Não consigo ter acesso por completo a uma página da empresa

1. Não consigo ter acesso por completo a uma página da empresa

Roberto Cesar Mestrinho
robertomestrinho

(usa Debian)

Enviado em 03/03/2012 - 15:44h

Boa tarde!

Sei muito pouco de Squid/Iptables e estou tendo dificuldades para habilitar por inteiro uma página de nossa empressa que possui um chat para comunição. Quem possui acesso total consegue receber e enviar mensagens mas que possui acesso limitado só está conseguindo enviar mensagem mas não recebe. Tem algo bloqueando e eu ainda nao consegui descobrir ao certo o que poderia ser. Fiz um monitoramento na maquina com IP limitado e em uma das linhas mostra a seguinte mensagem:

1330791895.672 12 0.0.0.0 TCP_DENIED/403 1582 GET http://sitedaempresa.com.br/sites/all/modules/drupalchat/swf/sound.swf? - NONE/- text/html

Ja inclui toda esta linha nos sites permitidos mas continua dando a mesma mensagem. Gostaria de saber como posso fazer para desbloquer por completo a página para que todos tenham acesso a está página?

O squid.conf está assim no momento:


#no_cache deny QUERY
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#Default:
# maximum_object_size 40096 KB
#reply_body_max_size 10485760 allow all

#Liberando Avast
acl avast url_regex -i "/etc/squid/avast"
acl lib_avast src 0.0.0.0

#http_access deny msn
#acl msn url_regex -i

# CRIA ACL LIBERA MSN
acl libera_msn url_regex -i "/etc/squid/ip_msn"
acl lib_msn src 0.0.0.0
visible_hostname meuemail@siteempresa.com.br

#acl tudo src 0.0.0.0/0.0.0.0
acl all src 0.0.0.0/24
acl all src 0.0.1.0/24
always_direct deny all
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
http_access allow lib_avast avast
http_access deny avast lib_avast
http_access allow libera_msn lib_msn

acl Safe_ports port 80 # http
acl Safe_ports port 443 563 10000 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT

acl purge method PURGE
acl CONNECT method CONNECT
http_port 3128
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
coredump_dir /var/spool/squid
ftp_passive on
ftp_list_width 16
acl FTP proto FTP
#Bloqueio de Sites Indevidos
acl bloqueado url_regex -i "/etc/squid/bloqueio"
#acl sitesmsn url_regex -i "/etc/squid/sitesmsn"
acl permitidos url_regex -i "/etc/squid/permitidos"
acl permitidos_pa url_regex -i "/etc/squid/permitidos_pa"

acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #


#http_access allow ip_liberado
http_access deny bloqueado

#bloqueados
acl ip_bloqueado src 0.0.0.0 #
acl ip_bloqueado src 0.0.0.0 #
acl ip_bloqueado src 0.0.0.0 #

http_access deny !permitidos ip_bloqueado

always_direct allow FTP




  


2. Re: Não consigo ter acesso por completo a uma página da empresa

Francisco Wótila C. Cruz
Wotila_Carneiro

(usa Ubuntu)

Enviado em 03/03/2012 - 15:59h

Pode ser algum problema com o iptables. Talvez ele permita a saída do pacote, mas não o retorno.


3. Re: Não consigo ter acesso por completo a uma página da empresa

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 04/03/2012 - 09:07h

Vc pode estar bloqueando a extensão do arquivo (.swf) em vez do site. Vou dar algumas comentadas no seu arquivo pq tou achando uma bagunça:


#no_cache deny QUERY
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

#Default:
# maximum_object_size 40096 KB
#reply_body_max_size 10485760 allow all

#Liberando Avast
acl avast url_regex -i "/etc/squid/avast"
acl lib_avast src 0.0.0.0 <-- isso tá errado... apague!

#http_access deny msn
#acl msn url_regex -i

# CRIA ACL LIBERA MSN
acl libera_msn url_regex -i "/etc/squid/ip_msn"
acl lib_msn src 0.0.0.0 <-- isso tá errado... apague!
visible_hostname meuemail@siteempresa.com.br

#acl tudo src 0.0.0.0/0.0.0.0
acl all src 0.0.0.0/24 <-- isso tá errado... apague!
acl all src 0.0.1.0/24 <-- isso tá errado... apague!
always_direct deny all <-- essa regra não permite passar nada sem cache. É isso q vc quer msm?
acl SSL_ports port 443 563 # https, snews <-- apague essa linha, tá repetida
acl SSL_ports port 873 # rsync <-- apague essa linha, tá repetida
http_access allow lib_avast avast <-- apague a acl lib_avast
http_access deny avast lib_avast <-- apague isso, tá errado!
http_access allow libera_msn lib_msn <-- apague a acl lib_msn

acl Safe_ports port 80 # http
acl Safe_ports port 443 563 10000 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT

acl purge method PURGE
acl CONNECT method CONNECT
http_port 3128
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
coredump_dir /var/spool/squid
ftp_passive on
ftp_list_width 16
acl FTP proto FTP
#Bloqueio de Sites Indevidos
acl bloqueado url_regex -i "/etc/squid/bloqueio"
#acl sitesmsn url_regex -i "/etc/squid/sitesmsn"
acl permitidos url_regex -i "/etc/squid/permitidos"
acl permitidos_pa url_regex -i "/etc/squid/permitidos_pa"

acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 # <-- q acls são essas? apague tudo!
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #
acl ip_liberado src 0.0.0.0 #


#http_access allow ip_liberado
http_access deny bloqueado

#bloqueados
acl ip_bloqueado src 0.0.0.0 #
acl ip_bloqueado src 0.0.0.0 # <-- q acls são essas? apague tudo!
acl ip_bloqueado src 0.0.0.0 #

http_access deny !permitidos ip_bloqueado <-- apague essa linha e deixe assim:

http_access allow permitidos
http_access deny all

always_direct allow FTP <-- se vc negou o always_direct pra todos, essa regra não vai funcionar...



4. Re: Não consigo ter acesso por completo a uma página da empresa

Phillip Vieira
phrich

(usa Slackware)

Enviado em 08/03/2012 - 14:36h

dentro do arquivo que libera os sites, coloque:

.seusite.com*


E depois teste, caso não funcione faça o seguinte:


tail -f /var/log/squid3/access.log | grep ip_do_host | grep -i denied


onde ip do host é o ip de origem, ou seja, o host q vc está usando para realizar o teste.

Assim vc consegue ver o que está sendo bloqueado.


5. Re: Não consigo ter acesso por completo a uma página da empresa

Roberto Cesar Mestrinho
robertomestrinho

(usa Debian)

Enviado em 13/03/2012 - 00:35h

Agradeço a todos pelas orientações. Vou fazer testes com as com as dicas dadas e logo após postarei o resultado,






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts