Erro TCP_DENID/407 ao solicitar qualque site [RESOLVIDO]

sesshoumaru
(usa Debian)

Enviado em 18/03/2013 - 18:10h

Pessoal do VOL, boa noite!!

Estou tendo um problema muito curioso, Estou criando um novo servidor para a empresa onde trabalho, e instalei o samba o ldap tudo certinho, porém ao instalar o squid + dansguardian está apresentando erro quando eu acesso qualquer site e com qualquer conta.
Segue a mensagem de erro retirada do access,log

1363639873.783 33 127.0.0.1 TCP_DENIED/407 1733 GET http://www.google.com.br/ - NONE/- text/html
1363639876.858 51 127.0.0.1 TCP_DENIED/407 1733 GET http://www.google.com.br/ root NONE/- text/html

Uso debian 6.0.7

segue minha configuração do Squid.conf

===================================================================================
http_port 127.0.0.1:3128
#127.0.0.1:3128 transparent
visible_hostname srvproxy

#configuracao de cache
cache_mem 2048 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 5120 128 256
#cache_dir diskd /var/spool/squid 20000 128 512
cache_access_log /var/log/squid/access.log
coredump_dir /var/spool/squid

cache_store_log none
logfile_rotate 3

error_directory /usr/share/squid/errors/Portuguese

#Poircentagem de uso do cache de disco minimo e maximo
cache_swap_low 90
cache_swap_high 95

#log de uso do cache em disco
cache_access_log /var/log/squid/cache.log

#Criacao da Acl de gerenciamento Rela-Time squid
#acl manager proto cache_object
#acl webserver src 10.189.67.232/255.255.255.255
#http_access allow manager webserver
#http_access deny manager


#criacao da acl all
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl docentes src 10.189.64.128/255.255.255.192
acl biblioteca src 10.189.64.192/255.255.255.192

#delay_pools 1
#delay_class 1 2
#delay_parameters 1 114688/114688 16384/16348
#delay_access 1 allow all

#criacao da acl manager
acl manager proto cache_object

# FTP
ftp_passive on
ftp_list_width 16

#regras de atualizacao
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern . 15 20% 2280

#Libera site sem autenticacao
acl libsite url_regex -i "/etc/squid/files/libsite"
http_access allow libsite

# Liberar Maquinas
#acl maquinas_liberadas arp "/etc/squid/files/maquinas_liberadas"
#http_access allow maquinas_liberadas


#Autenticacao via Ldap
auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b ou=Usuarios,dc=dominio -D cn=admin,dc=dominio -w senha -f uid=%s -h srveproxy
#auth_param basic program /usr/lib/squid/ldap_auth -R -b ou=Usuarios,dc=dominio -D cn=admin,dc=dominio -w senha -f uid=%s -h srvedproxy

auth_param basic children 5
auth_param basic realm Digite sua senha do dominio EDUCACIONAL
auth_param basic credentialsttl 2 minute

#
# -----------------------------------------------------------------------------

#***********************OPTIONS FOR TUNING THE CACHE***************************

# -----------------------------------------------------------------------------
#request_header_max_size 20 KB
#request_body_max_size 0 KB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#quick_abort_min 16 KB
#quick_abort_max 16 KB
#quick_abort_pct 95

negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minute
range_offset_limit 0 KB
forward_timeout 4 minutes
connect_timeout 1 minute
peer_connect_timeout 30 seconds
read_timeout 15 minutes
request_timeout 1 minutes
persistent_request_timeout 1 minute
client_lifetime 3 hours
half_closed_clients on
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds

acl autenticados proxy_auth REQUIRED

authenticate_ttl 2 minutes
authenticate_ip_ttl 3600 seconds

# CONEXOES DE USUARIOS POR IPs
acl ip_max max_user_ip -s 1

#criacao da acl Safe_ports
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # http,tomcat
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 20 # ftp
acl Safe_ports port 993 # Imap SSL
acl Safe_ports port 6891 # Imap MSN
acl Safe_ports port 5800 #vnc


#external_acl_type perido %LOGIN /root/ldap/bin/periodo.sh
#acl ACL-PERIODO external periodo

#acl Bloqueia sites
acl bloq_sites url_regex -i "/etc/squid/files/bloq_sites"
http_access deny bloq_sites

