Java, Squid e Iptables - Como proceder?

1. Java, Squid e Iptables - Como proceder?

ch4c4r
(usa Debian)

Enviado em 28/08/2013 - 10:01h

Bom dia galera, tudo bem?

Venho tendo um problema com um cliente, vou explicar o ambiente. Tenho um firewall + squid em um servidor, toda a política de Input e Forward é DROP e Output é ACCEPT. Todas as requisições na 80 e 443 são forçadas para o squid, onde o mesmo trata tudo por grupos: administração, vendas, estoque, financeiro. Tenho também duas ACLS antes da autenticação do squid, "semcache" e "siteliberadostodos" pra liberações convenientes...

O caso: Vira e mexe surge algum aplicativo em java, como por exemplo o SIGEP, ou na época tempos atrás um de gerenciamento do Mercado Pago ou alguns sites, onde a turma me liga falando que não acessa. Vou para o famoso tail -f dando grep no IP e geralmente resolvo, mas as vezes (quando tem java no meio) ele retorna um erro: GET NONE:// - NONE/- text/html.

Por praticidade e "pressa", temos um ou dois micros como "dmz" via firewall, a turma acaba usando ele pra essas funções e nele, out-proxy vai beleza, porém é inconveniente me conformar com esta ideia, preciso realmente resolver, pois se a demanda aumentar ferrou...

Gostaria da ajuda de vocês, queria saber como proceder com estes casos, vi alguns relatos da turma usar uma regra de RETURN no firewall ou outras regras direto nele, mas daí influenciaria em ter que remover o IP do proxy do navegador do cliente? Fiquei meio confuso com isso...
Vi também pessoas falando sobre liberar direto no squid, mas como se não me mostra o que é?

Hoje por exemplo, falaram que o site elektro.com.br que já estava liberado para o financeiro certinho parou, após alguns testes, vejo que para justamente no form onde tem java, o erro no grep é justamente o NONE e ficamos empacados lá, se for out-proxy, novamente, tudo perfeito. Com sites é mais difícil dar este problema, visto qeu temos bancos e afins funcionando 100%. Geralmente o problema maior é com programas terceiros que usem Java.

Alguém já passou por casos semelhantes ou tenha 5 minutos de tempo pra me explicar como proceder nestes casos? Seria de grande valia não só pra mim mas pra futuros membros com este chato problema como resolvê-lo!

Agradeço, por hora, grande abraço!

0 0

Quote

2. Re: Java, Squid e Iptables - Como proceder?

removido
(usa Nenhuma)

Enviado em 28/08/2013 - 10:12h

Já pensou em snnifar?

Dá uma pesquisada no Iptstate.

0 0

Quote

3. Re: Java, Squid e Iptables - Como proceder?

renato_pacheco
(usa Debian)

Enviado em 28/08/2013 - 10:16h

Cara, certificando, seu squid é autenticado, certo? Sendo autenticado, a coisa complica um pouco, pois tudo passa pelo squid. Existe um parâmetro no squid q faz uma espécie d bypass do site específico, veja:

http://www.squid-cache.org/Doc/config/always_direct/

Talvez resolva o seu problema. Se for transparente, vc pode usar o método RETURN no iptables msm q funciona.

0 0

Quote

4. Hm

ch4c4r
(usa Debian)

Enviado em 28/08/2013 - 10:32h

Obrigado pelas respostas rápidas. Meu squid é autenticado sim!
Amarildo, no caso eu sniffar e liberar no firewall você diz? O que sugere?

Renato, eu uso este always_direct em uma acl chamada "sites_diretos" via dstdomain que chama um arquivo "semcache", não me ocorreu ainda tentar colocar ali o site da elektro pra teste. No caso poderia tentar também inserir o IP neste arquivo direto, mesmo sendo dstdomain?

0 0

Quote

5. Re: Java, Squid e Iptables - Como proceder?

renato_pacheco
(usa Debian)

Enviado em 28/08/2013 - 10:45h

ch4c4r escreveu:

Obrigado pelas respostas rápidas. Meu squid é autenticado sim!
Amarildo, no caso eu sniffar e liberar no firewall você diz? O que sugere?

Renato, eu uso este always_direct em uma acl chamada "sites_diretos" via dstdomain que chama um arquivo "semcache", não me ocorreu ainda tentar colocar ali o site da elektro pra teste. No caso poderia tentar também inserir o IP neste arquivo direto, mesmo sendo dstdomain?

Sim, pq é necessário criar uma ACL antes pra colocar no always_direct.

0 0

Quote

6. Re: Java, Squid e Iptables - Como proceder?

ch4c4r
(usa Debian)

Enviado em 28/08/2013 - 10:57h

renato_pacheco escreveu:

Sim, pq é necessário criar uma ACL antes pra colocar no always_direct.

A ACL é esta, já está em funcionamento e acima da linha de autenticação do squid:

# ---- Sites diretos que nao passam pelo Cache ----
acl sites_diretos dstdomain "/etc/squid/listas/semcache" always_direct
cache deny sites_diretos
http_access allow sites_diretos

Coloquei o .elektro.com.br no sem cache, vamos ver o que dará! Caso não der certo sugere mais algo?

0 0

Quote

7. Re: Java, Squid e Iptables - Como proceder?

renato_pacheco
(usa Debian)

Enviado em 28/08/2013 - 11:21h

ch4c4r escreveu:

A ACL é esta, já está em funcionamento e acima da linha de autenticação do squid:

# ---- Sites diretos que nao passam pelo Cache ----
acl sites_diretos dstdomain "/etc/squid/listas/semcache" always_direct
cache deny sites_diretos
http_access allow sites_diretos

Coloquei o .elektro.com.br no sem cache, vamos ver o que dará! Caso não der certo sugere mais algo?

Não, cara, o certo é assim:



# ---- Sites diretos que nao passam pelo Cache ----

acl sites_diretos dstdomain "/etc/squid/listas/semcache"

always_direct allow sites_diretos

cache deny sites_diretos

http_access allow sites_diretos

0 0

Quote

8. Re: Java, Squid e Iptables - Como proceder?

ch4c4r
(usa Debian)

Enviado em 28/08/2013 - 12:03h

Alterei aqui, obrigado pela dica!
Vou testar ao longo do dia e retorno em breve, valeu!

0 0

Quote

9. Amigo veja se te ajuda:

leandro.paulo
(usa Ubuntu)

Enviado em 01/11/2013 - 23:33h

amigo crie esta acl e veja se te ajuda.

acl extensoesdinamicas urlpath_regex cgi-bin \? scripts \.php$ \.asp$
\.action$ \.css$ \.dll$ \.do$ \.exe$ \.ftl$ \.js$ \.jsp$ \.lzx$ \.vm$
\.aspx$
no_cache deny extensoesdinamicas

coloque após a declaração das portas seguras.

0 0

Quote