01 02

Liberar site squid. [RESOLVIDO]

1. Liberar site squid. [RESOLVIDO]

meoliveira
(usa Debian)

Enviado em 26/06/2015 - 11:14h

Bom dia.

Estou tentando liberar um site porém sem sucesso, na verdade o site em questão é do SUS. A Maquina em questão faz parte dos ips_restritos, esse grupo só acessa o que esta na acl cadweb.

A tela de login consigo acessar, pois coloquei a url na opção cadweb, porém apos o login o servidor bloqueia.

A url de inicio é
https://cadastro.saude.gov.br/cadsusweb/login.jsp;jsessionid=AJAwFoefrdSPZMSFHqWMPOnpRBJS3VdwvKPHVBxF4UnyjGvfmfkZ!888400486">https://cadastro.saude.gov.br/cadsusweb/login.jsp;jsessionid=AJAwFoefrdSPZMSFHqWMPOnpRBJS3VdwvKPHVBx...

Após logar, o site redireciona para:
https://cadastro.saude.gov.br/cadsusweb/restrito/usuarioConsulta.jsp">https://cadastro.saude.gov.br/cadsusweb/restrito/usuarioConsulta.jsp - Ai não abre.

seque meu squid.conf

http_port 3128 transparent

visible_hostname NetServer



error_directory /usr/share/squid-langpack/pt-br



cache_mem 128 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 51200 KB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 4096 16 256







cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_objetc

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 91 1025-65535

acl purge method PURGE

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports





#bloquear sites

acl bloqueados dstdomain -i "/etc/squid/bloqueados"

acl ips_liberados src "/etc/squid/ips_liberados"



http_access deny bloqueados !ips_liberados



#liberar cadweb e outros sites para pcs sem acesso a internet

acl cadweb dstdomain -i "/etc/squid/cadweb"

acl ips_restritos src "/etc/squid/ips_restritos"



http_access deny ips_restritos !cadweb



#proibir download de arquivos

acl proibe_downloads url_regex -i "/etc/squid/proibe_downloads"

http_access deny proibe_downloads !ips_liberados



acl redelocal src 192.168.2.0/24 #faixa de ips da rede local

http_access allow localhost

http_access allow redelocal



http_access deny all

meu arquivo cadweb testa assim:

http://cartaonet.datasus.gov.br/
http://cadastro.sus.gov.br/cadsusweb
http://web.medlinksaude.com.br/
.avast.com
.unimed-assis.com.br
web.medlinksaude.com.br
cadweb
cadastro.saude.gov.br/*
https://cadastro.saude.gov.br/cadsusweb
cadastro.saude.gov.br/cadsusweb
https://cadastro.saude.gov.br/cadsusweb/restrito/usuarioConsulta.jsp">https://cadastro.saude.gov.br/cadsusweb/restrito/usuarioConsulta.jsp
https://cadastro.saude.gov.br/cadsusweb/login.jsp;jsessionid=AJAwFoefrdSPZMSFHqWMPOnpRBJS3VdwvKPHVBxF4UnyjGvfmfkZ!888400486">https://cadastro.saude.gov.br/cadsusweb/login.jsp;jsessionid=AJAwFoefrdSPZMSFHqWMPOnpRBJS3VdwvKPHVBx...

Alguém poderia ajudar?

0 0

Quote

2. MELHOR RESPOSTA

Buckminster
(usa Debian)

Enviado em 02/07/2015 - 15:41h

saude.gov.br/jghsadjBHGH1836ADGHAO1 <<<<< errado.

saude.gov.br <<<<<< certo.

Veja bem

acl cadweb dstdomain -i "/etc/squid/cadweb"

essa ACL é do tipo dstdomain e saude.gov.br/jghsadjBHGH1836ADGHAO1 não é um domínio.

saude.gov.br/jghsadjBHGH1836ADGHAO1 <<< só irá funcionar se tu colocar em uma ACL do tipo url_regex.

0 0

Quote

3. Re: Liberar site squid. [RESOLVIDO]

ismabsd
(usa FreeBSD)

Enviado em 26/06/2015 - 17:11h

Faz um teste, libera todo o domínio saude.gov.br, verifique também se o site não está sendo direcionado para outra porta.
O restante dos sites liberados está acessando normalmente ?

0 0

Quote

4. Re: Liberar site squid. [RESOLVIDO]

meoliveira
(usa Debian)

Enviado em 26/06/2015 - 17:36h

ismabsd escreveu:

Faz um teste, libera todo o domínio saude.gov.br, verifique também se o site não está sendo direcionado para outra porta.
O restante dos sites liberados está acessando normalmente ?

Os outros sites liberam normalmente.

para liberar todo o dominio é só colocar o saude.gov.br numa das linhas?