# Administrador e Suporte
acl admin_permitido proxy_auth "/etc/squid/files/admin"

# Grupos de Docentes
acl usuario_bloqueados proxy_auth "/etc/squid/files/usuarios_bloqueados_redes"

# Liberados direto pelo administrador
acl alunos_permitidos proxy_auth "/etc/squid/files/alunos_permitidos"

acl ALUNOS-TECNICO-MANHA proxy_auth "/etc/squid/files/tecnico-manha"
acl ALUNOS-TECNICO-TARDE proxy_auth "/etc/squid/files/tecnico-tarde"
acl ALUNOS-INTEGRAL proxy_auth "/etc/squid/files/integral"
acl ALUNOS-MANHA proxy_auth "/etc/squid/files/manha"
acl ALUNOS-TARDE proxy_auth "/etc/squid/files/tarde"
acl ALUNOS-NOITE proxy_auth "/etc/squid/files/noite"

#Liberar maquina intervalos alunos
acl lib_mac arp "/etc/squid/files/lib_mac.txt"

#liberar por dominio
acl libdom dstdomain "/etc/squid/files/libdom.txt"

# Liberados pelos docentes
acl ALUNOS_PERMITIDOS proxy_auth "/etc/squid/files/internet/alunos_permitidos"
acl ORKUT proxy_auth "/etc/squid/files/internet/orkut_intervalo"

# Controle de Horarios
acl MANHA time MTWHF 07:45-11:40
acl TECNICO-MANHA time MTWHF 07:45-11:00
acl TECNICO-TARDE time MTWHF 14:00-17:10
acl INTEGRAL time MTWHF 07:45-17:10
acl TARDE time MTWHF 13:15-17:10
acl NOITE time MTWHF 17:00-22:45
acl HORA time MTWHFAS 07:45-22:45

# Intervalos liberados para acesso
acl INTERVALO-MANHA time MTWHF 09:15-09:55
acl INTERVALO-TARDE time MTWHF 14:45-15:25
acl INTERVALO-TECNICO-TARDE time MTWHF 15:25-15:55
acl INTERVALO-ALMOCO time MTWHF 11:35-13:15

#criacao de bloqueio do msn
acl lib-msn arp "/etc/squid/files/libmsn.txt"
acl srv-msn dst 207.46.110.0/24
acl port-msn port 1863
acl msn url_regex -i gateway.messenger.com
acl app-msn rep_mime_type -i ^application/x-msn-messenger$

acl CONNECT method CONNECT

icp_access allow all
miss_access allow all

http_access allow manager localhost
http_access deny manager
http_access deny msn !lib-msn
http_access deny app-msn
http_access deny port-msn
http_access deny srv-msn
http_access deny docentes !admin_permitido

http_access deny CONNECT !Safe_ports

http_access deny usuario_bloqueados !biblioteca
http_access allow alunos_permitidos biblioteca

http_access allow port-msn !lib-msn
http_access allow app-msn !lib-msn
http_access allow srv-msn !lib-msn

# Nega todos por horario, porem libera nos intervalos, libera alunos fora do horario excecao
# Horario Intervalo Lista Usuarios Excecao

http_access deny MANHA !INTERVALO-MANHA ALUNOS-MANHA !ALUNOS_PERMITIDOS
http_access deny TECNICO-MANHA !INTERVALO-MANHA ALUNOS-TECNICO-MANHA !ALUNOS_PERMITIDOS
http_access deny TECNICO-TARDE !INTERVALO-TECNICO-TARDE ALUNOS-TECNICO-TARDE !ALUNOS_PERMITIDOS
http_access deny TARDE !INTERVALO-TARDE ALUNOS-TARDE !ALUNOS_PERMITIDOS
http_access deny HORA !NOITE ALUNOS-NOITE !ALUNOS_PERMITIDOS

#Integral
# Horario Intervalos Lista Usuarios Excecao
http_access deny INTEGRAL !INTERVALO-MANHA !INTERVALO-ALMOCO !INTERVALO-TARDE ALUNOS-INTEGRAL !ALUNOS_PERMITIDOS


#http_access deny ALUNOS-INTEGRAL

#http_access deny ORKUT libdom !INTERVALO-MANHA !INTERVALO-ALMOCO !INTERVALO-TARDE !ALUNOS_PERMITIDOS

#http_access deny OverConnLimit

http_access deny ip_max

# Liberar maquinas por mac no intervalo
#http_access allow lib_mac

http_access allow autenticados
#http_access deny localhost all docentes biblioteca
http_access deny localhost all

#http_reply_access allow all
#icp_access allow all

==============================================================================================================
ao fazer o teste /usr/squid/ldap_auth e os parametros ele apresenta a mensagem OK.

