liberar sites https:

bruno mota
(usa Debian)

Enviado em 27/07/2011 - 13:39h

Caros boa tarde,

Como faço para liberar sites https pelo squid? ex: tem dois endereços da microsoft: http://*.update.microsoft.com e https://*.update.microsoft.com..
caso eu crie uma acl para liberação (apenas um exemplo)
acl microsoft dstdomain -i "etc/squid/microsoft"
dentro do arquivo "microsoft",adicionaria o endereço:
*.update.microsoft.com. O squid consegue interpretar o símbolo "*"?

e se eu quisesse colocar o endereço https://*.update.microsoft.com?

Outra coisa..dentro do arquivo caso eu coloque um endereço qualquer,ex:
http://www.globo.com, o squid consegue interpretar o símbolo "http" ou tenho que colocar apenas www.globo.com?

Abraços

LinuxTec
(usa Debian)

Enviado em 27/07/2011 - 13:57h

Esquece amigo, o windows update não trabalha com proxy, o que vc deve fazer é criar uma acl EX: ALLOW_FREE e dentro dela coloque os IPS que navega sem proxy, depois de atualizar o terminal vc retorna o proxy...

bruno mota
(usa Debian)

Enviado em 27/07/2011 - 14:04h

Obrigado pelo retorno..realmente está dando a maior dor de cabeça aqui..a Empresa não quer comprar outro pc para eu rodar o WSUS..agora estou quebrando a cabeça com isso.. Eu adicionei uns sites da microsft do começo do squid porém as atualizações só funcionam manualmente..

Mais me tira outra dúvida.. caso eu quisesse adicionar um domínio na lista de liberação de sites..começado por https://www.teste.com.br..como ficaria?

Abraços

fs.schmidt
(usa CentOS)

Enviado em 27/07/2011 - 14:26h

Amigo Linuxtec, sua informação não procede, por favor esclareça pois devo ter entendido errado.

fs.schmidt
(usa CentOS)

Enviado em 27/07/2011 - 14:28h

Olá Bruno, para liberar todos os endereços de um dominio utilizando a diretiva "dst_domain" como você citou utiliza-se o "."

Ex.: .microsoft.com
.windowsupdate.com

Você está utilizando proxy transparente? Precisa de alguma forma fazer o cache das atualizações pois não tem o WSUS no ambiente, é isso?

bruno mota
(usa Debian)

Enviado em 27/07/2011 - 14:37h

Obrigado pelo retorno. Correto.

Atualmente não tenho um wsus e utilizo proxy transparente. A questão da minha rede é que as estações estão com as atualizações automáticas setadas..porém não conseguem funcionar de forma automática. Tenho que ir nas estações e realizar a atualização manual pelo site da microsoft..
No inicio nem o site da microsoft carregava corretamente para atualização..depois de quebrar a cabeça adicionei no começo do squid as acls abaixo e consegui fazer as atualizações manualmente:
acl sitefree dstdomain .microsoft.com
acl sitefree1 dstdomain .windows.com
acl sitefree2 dstdomain .windowsupdate.com

http_access allow sitefree
http_access allow sitefree1
http_access allow sitefree2



abraços
Bruno Mota

LinuxTec
(usa Debian)

Enviado em 27/07/2011 - 16:04h

Amigo, cria uma acl para liberar os hosts que vc necessita atualizar, será muito utilizada essa acl para varios acessos posteriores, infelismente o servidor da microsoft ta muitos erros quando se tenta atualizar com proxy ...

faça o seguinte, cre a acl

acl acessoliberado src "/etc/squid/acessol_iberado"

http_access allow acessoliberado

Dentro desse arquivo coloque o IP do terminal que vc quer atualizar e tire o proxy do nagevador OK

LinuxTec
(usa Debian)

Enviado em 27/07/2011 - 16:06h

não esqueça de dar um reload no arquivo de configuração


squid -k reconfigure

fs.schmidt
(usa CentOS)

Enviado em 27/07/2011 - 20:10h

Linuxtec, desculpe mas nada do que você falou tem fundamento.

1 - Primeiro, você afirmou que o windowsupdate não trabalha com prox.

De onde você tirou isso? É possível utilizar o windowsupdate atrás de um servidor proxy sem problema algum, uma vez que são requisições HTTP/HTTPS. Basta ter o tratamento certo e irá funcionar 100%.

2 - Você sugeriu: http_access allow acessoliberado

De onde também você tirou que isso irá evitar que as conexões de determinado host/usuário não serão direcionadas para o proxy??? Isso apenas irá liberar acesso a TUDO....

3 - Por ultimo, você sugeriu tirar o ip do proxy no navegador.

????? Se não estiver sendo utilizado proxy transparente, esse cliente deve navegar sem o proxy então???? E se fosse o caso dele ter proxy transparente?


Espero que entenda que não te atacando ou criticando, porém isso é um forum e estamos aqui para discutir, e inclusive devemos evitar desinformação.

fs.schmidt
(usa CentOS)

Enviado em 27/07/2011 - 20:12h

Bruno, para te ajudar a concluir o tópico, você utiliza proxy transparente? Faz controle por ip ou usuário?

bruno mota
(usa Debian)

Enviado em 27/07/2011 - 22:36h

Eu utilizo proxy transparente....segue meu squid..é uma configuração básica:
obs: após ter adicionado as linhas com o endereço da microsoft consegui atualizar as estações, porém de forma manual (indo direto no navegador e baixando as atualizações)

http_port 3128
visible_hostname firewall-ter
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256

acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535


#LIBERAR ATUALIZACOES MICROSFOT

acl sitefree dstdomain .microsoft.com
acl sitefree1 dstdomain .windows.com
acl sitefree2 dstdomain .windowsupdate.com

http_access allow sitefree
http_access allow sitefree1
http_access allow sitefree2

#TRAVAR MSN E ORKUT
acl bloqueio url_regex -i "/etc/squid/trava_msn_orkut"
http_access deny bloqueio


#BLOQUEIO DE PESQUISA POR PALAVRAS
acl bloqueio_por_palavras url_regex -i "/etc/squid/list/palavras.txt"
http_access deny bloqueio_por_palavras

#BLOQUEIO DE EXTENSOES VIA BROWSER

acl bloqueio_extensoes url_regex -i "/etc/squid/extensoes_bloqueadas"
http_access deny bloqueio_extensoes


acl rede_interna src 192.168.0.0/24
http_access allow rede_interna
acl all src 0.0.0.0/0.0.0.0
http_access deny all

LinuxTec
(usa Debian)

Enviado em 28/07/2011 - 08:07h

Bruno criticar é tão facil, dar solução é complicado..

Amigo faz o seguinte então, não mexe em seu squid, apenas libere o host que vc deseja atualizar por iptables, depois de atualizar vc DROP a regra criada..

iptables -t nat -I PREROUTING -s IP_INTERNO_QUE_DESEJA_ATUALIZAR -p tcp –dport 80 -j ACCEPT

OU

iptables -t nat -A POSTROUTING -s IP_INTERNO/MASCARA -o eth0 -j MASQUERADE

Dessa forma, o squid não pega e não cria log.
eth0 = internet

Lembrando que se for proxy autenticado, vc deve tirar do navegador