Problemas Squid

perucio
(usa Debian)

Enviado em 10/12/2013 - 13:15h

Continua a mesma coisa ...

removido
(usa Nenhuma)

Enviado em 10/12/2013 - 13:35h

pode postar o squid.conf completo por gentileza?
Obrigado

perucio
(usa Debian)

Enviado em 10/12/2013 - 15:44h

http_port 192.168.200.214:3128
hierarchy_stoplist cgi-bin ?

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Logs
access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log

# ACLs
acl rede_interna src 192.168.200.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl manager proto cache_object

# portas seguras
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 8080 # tomcat
acl Safe_ports port 8443 # tomcat - ssl
acl Safe_ports port 10000 # webmin
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 2083 # CPANEL
acl Safe_ports port 2631 # Conectividade Social
acl Safe_ports port 1494 # Sigov
acl Safe_ports port 8333 # WMWARE SERVER

acl purge method PURGE
acl CONNECT method CONNECT

acl intranet_EMPRESA dstdomain intranet.EMPRESA
acl informatica_EMPRESA dstdomain informatica.EMPRESA
acl qualidoc_EMPRESA dstdomain qualidoc.EMPRESA

acl ip-bloqueado src "/etc/squid3/acls/ip-bloqueado"
acl sites_deny dstdomain -i "/etc/squid3/acls/sites-proibidos"
acl dominios_liberados url_regex -i "/etc/squid3/acls/dominios_liberados"
acl sites_allow url_regex "/etc/squid3/acls/sites-permitidos"
acl caixa dstdomain -i .caixa.gov.br
acl palavras_deny url_regex -i "/etc/squid3/acls/palavras-deny"
acl palavras_allow url_regex -i "/etc/squid3/acls/palavras-allow"
acl update dstdomain -i Windowsupdate.microsoft.com au.download.Windowsupdate.com
acl sites_locais dst 192.168.200.5


acl ipliberado src "/etc/squid3/acls/ip_liberados.txt"

http_access deny ip-bloqueado
http_access allow ipliberado
http_access allow dominios_liberados
#http_access allow diretoria
http_access allow intranet_EMPRESA
http_access allow informatica_EMPRESA
http_access allow qualidoc_EMPRESA

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow update
http_access deny palavras_deny
http_access deny sites_deny
http_access allow caixa
always_direct allow caixa
miss_access allow all

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

acl snmpro snmp_community local
snmp_access allow snmpro all
snmp_port 3401

cache_mgr ti@EMPRESA.com.br
visible_hostname proxy.EMPRESA.net
error_directory /usr/share/squid3/errors/Portuguese
coredump_dir /var/spool/squid3
logfile_rotate 4


# Autentica com o AD
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers

lorenz
(usa Ubuntu)

Enviado em 17/12/2013 - 15:38h

Estou com o mesmo problema

Version: 3.1.6-1.2+squeeze3

Tentei todas as idéias mencionadas e continua não funcionando.

Alguem tem alguma outra dica ?

perucio
(usa Debian)

Enviado em 17/12/2013 - 15:44h

Nada ainda lorenz .... a minha é a versão: Version 3.1.20

Buckminster
(usa Debian)

Enviado em 17/12/2013 - 17:47h

Faça um teste. Coloque as regras de autenticação logo depois das regras dos logs, assim:

# Logs
access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log

# Autentica com o AD
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers

Reinicie o Squid e teste. E veja se o erro persiste.

E posta aqui teu Iptables (se você tiver um no servidor).


E eu consideraria você comentar a linha logfile_rotate. Veja o que diz o Manuel do Squid:

"TAG: logfile_rotate
Especifica o número de rotações do arquivo de log para fazer quando você executar squid-k rotate. O default é 10, o que vai rodar com extensões de 0 a 9. Definir logfile_rotate a 0 desativa a rotação, mas os arquivos de log ainda estão fechados e serão reabertos. Isso permitirá a você, renomear os arquivos de log, apenas antes de enviar o sinal de rotação.

Nota: o comando squid- k rotate, normalmente, envia um sinal USR1 para o processo do Squid em execução. Em certas situações (por exemplo, no Linux com Async I/O), USR1 é utilizado para outros fins, então -k rotate usa outro sinal. É melhor usar squid -k rotate em vez de kill -USR1 <pid>.

Nota: a partir do Squid -3.1, esta opção não tem efeito sobre o cache.log, portanto, o log pode ser rodado separadamente usando debug_options."


E para os teus logs registrarem tudo, coloque os logs no final do squid.conf. Lembre-se que o Squid lê o arquivo de cima para baixo e nessa brincadeira alguma coisa pode não ser registrada com as regras de log no início.
Coloque as regras de log sempre depois da última regra http_access ou depois da última regra que registra alguma coisa no Squid, que nem sempre pode ser uma regra http_access.

perucio
(usa Debian)

Enviado em 18/12/2013 - 11:26h

Cara fiz o teste e continua o problema, tanto no sintegra quanto no detran do PR ambas as captchas não abrem!

andrecanhadas
(usa Debian)

Enviado em 18/12/2013 - 11:53h

Bom cria uma regra para liberar estes sites e coloca ela em allow antes da autenticação, já vi algo estranho assim com rádios online e proxy autenticado.

Buckminster
(usa Debian)

Enviado em 18/12/2013 - 16:00h

Sim, e mude as regras de logs para o fim do arquivo e veja se eles começam a "pegar" os sites que estão bloqueando esses captchas.

E refaça o cache. Infelizmente nesse caso você deverá refazer o cache. E reinicie a máquina depois.

perucio
(usa Debian)

Enviado em 18/12/2013 - 16:08h

Cara fiz isso, coloquei os logs por ultimo, criei uma ACL só para liberar os sites, deixei já sem cache, mais mesmo assim não está passando.

andrecanhadas
(usa Debian)

Enviado em 18/12/2013 - 16:38h

Da uma olhada na resposta 32.

Coloca os sites pra passar fora do proxy como indicado na resposta 32 e também nas exceções de proxy do navegador. (Avançadas > não usar proxy para endereços iniciados por:)

Se nem assim passar o problema é outro alem do squid.

Buckminster
(usa Debian)

Enviado em 18/12/2013 - 17:47h

Acredito que o problema é no Squid.

O que essa ACL faz?
acl manager proto cache_object

Comente essa ACL:
miss_access allow all

Essa ACL faz com que todos (all) busquem somente respostas MISS e os outros clientes, no caso nenhum, só podem buscar os HITS. Acredito que é por isso que nos teus logs não aparecem os HITS.

E teu squid.conf está uma bagunça. Vou dar uma olhada com tempo.