Tobias,
A limpeza do cache já havia feito e não funcionou
A regra abaixo não funciona pois todas as solicitações chegam na porta
3128 e não na 80. Ja havia testado antes tb.
O navegador também nao é pois testei em todos
Ativa o squid nao funciona, quando desativa vai.
Muito estranho
Mais alguma dica?
Valeu,
Patrick
Em 04-06-2013 15:46, Tobias Sette escreveu:
Para apagar o cache do squid faça:
service squid3 stop
rm -Rf /var/spool/squid3/*
squid3 -z
service squid3 start
Para apagar o cache do browser vai depender de cada browser. Tambem é
interessante trocar de browser.
Caso nao dê certo libere no squid o dominio problematico, antes da
regra que pede autenticação.
Por ultimo, voce pode possibilitar que o acesso a este dominio seja
feito por fora do proxy, para isso adicione o dominio na lista de
exceções do navegador (esta opção fica perto da que define o endereço
do proxy) e liberar o site no firewall. Exemplo de regra no iptables:
$IPTABLES -A FORWARD -p tcp -s $REDE -d 200.142.253.26 --dport 80 -j
ACCEPT
Nota: 200.142.253.26 é o ip que atende por painel.arpe.com.br
<http://painel.arpe.com.br>. Caso voce utilize este mesmo procedimento
para sites maiores é provavel que hajam varios ips responsaveis pelo
dominio, neste caso utilize este site http://pop.robtex.com para fazer
a consulta do range de ips, ele vai aparecer na coluna route do
registro a.
Att,
Tobias
http://gnu.eti.br
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++
!E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e-
h+ r-- y?
------END GEEK CODE BLOCK------
Em 4 de junho de 2013 14:22, Patrick EL Youssef
<wushumast...@gmail.com <mailto:wushumast...@gmail.com>> escreveu:
Não da nenhum erro
Ele fica carregando infinitamente
As vezes carrega só um pedaço do site
Fiz isso do cache e ficou a mesma coisa
Valeu,
Patrick
Em 04-06-2013 13:44, Tobias Sette escreveu:
Ops, acabou que estavamos conversando fora da lista.
Qual erro ocorre no site?
Limpe o cache do squid e do navegador e tente novamente.
Att,
Tobias
http://gnu.eti.br
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+
L+++>+++++ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@
G e- h+ r-- y?
------END GEEK CODE BLOCK------
Em 4 de junho de 2013 11:28, Patrick EL Youssef
<wushumast...@gmail.com <mailto:wushumast...@gmail.com>> escreveu:
Opa Alexandre,
Primeiramente obrigado a todos
O Tobias me encaminhou este link e é exatamente o mesmo caso
porém não é um site de banco
http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-lidar-com-sites-de-bancos-OU-Permitir-determinados-sites-de-sairem-pela-porta-80/
Meu squid esta na versão 3.1.6 que é a versão do debian
squeeze e segue o squid.conf
http_port 192.168.1.1:3128 <http://192.168.1.1:3128>
error_directory /usr/share/squid3/errors/Portuguese
httpd_suppress_version_string on
cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 800 MB
minimum_object_size 10 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 32 512
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 5 20% 2280
refresh_pattern ^gopher: 5 0% 2280
refresh_pattern . 5 20% 2280
acl manager proto cache_object
acl localhost src 127.0.0.1/32 <http://127.0.0.1/32>
acl to_localhost dst 127.0.0.0/8 <http://127.0.0.0/8>
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregister ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
auth_param basic realm SQUID
auth_param basic program /usr/lib/squid3/ncsa_auth
/etc/squid3/.squid_passwd
auth_param basic children 5
acl palavras_comuns url_regex -i "/etc/squid3/palavras_comuns"
acl diretoria proxy_auth usuario
acl autenticados proxy_auth REQUIRED
http_access allow diretoria
http_access deny palavras_comuns
http_access allow autenticados
acl redelocal src 192.168.1.0/24 <tel:192.168.1.0%2F24>
http_access allow localhost
http_access deny to_localhost
http_access allow redelocal
http_access deny all
Meu firewall:
IPTABLES=`which iptables`
EXT=eth1
EXT2=eth2
INT=eth0
REDE=192.168.1.0/24 <tel:192.168.1.0%2F24>
#----CARREGA OS MODULOS DO IPTABLES----
modprobe ip_tables
modprobe iptable_nat
#----LIMPA AS TABELAS JA EXISTENTES----
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t filter -F
$IPTABLES -t mangle -F
$IPTABLES -X -t nat
#----PROTEGE CONTRA SYN-FLOOD------
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#----CONTRA TRACEROUTE-----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
#----PROTEGE CONTRA RESPONSES BOGUS-----
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#----NAO RESPONDE A PING------
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#----DESATIVA O PING BROADCAST-----