Muito obrigado pela Ajuda.
Sesshoumaru....

Carlos_Cunha
(usa Linux Mint)

Enviado em 18/03/2013 - 22:48h

Amigo 407 eo código de quando esta pedindo autenticação....

sesshoumaru
(usa Debian)

Enviado em 19/03/2013 - 07:31h

Bom dia!

Sim esse erro é quando pede autenticação porém eu coloco o usuário e a senha que estão na minha base ldap + samba e pede novamente e não acessa a internet e fica com o erro que foi descrito acima.

Não sei se são as minhas acls que estão erradas.

Valeu pela ajuda.

renato_pacheco
(usa Debian)

Enviado em 19/03/2013 - 10:20h

Olhe se realmente sua autenticação está funcionando. Execute o comando abaixo pra testar:

/usr/lib/squid/ldap_auth -v 3 -b ou=Usuarios,dc=dominio -D cn=admin,dc=dominio -w senha -f uid=%s -h srveproxy

 

Ele vai pedir login e senha. Se autenticar direito, ele vai dar um +OK. Caso contrário, um +ERR. Ae vc tem q analisar se as credenciais estão corretas, bem como os parâmetros do comando.

sesshoumaru
(usa Debian)

Enviado em 19/03/2013 - 11:09h

Renato valeu pela ajuda, olha so o que acontece se eu digito esse comando que vc me passou e coloco um usuário e senha ele apresenta erro, mas estranhamente se eu uso o seguinte comando /usr/lib/squid/ldap_auth -b ou=Usuarios,dc=dominio -v3 -f '(uid=usuario)' e aperto enter e coloco o usuario espaço a senha ele me retorna ok.

At.
Sesshoumaru

renato_pacheco
(usa Debian)

Enviado em 19/03/2013 - 11:18h

Então mude para esse último comando no seu squid.conf e veja se autentica.

sesshoumaru
(usa Debian)

Enviado em 19/03/2013 - 14:58h

Renato coloquei no meu squid.conf a como vc sugeriu e a linha ficou assim:



E continua não funcionando. será que pode ser problema de firewall ou algo parecido?


at.
Sesshoumaru.

sesshoumaru
(usa Debian)

Enviado em 19/03/2013 - 15:01h

renato vc não poderia (se vc tiver) um arquivo de squid.conf basicão so com o que é necessario para passar para eu tentar reconfigurar o squid.

At.
Sesshoumaru.

renato_pacheco
(usa Debian)

Enviado em 19/03/2013 - 15:16h

Olha, acho pouco provável ser firewall, pois todo tráfego d LDAP é interno. Só se houver um firewall entre as duas redes. Eu não tenho um squid.conf d exemplo pra t passar, mas tem vários exemplos na Internet sobre autenticação do squid no LDAP. Só atente se esse LDAP q vc se autentica é AD ou OpenLDAP ou outro sistema, pois há particularidades d cada um.

sesshoumaru
(usa Debian)

Enviado em 19/03/2013 - 15:29h

Renato, valeu pela ajuda!!!
O sistema que eu estou tentando autenticar é um Openldap (slapd) bem vou fazer uma pesquisa na internet e achar um squid.conf bem basico e começar a reconstruir, caso eu precise posso manter contato com vc?

At.
Sesshoumaru

renato_pacheco
(usa Debian)

Enviado em 19/03/2013 - 16:06h

Pode, sem problemas!

sesshoumaru
(usa Debian)

Enviado em 27/03/2013 - 09:12h

Pessoal Muito obrigado pela ajuda de vcs!!!

Consegui solucionar o problema relacionado ao Squid + Ldap, o problema na verdade estava na configuração dos arquivos libnss-ldap.conf e no arquivo pam_ldap.conf, nas linhas onde faziam referencia ao servidor, colooquei para verificar o serviço de ldap pelo ip 127.0.0.1 e funcionou normalmente, mudei também uma linha no squid.conf de autenticação onde ao invés de procurar pelo nome do servidor coloquei pelo ip, funcionou perfeitamente.

Novamente Muito obrigado a Todos.

Abçsss Sesshoumaru....