Proxy Squid não libera sites em Http

nilton-brito
(usa CentOS)

Enviado em 30/08/2017 - 15:26h

Boa tarde!

Amigos este e meu primeiro topico no forum, peço-lhes desculpas se eu cometer alguma infração.

Estou com o seguinte problema, e ja procurei diversos auxilios, ja segui diversos tutorial no youtube ate aqui mesmo no forum.
meu problea e o seguinte:
segue imagem do meu cenário.

Modem Adsl em Bridge - 15mb Velox OI
Mikrotik discando PPOE

configurações portas mikrotik RB 750:

Ether 1 = entrada modem
Ether 2 = saida rede cliente - 10.147.111.0/24 (dhcp 10.147.111.1.5 ate 254)
a um switch ligado na ether 2.

o Meu servidor Squid com Centos 7 esta ligado neste mesmo switch na rede cliente com o ip 10.147.111.2.

O meu problema e fiz todas as configurações certinhas fiz a regras no mikrotik para redirecionar o trafego da porta 80 para a porta 3128 no squid, ate ai tranquilo com o comando de log no squid consigo ver as solicitações inclusive os get da paginas sendo baixadas.

Segue regras do mikrotik:

General

Chain: dst-nat
Protocolo: Tcp
Dst.port: 80
In.Interface: bridge-local

Action

Action: dst-nat
To Addresse: 10.147.111.2
To Ports: 3128

Só que o squid so esta permitindo acesso as paginas HTTPS e bloqueando tudo e todo acesso das paginas HTTP, so que no log aparece os get de site HTTP, exemplo se eu digitar no navegador www.oi.com.br aparece a pagina de acesso negado, mais se eu digitar qualquer site que seja https ele acessa normal tipo o google, http://www.google.com.br nao abri o site ao contrario abre a pagina de bloqueio do squid mais se eu digitar https://www.google.com.br ele carrega normal.

ja revisei todas as acls, ja coloquei todas em allow, mais sem sucesso. meu desejo e fazer cache da rede de tudo que meus clientes acessam para que possa melhorar o trafego na rede e consumo do link.

segue meu squid.conf

##### CONFIGURACAO DE CACHE – MEMORIA – LOG
http_port 3128 transparent
visible_hostname servidor-proxy
cache_mem 2048 MB
cache_swap_low 90
cache_swap_high 98
maximum_object_size 1048576 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 128 KB
ipcache_size 2048
ipcache_low 90
ipcache_high 98
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /var/log/squid/cache 10000 16 256
cache_access_log /var/log/squid/access.log
##### OPCOES DE REFRESH #####
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
##### CONFIRMA AS ACLS ACIMA #####

##### ACLS PADRAO #####
acl manager proto cache_object
acl redelocal src 10.147.111.0/24
acl SSL_ports port 443 563 80
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
##### CONFIRMA AS ACLS PADRAO #####
http_access allow redelocal
http_access allow manager localhost
http_access deny manager
http_access allow !Safe_ports
http_access allow CONNECT
http_access allow !SSL_ports
http_access allow all
http_reply_access allow all
icp_access allow all
cache_effective_user squid
cache_effective_group squid

não consigo postar foto neste topico, queria colocar a prints de tela

lembrando que uso hotspot para autenticação e alguns dispositivo liberado acesso por mac.

Obs: Minha finalidade com o Squid e so fazer cache tranparente e que eu nao precise fazer configurações em navegadores com ip e porta, tendo em vista que tenho alguns equipamento na rede como chrome cast, celulares e tablets, e não tenho inteção no momento de bloquear nenhum trafego dos meus clientes.

Por favor alguem pode mim ajudar, sou iniciante no squid mais tenho uma pequena noção no mikrotik.

souzacarlos
(usa Outra)

Enviado em 30/08/2017 - 15:48h

Boa tarde.
Vamos por parte.

01: Dá uma conferida nesta regra sobre proxy transparent pq isso muda de versão pra versão do squid. Caso esteja setado automaticamente experimenta fazer um teste marcado o proxy nos clientes só pra garantir. Acredito que a dica abaixo irá te ajudar com a resolução desse problema.

Dica: Eu colocaria esse Squid em uma interface separada da tua RB (recomendado) até mesmo pra quando vc precisar fazer alguns testes de conectividade by-passando teu squid não gerar erros. E ai sim aplicaria a regra que vc criou. A partir dai faria o squid solicitar a página http direto a RB por aquela interface especifica que ele está conectado diretamente.


Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

showd07
(usa Debian)

Enviado em 30/08/2017 - 16:27h

Olá,
parece erro de algum nat ai.
Precisavamos de mais detalhes para lhe ajudar, se possivel
skype: showd.dota

nilton-brito
(usa CentOS)

Enviado em 30/08/2017 - 16:34h

Boa tarde!

Soucarlos,

ja tentei fazer isso, contudo quando configuro um IP nesta porta exclusiva para o squid.

ex: 10.147.112.2 este seria o ip pra ele

Ether3
10.147.112.0/30
IP squid 10.147.112.2
Gw 10.147.112.1
dns do google

acontece que na configuração de adrress no mikrotik tanto a ether 2 e a 3 ficam com a mesma configuração de ip,
creio que minha rb esteja com problema pq as demais portas não da link mesmo ativando elas.

ja pensei em mudar para mikrotik crackeado aquele de pc, contudo não terei suporte quanto a atualização, correção etc. ja que minha rb e licenciada.

qual sua opinião quanto a esta questão mudo ou não

nilton-brito
(usa CentOS)

Enviado em 30/08/2017 - 16:41h

e possivel postar prints?

showd07
(usa Debian)

Enviado em 30/08/2017 - 16:45h

Nao eh possivel postar prints, se quiser tenho wpp 41 99865-7434
ou skype ou email kkkk

ai posso ver se ajudo

souzacarlos
(usa Outra)

Enviado em 31/08/2017 - 08:21h

Bom dia
Cara, seu pensamento esta correto em relação a configurações, entretanto essa informação que as portas da RB ficam com as mesmas configs tá muito estranho, recomendo rever isso. Sobre utilizar uma RB crackeada, pq não? ou menos para testar se existe algo de errado.

Obs.: Vale lembrar que, se vc utilizar o squid em uma porta separada da RB as regras de de NAT em TODOS os sentidos precisam ser observadas, então muita atenção aos redirects de portas.

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

nilton-brito
(usa CentOS)

Enviado em 16/09/2017 - 11:10h

Já estou desistindo, tentei tudo já, troquei o firewalld pelo firewall fiz as config do iptables mesmo assim sem exito.
porem quando fiz as config no squid.conf para solicitar user e pass, quando faço login no browser, consigo acesso, so que este nao e meu objetivo.

Buckminster
(usa Debian)

Enviado em 16/09/2017 - 13:26h

Posta aqui a saída do comando squid -v ou squid3 -v.