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#----IMPEDE ALTERACAO DE ROTAS----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
#----DESCARTA PACOTES MAL FORMADOS----
$IPTABLES -A INPUT -m state --state INVALID -j DROP
#-----BLOQUEANDO TRACEROUTE------
$IPTABLES -A INPUT -p udp -s 0/0 -i $EXT --dport 33435:33525
-j DROP
# Habilitar verificacao de rota de origem (Protecao p/ IP
Spoofing)
for RP in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 >
$RP ; done
#----SETA A POLITICA PADRAO DO FIREWALL----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -I FORWARD -p tcp -s 192.168.1.0/24
<tel:192.168.1.0%2F24> -i $INT --dport 80 -j DROP
#$IPTABLES -A INPUT -j LOG
#----LIBERA A PORTA 7022 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix
"FIREWALL SSH "
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
#----LIBERA A PORTA 80 APENAS PARA A REDE INTERNA E LOGA OS
ACESSOS NELA----
$IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix
"APACHE "
$IPTABLES -A INPUT -p tcp -s $REDE --dport 80 -j ACCEPT
#----LIBERA A PORTA 2564 E LOGA OS ACESSOS NELA----
$IPTABLES -A INPUT -p udp --dport 1194 -j LOG --log-prefix
"OPENVPN "
$IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT
$IPTABLES -t nat -s $REDE -A POSTROUTING -o $EXT -j MASQUERADE
$IPTABLES -t nat -s 10.0.0.0/24 <http://10.0.0.0/24> -A
POSTROUTING -o $INT -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#----LIMITA O PING PARA UMA RESPOSTA POR SEGUNDO----
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit
--limit 1/s -j ACCEPT
#----PERMITE PACOTES DE CONEXOES JA INICIADAS-----
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#----LOGA OS PACOTES MORTOS POR INATIVIDADE----
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst
3 -j LOG
#----PROTECAO CONTRA ATAQUES DO TIPO SYN-FLOOD,DOS,ETC----
$IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
#----PROTECAO CONTRA PACOTES QUE PODEM PROCURAR E OBTER
INFORMACOES DA REDE INTERNA---
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK
-j DROP
#----PRECAUCAO CONTRA FALHAS NO NAT----
$IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP
$IPTABLES -A INPUT -p udp -s 208.67.222.222 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.222.222 -j ACCEPT
$IPTABLES -A INPUT -p udp -s 208.67.220.220 -j ACCEPT
$IPTABLES -A FORWARD -p udp -d 208.67.220.220 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT
#$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
#---LIBERA A PORTA NTP---
$IPTABLES -A FORWARD -p udp --dport 123 -j ACCEPT
#----ABRE PARA A REDE LOCAL
#$IPTABLES -A INPUT -p tcp --syn -s $REDE -j ACCEPT
#---LIBERA PARA A REDE INTERNA----
$IPTABLES -A INPUT -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -s $REDE -j ACCEPT
$IPTABLES -A FORWARD -d $REDE -j ACCEPT
#---LIBERA O LOCALHOST----
$IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0
<http://127.0.0.1/255.0.0.0> -j ACCEPT
#----FECHA O RESTO DA REDE----
$IPTABLES -A INPUT -p tcp -j DROP
O problema é que as requisições chegam na porta 3128 e nao na
80 então no firewall nao consegui fazer isso
Quando eu tento acessar o site ele me retorna ou TCP/000 ou
TCP/304
Obrigado
Patrick
Em 04-06-2013 08:30, Alexandre Borges Souza escreveu:
Fala, Patrick
Tens como passar-nos a configuração do squid e firewall?
Assim podemos lhe ajudar.
Abraços,
Em 31 de maio de 2013 22:08, Patrick EL Youssef
<wushumast...@gmail.com <mailto:wushumast...@gmail.com>>
escreveu:
Olá Pessoal,
Sou novo na lista e estou com um problema
Tem um site em especifico que não consigo acessar quando
estou atras do squid mesmo ele estando com autenticação
ou não
Quando desabilito ele funciona normalmente
Eu tenho uma conf de DHCP + DNS + Squid para solicitar
autenticação sem precisar configurar o navegador
Tentei algumas regras do squid com o nome da url mas nada
Fiz algumas regras de firewall para passar por fora mas
pelo visto não funcionou, imagino que a regra deva estar
errada
Alguém tem alguma dica para me ajudar
Lembrando que todo meu trafego vai pra porta 3128
Obrigado,
Patrick
--
To UNSUBSCRIBE, email to
debian-user-portuguese-requ...@lists.debian.org
<mailto:debian-user-portuguese-requ...@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
<mailto:listmas...@lists.debian.org>
Archive: http://lists.debian.org/51a94981.60...@gmail.com
--
Alexandre Borges Souza
E-mail: aborgesso...@gmail.com
<mailto:aborgesso...@gmail.com> / xandelg...@yahoo.com.br
<mailto:xandelg...@yahoo.com.br>
WEB: http://www.alexandresouza.pro.br/
MSN: alexandreborgesso...@hotmail.com
<mailto:alexandreborgesso...@hotmail.com>