Como ver se direciona para outra porta?

Obrigado!

0 0

Quote

5. Re: Liberar site squid. [RESOLVIDO]

ismabsd
(usa FreeBSD)

Enviado em 27/06/2015 - 08:25h

Sim, saude.gov.br.
A porta você pode verificar na URL, ou acompanhar pelo TCPDUMP.

0 0

Quote

6. Re: Liberar site squid. [RESOLVIDO]

Lucas Peregrino
(usa Debian)

Enviado em 28/06/2015 - 10:37h

Seu problema creio que esta aqui.

#proibir download de arquivos
acl proibe_downloads url_regex -i "/etc/squid/proibe_downloads"
http_access deny proibe_downloads !ips_liberados

mesmo deixando o domínio liberado ao tentar acessar o site se ele bate alguma palavra que esteja na sua lista ele vai bloquear ela com isso n terá o acesso desejado.

0 0

Quote

7. Re: Liberar site squid. [RESOLVIDO]

meoliveira
(usa Debian)

Enviado em 02/07/2015 - 14:25h

Lucas Peregrino escreveu:

Seu problema creio que esta aqui.

#proibir download de arquivos
acl proibe_downloads url_regex -i "/etc/squid/proibe_downloads"
http_access deny proibe_downloads !ips_liberados

mesmo deixando o domínio liberado ao tentar acessar o site se ele bate alguma palavra que esteja na sua lista ele vai bloquear ela com isso n terá o acesso desejado.

Será? Até onde me lembro este arquivo só tem extensões de arquivo, não palavras.

ismabsd eu liberei o saude.gov.br mas não resolveu também!

Alguma outra dica?

Obrigado desde já!

0 0

Quote

8. Re: Liberar site squid.

Buckminster
(usa Debian)

Enviado em 02/07/2015 - 14:31h

Veja bem, nas ACLs

acl bloqueados dstdomain -i "/etc/squid/bloqueados"
acl ips_liberados src "/etc/squid/ips_liberados"

a ACL do tipo dstdomain deve obrigatoriamente ir dentro do arquivo 'bloqueados' somente domínios um por linha dando enter após cada linha:

site.com
site.com.br
outrosite.com

Na ACL src deve ir somente endereços IPs:

xxx.xxx.xxx.xxx
yyy.yyy.yyy.yyy
zzz.zzz.zzz.zzz

acl manager proto cache_objetc <<<<< essa ACL além de estar errada, o certo é object e não objetc, ela não existe mais no Squid, pode comentar ou deletar ela.

As ACLs do tipo url_regex bloqueiam palavras encontradas na URL do navegador, palavras estas que estão dentro do arquivo especificado, sempre uma palavra por linha, por exemplo, se tu colocou a palavra sexo no arquivo, TODAS as URLs que tiverem essa palavra serão bloqueadas.
O -í indica que a consulta deve ser case insensitive, ou seja, não diferencia maiúsculas de minúsculas, portanto, Sexo é igual a seXo.

E não esqueça de verificar se o teu firewall não está bloqueando algo que não devia.

0 0

Quote

9. Re: Liberar site squid.

meoliveira
(usa Debian)

Enviado em 02/07/2015 - 15:36h

buckminster, primeiramente obrigado pela ajuda!

A ACL que postei do bloqueados está correta de acordo com o que você falou não está? Um endereço por linha correto? Ou não pode ter por exemplo aquele saude.gov.br/jghsadjBHGH1836ADGHAO1 ?

A ACL ips_restritos só tem ip mesmo.

Agora, meu firewall não é mexido a tempo, não tem bloqueios nesse sentido.

0 0

Quote

10. Re: Liberar site squid. [RESOLVIDO]

meoliveira
(usa Debian)

Enviado em 02/07/2015 - 15:43h

A sim, entendi. Vou tirar então depois posto se deu resultado.

Obrigado!

0 0

Quote

11. Re: Liberar site squid. [Resolvido]

meoliveira
(usa Debian)

Enviado em 07/07/2015 - 08:40h

Buckminster escreveu:

saude.gov.br/jghsadjBHGH1836ADGHAO1 <<<<< errado.

saude.gov.br <<<<<< certo.

Veja bem

acl cadweb dstdomain -i "/etc/squid/cadweb"

essa ACL é do tipo dstdomain e saude.gov.br/jghsadjBHGH1836ADGHAO1 não é um domínio.

saude.gov.br/jghsadjBHGH1836ADGHAO1 <<< só irá funcionar se tu colocar em uma ACL do tipo url_regex.

Bom dia!

Obrigado a todos. Consegui resolver, tirei tudo o que não é dominio e coloquei apenas o dominio e deu certo.

Obrigado mais uma vez.

0 0

Quote