Squid esta bloqueando MSN e OUTLOOK [RESOLVIDO]

tiago.chag
(usa Debian)

Enviado em 26/10/2011 - 20:29h

Boa Noite galera !

Sou iniciante em linux, tenho a seguinte dificuldade para solucionar:

Possuo a configuração do squid com autenticação de usuarios, funciona tudo blz mais na hora que o usuario tenta logar no MSN ele não entra e quando entra no OUTLOOK não envia e nem recebe e-mail. OBS: O firewall não possui regras pois não estou utilizando atualmente.

segue abaixo o Squid.conf


http_port 3128
visible_hostname dataponto.intra

## Configuracao padrao servidor##
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 400 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2100 16 256
logformat squid # %ul # %>a # %Ss #%ru # %{Host}>h # %mt
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 873
acl Safe_ports port 80 21 70 210 1025-65535 280 488 591 777 631 873 901 443 110
acl purge method PURGE
acl CONNECT method CONNECT

## Listas de Permissoes padrao
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports

## Autenticação de usuarios
auth_param basic realm dataponto.intra
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic credentialsttl 1 hour
auth_param basic children 10

## Controle por usuarios/grupo
acl gerencia proxy_auth "etc/squid/grupo/gerencia"
acl rh proxy_auth "etc/squid/grupo/rh"
acl assist.tec proxy_auth "etc/squid/grupo/assist.tec"
acl criacao proxy_auth "etc/squid/grupo/criacao"
acl vendas proxy_auth "etc/squid/grupo/vendas"
acl contabilidade proxy_auth "etc/squid/grupo/contabilidade"
acl financeiro proxy_auth "etc/squid/grupo/financeiro"
acl recep proxy_auth "etc/squid/grupo/recep"

## Politicas de acesso
acl redeinterna src 192.168.0.0/24
acl palavrasbloq url_regex -i "/etc/squid/regras/bloq"
acl download url_regex -i "/etc/squid/download/lista"



##Permissoes de acesso
http_access allow gerencia
http_access allow assist.tec !palavrasbloq !download
http_access allow contabilidade !palavrasbloq !download
http_access allow criacao !palavrasbloq !download
http_access allow financeiro !palavrasbloq !download
http_access allow rh !palavrasbloq !download
http_access allow vendas !palavrasbloq !download
http_access allow recep !palavrasbloq !download
http_access deny palavrasbloq
http_access deny download

wantuiliv
(usa Ubuntu)

Enviado em 26/10/2011 - 21:20h

Boa noite Thiago!
Escreve uma configuração pro iptables só pra rotear as portas do outlook e do msn. Se você n tiver assim q eu chega em casa te envio um script, só me fala as portas q está útilizando. :-)

rodrigom
(usa Debian)

Enviado em 26/10/2011 - 21:26h

O outlook, pode ser problema de DNS mal configurado, ou errado, certifique-se de que toas as maquinas, modem etc estão com o DNS da operadora.

Já o msn, descomente esse linha de downloads do squid para ver se não está bloqueando algum arquivo que o msn usa para conectar..

Testa e posta o resultado..

Abraço.

tiago.chag
(usa Debian)

Enviado em 26/10/2011 - 21:42h

Boa Noite wantuiliv primeiramente agradeço a resposta. Então wantuiliv é a porta padrao que esta sendo usada. MSN: 1863 e o Outlook é a 110 e a 25. Se puder mandar o script para eu ver e fazer o teste. Valew. Abraços.

tiago.chag
(usa Debian)

Enviado em 26/10/2011 - 21:47h

Então rodrigom, na verdade eu configurei o Wpad.dat junto com o DHCP as maquinas pegou as configuração automática, porem não foi colocado DNS nenhum das estação. Tem que colocar e porque? Sobre o MSN vou fazer o teste e postar aqui. Valeu por responder. Abraços.

rodrigom
(usa Debian)

Enviado em 26/10/2011 - 22:27h

Se o dhcp esta distribuindo o dns, td bem, so tem que ser o DNS certo, as vezes usam um dns diferente do usado pela operado, isso na influencia, já tive problema com isso..

wantuiliv
(usa Ubuntu)

Enviado em 26/10/2011 - 23:20h

Usa ele assim onde ta FAIXA_DE_IP COLOQUE a faixa que você utiliza(eu utilizo a 192.168.160.0) em IP_EXTERNO coloque o ip que usa ai na sua empresa.
Eu costumo colocar script no /etc/init.d coloque ele onde vc quiser, e de autorização para ele com chmod +x nome_do_arquivo apos isso chama com ./nome_do_arquivo start

Boa sorte qualquer duvida me diga :)

firewall_start()
{
iptables -F
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s FAIXA_DE_IP/24 -o eth0 -j MASQUERADE
#DNS
iptables -A FORWARD -p udp -s FAIXA_DE_IP/24 -d IP_EXTERNO --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s IP_EXTERNO --sport 53 -d 192.168.160.0
#Abre uma porta o outlook
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s FAIXA_DE_IP/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p TCP -s FAIXA_DE_IP/24 --dport 110 -j ACCEPT
#Abre MSN
iptables -A FORWARD -p TCP -s FAIXA_DE_IP/24 --dport 1863 -j ACCEPT
echo "Carregando Firewall"
sleep 1
echo "Firewall OK!"
sleep 1
}
firewall_stop()
{
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo "Desativando Firewall"
sleep 1
echo "Firewall OK!"
sleep 1
}
case "$1" in
"start") firewall_start ;;
"stop") firewall_stop ;;
"restart") firewall_stop; firewall_start;;
esac

dudumiquim
(usa Debian)

Enviado em 27/10/2011 - 03:39h

Se a resposta do wantuiliv não funcionar, posta trecho do log do squid no momento da tentativa de conexão do msn e do outlook.
Uma outra pergunta é: como você está redirecionando as requisições para o squid. Posta aí também as regras de iptables que você está usando para direcionar.

tiago.chag
(usa Debian)

Enviado em 27/10/2011 - 14:16h

Ok ! wantuiliv e rodrigom, vou fazer o teste aqui. Pode deixar dudumiquim que coloco aqui se não der certo. Obrigado pela ajuda. Vou testar agora. Valew.

tiago.chag
(usa Debian)

Enviado em 27/10/2011 - 15:55h

BOM GENTE, FIZ OS TESTE ACIMA E NÃO RESOLVEU, MAIS AGORA VOLTOU A FUNCIONAR O OUTLOOK, PODE SER O DNS MESMO QUE ESTAVA COM PAL, AGORA PRECISO VER SOMENTE O MSN, SEGUE ABAIXO O LOG DO SQUID.

1319730207.397 0 192.168.0.105 TCP_DENIED/407 1656 CONNECT login.live.com:443 - NONE/- text/html

1319730209.479 0 192.168.0.105 TCP_DENIED/407 1770 POST http://www.sqm.microsoft.com/sqm/messenger/sqmserver.dll - NONE/- text/html


VALEW GALERA AGRADEÇO... AGUARDO O RETORNO.
ABRAÇOS.

liota
(usa Mandriva)

Enviado em 27/10/2011 - 16:21h

Acredito que você ta redirecionando a porta 443(https) para o squid, posta ai o teu iptables pra gente dar uma olhada.