debian, squid+autenticação+iptables+proxy trasparente [RESOLVIDO]

redson_arcenio
(usa Conectiva)

Enviado em 22/08/2008 - 19:08h

Eu estou com um problema muito sério no meu trabalho, não consigo colocar proxy transparente, quando descomento as quatro linhas da um erro, e preciso disso porque tenho que acessa os programas da caixa e serpro.

"ERRO NO SQUID"


Starting Squid HTTP proxy: squid2008/08/22 14:55:52| parseConfigFile: line 119 unrecognized: 'httpd_accel_host virtual'
2008/08/22 14:55:52| parseConfigFile: line 120 unrecognized: 'httpd_accel_port 80'
2008/08/22 14:55:52| parseConfigFile: line 121 unrecognized: 'httpd_accel_with_proxy on'
2008/08/22 14:55:52| parseConfigFile: line 122 unrecognized: 'httpd_accel_uses_host_header on'
.


Agradeceria muito pela ajuda de vocês meus amigos que gostam da liberdade que nem eu, poís gosto de ser livre e não quero me render para o windows.

fhferreira
(usa Slackware)

Enviado em 22/08/2008 - 23:35h

Quando eu instalo squid com source no Slackware eu sempre configuro com a seguinte linha de comando:

./configure --enable-delay-pools --enable-cache-digests --enable-poll --disable-ident-lookups --enable-truncate --enable-removal-policies --enable-arp-acl --prefix=/usr/local/squid --enable-ipfw-transparent --enable-ipf-transparent --enable-pf-transparent --enable-default-err-language=Portuguese --enable-store-io=ufs,diskd,aufs

Acredito que estas linhas tenham que estar setadas para funcionar :

--enable-ipfw-transparent --enable-ipf-transparent --enable-pf-transparent

Experimenta reinstalar com esses parametros

Abraços

redson_arcenio
(usa Conectiva)

Enviado em 23/08/2008 - 08:57h

Beleza vou tentar novamente, mais esqueci de dizer que estou usando o debian na empresa.

guiga07
(usa Fedora)

Enviado em 25/08/2008 - 10:50h

Cara, qual a versao do seu SQUID, teve alguma mudancas, principalmente nesse lance do proxy transparente na versao 2.6.Verifica isso, qualquer coisa manda ae.

redson_arcenio
(usa Conectiva)

Enviado em 02/09/2008 - 13:19h

A versão do meu squid é 2.6, mais eu dei uma olhada em alguns tópicos por aqui passados, e verifiquei que no squid 2.6 devemos somente acrescentar a palavra "transparent" na porta principal que ficar assim:

- http_porta 3128 transparent

E no iptables adicionei a seguinte linha:

-iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


Funcionou como transparente mais não passa na maldita url da caixa "cmt.caixa.gov.br"

Dá a seguinte mesangens "Erro na troca de chaves".

E aí eu tomei seguinte ação:
-Liguei direto na internet o micro que faz essa conexão com a url cmt.caixa.gov.br e funcionou normal, meu amigo estou desesperado e não quero me render para o "wxxxxx", estou sendo cobrado por isso, hoje são dia 02/09 e necessário fazer a conexão pq a funcionária precisa verificar o FGTS e INSS de todos os funcionários da empresa.


Me ajude por favor, o nosso mundo do Linux é muito melhor. "Viva a Liberdade, Viva o Linux."

xhycko
(usa Debian)

Enviado em 02/09/2008 - 13:55h

Opa até onde eu ja presenciei os sites da caixa tem aplicações .jar que sempre bloqueia de alguma forma, dentro dessas aplicações tem a expressão "gateway.dll" também utilizada nas aplicações do msn, logo uma maquina que tenha restrição ao msn tb terá as aplicações da caixa, pelo menos as vzs que operei squid notava isso, pedia pra pessoa acessar do server dava um

# tail -f
no arquivo de log e ficava visualizando o que realmente bloqueava, se ficava mto dificil encontrar todos os pontos acabava colocando a maquina para passar por fora do proxy
Editar

xhycko
(usa Debian)

Enviado em 02/09/2008 - 13:55h

Opa até onde eu ja presenciei os sites da caixa tem aplicações .jar que sempre bloqueia de alguma forma, dentro dessas aplicações tem a expressão "gateway.dll" também utilizada nas aplicações do msn, logo uma maquina que tenha restrição ao msn tb terá as aplicações da caixa, pelo menos as vzs que operei squid notava isso, pedia pra pessoa acessar do server dava um

# tail -f
no arquivo de log e ficava visualizando o que realmente bloqueava, se ficava mto dificil encontrar todos os pontos acabava colocando a maquina para passar por fora do proxy
Editar

redson_arcenio
(usa Conectiva)

Enviado em 02/09/2008 - 14:59h

O msn não está bloqueado.

rickrick
(usa Ubuntu)

Enviado em 02/09/2008 - 17:45h

tail -f /var/log/squid/access.log

e ve certinho o que ele tá bloqueando :D

m4tri_x
(usa Ubuntu)

Enviado em 02/09/2008 - 17:57h

Boa tarde Redson,

Cara agora pelo que vi o problema é a caixa.gov.br né?

Bom faz o seguinte, pega uma maquina para fazer o teste abaixo.

#tcpdump -i ethX |grep IPMAQUINATESTE

roda o comando e tenta acessar o sistema da caixa.

cola a saida aqui.


ps. ethX é o adaptador da rede local.

[]´s

fhferreira
(usa Slackware)

Enviado em 02/09/2008 - 23:24h

Olá,

Para comparação possuo um cliente com proxy 2.6(rodando em Slackware 11) que acessa aplicativos corporativos e conta corrente normal do site da caixa e nunca precisei liberar nada extra, pelo contrário o squid.conf é bem restritivo para os terminais.

Abraços.

TothBR
(usa Debian)

Enviado em 03/09/2008 - 08:48h

Salve amigos do VOL, bom amigo também tive o mesmo problema seu com o site do CNS da caixa analisei vários tutoriais e amigos com o mesmo problema estas confs devem ser aplicadas no seu firewall e funcionam tanto com proxy transparent com autenticado pois usei nos dois casos segue abaixo:
$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -d ! 200.201.174.207 -j REDIRECT --to-port 3128
$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -d ! 200.201.174.0/24 -j REDIRECT --to-port 3128

Abraços