro TAG_NONE/409 significa que há conflito de requisições no cache.
O erro TCP_MISS/403 significa que o objeto requisitado não estava no cache e por isso foi negado o pedido.

Primeiro vamos arrumar teu Iptables.

http://vidadeti.com/codigos-do-squid/
https://ricardobarbosams.wordpress.com/2009/12/30/codigo-de-erros-e-status-squid/

diogospace
(usa Debian)

Enviado em 07/06/2017 - 12:08h

navegador

Acesso negado

 

access.log

root@proxy:/var/spool/squid3# tail /var/log/squid3/access.log

1496847257.693     15 192.168.0.49 TCP_DENIED/403 4111 POST http://tools.google.com/service/update2? - HIER_NONE/- text/html

1496847296.630      0 192.168.0.49 TCP_DENIED/403 4111 POST http://tools.google.com/service/update2? - HIER_NONE/- text/html

1496847343.447      0 192.168.0.49 TAG_NONE/409 3852 CONNECT clients4.google.com:443 - HIER_NONE/- text/html

1496847533.195      0 192.168.0.49 TAG_NONE/409 3867 CONNECT clients4.google.com:443 - HIER_NONE/- text/html

1496848034.177      0 192.168.0.251 TCP_MISS/403 4997 GET http://www.mercadolivre.com.br/ - HIER_NONE/- text/html

1496848034.177    147 192.168.0.49 TCP_MISS/403 5113 GET http://www.mercadolivre.com.br/ - ORIGINAL_DST/192.168.0.251 text/html

1496848034.201      0 192.168.0.251 TCP_MISS/403 4016 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html

1496848034.201     13 192.168.0.49 TCP_MISS/403 4132 GET http://www.squid-cache.org/Artwork/SN.png - ORIGINAL_DST/192.168.0.251 text/html

1496848034.208      0 192.168.0.251 TCP_MISS/403 5019 GET http://www.mercadolivre.com.br/favicon.ico - HIER_NONE/- text/html

1496848034.209      1 192.168.0.49 TCP_MISS/403 5135 GET http://www.mercadolivre.com.br/favicon.ico - ORIGINAL_DST/192.168.0.251 text/html



 

diogospace
(usa Debian)

Enviado em 07/06/2017 - 14:02h

Obrigado

diogospace
(usa Debian)

Enviado em 08/06/2017 - 08:29h

Ola bom dia.
Alguma novidade ?

Buckminster
(usa Debian)

Enviado em 08/06/2017 - 08:35h

Você fez o que eu sugeri no comentário 5?

Você fez um script do Iptables e colocou ele para iniciar junto com o sistema?
Todo o conteúdo do teu Iptables é somente essa linha que eu postei?

diogospace
(usa Debian)

Enviado em 08/06/2017 - 09:24h

Olá fiz os dois casos, um iptables apenas com essas linhas e um que possui as regras, em ambos os casos não tive sucesso.

diogospace
(usa Debian)

Enviado em 08/06/2017 - 09:29h

O que possui as regras gerais está inclusive em operação em outro servidor.

Buckminster
(usa Debian)

Enviado em 08/06/2017 - 09:48h

Primeiro: peço que seja mais específico nas respostas informando o problema, por exemplo, a mensagem Acesso Negado é muito geral.
Tenho certeza que no navegador aparece junto com essa mensagem algum número e alguma outra informação.
E você não responde as informações que preciso, assim se torna difícil ajudar.
Parece que você responde tudo com rapidez e resolver problemas na pressa nunca dá certo.

Separe essas duas ACLs

http_access allow redelocal FullAccess

deixe assim

http_access allow redelocal
http_access allow FullAccess

Reinicie o Squid e poste aqui o access.log de novo.

No teu squid.conf não tem nada que bloqueie o acesso geral.
Parece-me que o problema está em outro lugar, talvez no Iptables.

Execute

squid -k parse ou squid3 -k parse e poste aqui a saída também.