Squid Lento com Erro tc_denied 407

diego17sg
(usa Debian)

Enviado em 14/04/2012 - 10:09h

Olá Galera,

seguinte estou tendo dficuldades com acesso autenticando ntlm via squid, consigo abrir os sites mas
com muita lentidão e olhando o access.log vi o seguinte erro

TCP_DENIED/407 Alguém sabe o que pode ser?

Já esvaziei o cache, refiz e nada.

Obrigado.

phrich
(usa Slackware)

Enviado em 14/04/2012 - 10:33h

Este erro é proveniente de acesso negado, poste seu squid.conf para darmos uma olhada.

diego17sg
(usa Debian)

Enviado em 14/04/2012 - 11:04h

http_port 3128
cache_dir aufs /var/spool/squid3/ 8196
cache_mem 1.000 MB
maximum_object_size 131070 KB
minimum_object_size 0 KB
ipcache_size 16384
ipcache_low 90
ipcache_hig 95
memory_pools on
fqdncache_size 16384
maximum_object_size_in_memory 8 MB
access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
coredump_dir /var/spool/squid3

#autenticação no WIndows 2003
auth_param ntlm program /usr/bin/ntlm ....

acl rede_local src 192.168.1.0/24

acl alldesti dst 0.0.0.0/0.0.0.0
acl to_localhost dst 127.0.0/8
acl liberados url_regex -i "/etc/squid3/acls/sites_liberados"


#obter grupos do AD

acl acesso_completo external grupo_AD Internet_Acesso_Completo
acl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado

http_access deny !acesso_completo
http_access deny acesso_bloqueado !Liberados
http_access allow rede_local

diego17sg
(usa Debian)

Enviado em 14/04/2012 - 11:09h

Quando inverto essas regras

http_access deny !acesso_completo
http_access deny acesso_bloqueado !Liberados
http_access allow rede_local

Para

http_access allow rede_local
http_access deny !acesso_completo
http_access deny acesso_bloqueado !Liberados


Porém Libero tudo com ela, mas o acesso fica normal.

phrich
(usa Slackware)

Enviado em 14/04/2012 - 11:13h

Vou verificar suas regras e já te respondo...

phrich
(usa Slackware)

Enviado em 14/04/2012 - 11:21h

Cara, fiz umas correções no seu squid.conf, removi algumas regras e ajustei outras, faça um comparativo e teste por ai, e veja os comentários que eu fiz ao final da conf.

http_port 3128
cache_dir aufs /var/spool/squid3/ 8196
cache_mem 1.000 MB
maximum_object_size 131070 KB
minimum_object_size 0 KB
ipcache_size 16384
ipcache_low 90
ipcache_hig 95
memory_pools on
fqdncache_size 16384
maximum_object_size_in_memory 8 MB
access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
coredump_dir /var/spool/squid3

#autenticação no WIndows 2003
auth_param ntlm program /usr/bin/ntlm ....

acl all src 0.0.0.0/0.0.0.0
acl rede_local src 192.168.1.0/24

acl to_localhost dst 127.0.0/8
acl liberados url_regex -i "/etc/squid3/acls/sites_liberados"


#obter grupos do AD

acl acesso_completo external grupo_AD Internet_Acesso_Completo
acl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado

http_access allow acesso_completo
http_access deny acesso_bloqueado !Liberados
http_access allow rede_local
http_access deny all


##
E outra vc está utilizando o squid 2.x atualize para a versão 3.x assim vc estará mais seguro e menos propenso a erros que na versão 3.x não acontecem mais, mas faça um backup de suas confs antes de atualizar.

Caso vc atualize, a regra "acl all src" será apenas em branco sendo desnecessário o uso de 0.0.0.0/0.0.0.0 caso vc adicione a sequencia de zeros o squid irá lhe apresentar um erro e não carregará as regras.

phrich
(usa Slackware)

Enviado em 14/04/2012 - 11:23h

Desculpe depois fui ver que vc está utilizando o squid 3.x, sendo assim na acl "acl all src" retire o 0.0.0.0/0.0.0.0

diego17sg
(usa Debian)

Enviado em 14/04/2012 - 11:51h

Caro PH fiz os testes com essas regras modificadas e continua lento a conexão.

Desde já agradeço a compreensão!

phrich
(usa Slackware)

Enviado em 14/04/2012 - 11:58h

Cara talvez seu problema não esteja diretamente no squid...

Vc utiliza iptables por ai?

diego17sg
(usa Debian)

Enviado em 14/04/2012 - 12:01h

Não, todas as regas das chains do iptables está padrão, apenas ativei o roteamento.

Achei que fosse alguma coisa em relação a autenticação via win2003 mas visto que quando libero tudo funciona não tem sentido.

Devo fazer alo no iptables?

phrich
(usa Slackware)

Enviado em 14/04/2012 - 12:03h

Poste aqui como ficou seu squid.conf e suas configurações do iptables...

diego17sg
(usa Debian)

Enviado em 14/04/2012 - 12:14h

http_port 3128
cache_dir aufs /var/spool/squid3/ 8196
cache_mem 1.000 MB
maximum_object_size 131070 KB
minimum_object_size 0 KB
ipcache_size 16384
ipcache_low 90
ipcache_hig 95
memory_pools on
fqdncache_size 16384
maximum_object_size_in_memory 8 MB
access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
coredump_dir /var/spool/squid3

#autenticação no WIndows 2003
auth_param ntlm program /usr/bin/ntlm ....

acl all src
acl rede_local src 192.168.1.0/24

acl to_localhost dst 127.0.0.0/8
acl liberados url_regex -i "/etc/squid3/acls/sites_liberados"


#obter grupos do AD

acl acesso_completo external grupo_AD Internet_Acesso_Completo
acl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado

http_access allow acesso_completo
http_access deny acesso_bloqueado !Liberados
http_access allow rede_local
http_access deny all



Quanto ao iptables todas as policy estão como ACCEPT filter,nat, mangle, raw. Não nenhuma regra estabelcida.