tcforum1
(usa CentOS)
Enviado em 04/02/2015 - 09:17h
Boa Tarde, depois de muitas horas de pesquisa, e ainda sem solução, resolvi recorrer a um novo tópico para resolver esse problema.
Tenho firewall iptables junto com proxy squid3. Porem alguns sites como gmail, por exemplo, não abre a area de contatos. hotmail.com não consigo logar, quando logo não entra mais, fica travado em tela branca, o problema esta relacionado á https Acredito que seja alguma configuração do proxy ou firewall, mais não estou encontrando.
O proxy esta configurado como NÃO transparente, eu seto o proxy nas maquinas clientes, e não habilitei a parte de autenticação com usuário e usuário e senha, pra fazer proxy autenticado.
Segue abaixo o firewall + squid3.conf
meu S.O é debian
Fiz um firewall bem enxuto para ficar mais fácil de encontrar o problema
=====================================================
#!/bin/bash
#Interface da Internet:
ifinternet="eth0"
#Interface da rede local
iflocal="eth1"
DIRETORIO_ROOT="/etc/admsrv/fw"
iniciar(){
echo
echo "INICIANDO O FIREWALL..."
iptables -F
iptables -X
iptables -F -t nat
iptables -F -t mangle
iptables -X -t nat
iptables -X -t mangle
#Fechando tudo por padrão
#CARREGA MODULOS PARA CONEXAO IMPORTANTES PARA IPTABLES
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
#modulos ainda nao documentados
modprobe ip_tables
modprobe iptable_nat
modprobe ipt_MARK
modprobe ipt_limit
modprobe ipt_tcpmss
modprobe ip_conntrack_irc
modprobe ipt_state
modprobe ipt_multiport
#Fim compartilha a conexao
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
echo
echo "COMPARTILHANDO A CONEXAO..."
modprobe iptable_nat #Ativa o modulo do iptables que ativa o nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
#iptables -A INPUT -i $ifinternet -p icmp --icmp-type echo-request -j DROP #Servidor nao responte a pings
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter #Proteje contra IP spoofing
iptables -A INPUT -m state --state INVALID -j DROP #Proteje contra IP spoofing
iptables -A INPUT -i $iflocal -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --syn -j DROP
echo
echo "FIREWALL ATIVADO"
echo
}
parar(){
echo
echo "PARANDO O FIREWALL..."
iptables -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo
echo "COMPARTILHANDO A CONEXAO..."
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâtros start ou stop"
esac
======================================================
SEGUE O SQUID.CONF Bem enxuto também
--------------------------------------------------------------------------
http_port 3128
visible_hostname firewall
error_directory /usr/share/squid3/errors/Portuguese/
cache_mem 128 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 5120 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443
acl SSL_ports port 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
acl redelocal src 192.168.1.0/24
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow redelocal
http_access deny all
======================================================
Galera, se alguem poder me ajudar, pois já estou perdendo o sono... abs