PROBLEMA FIREWALL

removido
(usa Nenhuma)

Enviado em 12/03/2012 - 16:48h

ae galera..

seguinte, eu tenho um server com squid rodando na porta 3128 transparente

ele funciona certinho soh que estou com 1 problema que nao consigo resolver faz muito tempo e ja tentei de tudo (pelo menos até onde eu sei) hehe :D

eu acesso 1 determinado site sem https e vai tranquilamente mas quando tento acessar um site com https nao vai de jeito nenhum..

o problema é que se eu trocar o ip por exemplo

estou usando 192.168.1.101 e acesso http normalmente mas https não..
ai eu troco de ip pra 192.168.1.102
tento acessar http tudo ok, tento acessar https e vai também..

parece que é algum bug do firewall não sei.. E as vezes 1 ip que acessa https normalmente para de funcionar https do nada..

Já descobri que se eu inserir o proxy manualmente no navegador

192.168.1.1 porta 80

a navegação com http e https fica ok..


Segue minha config do shorewall para o pessoal analisar..

http://www.smo.com.br/live/supportchat/dados/rules.txt


Logs do syslog:

Mar 9 19:31:32 hrtgb-controle kernel: [85366.530104] Shorewall:loc22net:ACCEPT:IN=eth3 OUT=eth0 SRC=192.168.1.101 DST=74.125.234.35 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=2221 DF PROTO=TCP SPT=49777 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
Mar 9 19:31:35 hrtgb-controle kernel: [85368.817982] Shorewall:loc2_dnat:REDIRECT:IN=eth3 OUT= MAC=00:01:02:a6:ae:82:1c:4b:d6:65:63:84:08:00 SRC=192.168.1.101 DST=74.125.234.53 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=2223 DF PROTO=TCP SPT=49778 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Mar 9 19:31:35 hrtgb-controle kernel: [85368.888564] Shorewall:loc2_dnat:REDIRECT:IN=eth3 OUT= MAC=00:01:02:a6:ae:82:1c:4b:d6:65:63:84:08:00 SRC=192.168.1.101 DST=74.125.234.53 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=2226 DF PROTO=TCP SPT=49779 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Mar 9 19:31:35 hrtgb-controle kernel: [85369.480919] Shorewall:loc22net:ACCEPT:IN=eth3 OUT=eth0 SRC=192.168.1.101 DST=74.125.65.84 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=2231 DF PROTO=TCP SPT=49780 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
Mar 9 19:31:35 hrtgb-controle kernel: [85369.530308] Shorewall:loc22net:ACCEPT:IN=eth3 OUT=eth0 SRC=192.168.1.101 DST=74.125.234.35 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=2233 DF PROTO=TCP SPT=49777 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
Mar 9 19:31:38 hrtgb-controle kernel: [85372.483736] Shorewall:loc22net:ACCEPT:IN=eth3 OUT=eth0 SRC=192.168.1.101 DST=74.125.65.84 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=2234 DF PROTO=TCP SPT=49780 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
Mar 9 19:31:39 hrtgb-controle kernel: [85372.754928] Shorewall:loc22loc:REJECT:IN=eth3 OUT=eth1 SRC=192.168.1.101 DST=10.1.1.123 LEN=105 TOS=0x00 PREC=0x00 TTL=127 ID=2235 PROTO=UDP SPT=63799 DPT=161 LEN=85
Mar 9 19:31:41 hrtgb-controle kernel: [85375.531182] Shorewall:loc22net:ACCEPT:IN=eth3 OUT=eth0 SRC=192.168.1.101 DST=74.125.234.35 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2236 DF PROTO=TCP SPT=49777 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0



Por favor galera me ajudem pois não sei mais o que fazer..

Muito obrigado a todos, um grande abraço

phrich
(usa Slackware)

Enviado em 12/03/2012 - 17:00h

Sem querer lhe desanimar, mas o squid em modo transparente não funciona com https.

Você vai ter que setar o proxy no navegador (Manualmente ou via GPO) ou então usar o Wpad.

removido
(usa Nenhuma)

Enviado em 12/03/2012 - 17:01h

sim eu sei que não funciona velho mas o firewall deveria redirecionar o tráfego https para fora do squid..

Pode ver na config do firewall que está sendo feito isso.

phrich
(usa Slackware)

Enviado em 12/03/2012 - 17:09h

Eu acho meio sem lógica usar o proxy transparente, já que não há vantagem nenhuma, só dor de cabeça...

Por exemplo, como não funciona com https, vc vai abrir a excessão no seu iptables, então ele vai deixar passar o tráfego https, sendo assim um usuário "mais esperto" irá digitar http://facebook.com por exemplo...


Eu vi que ao final do seu arquivo vc está com uma regra duplicada (ou não talvez sejam 2 origens) e que está liberando apenas para alguns ips e não para nomes.

Talvez o seu problema esteja ai, tente liberar tudo para https, ou seja tudo o que sair para https faça com que não passe pelo proxy.

removido
(usa Nenhuma)

Enviado em 12/03/2012 - 17:50h

no final do arquivo não são 2 regras duplicadas..

uma linha está liberando para a rede loc que é 10.1.0.0/22

na outra linha está liberando para a rede loc2 que é 192.168.1.0/24


Pois é, estou pensando em migrar para proxy autenticado o problema é fazer toda a alteração necessária..

phrich
(usa Slackware)

Enviado em 12/03/2012 - 18:20h

Cara, se vc tiver um servidor com ad ai, vc pode setar o proxy via GPO, ou se for o caso, vc pode usar o Wpad para fazer isso para vc.


E no demais, criar usuários, e alterar as confs do squid, eu acho que 90% de suas dores de cabeça irão sumir.

removido
(usa Nenhuma)

Enviado em 12/03/2012 - 18:22h

Preciso alterar muita configuração no squid, dns e tal ?

phrich
(usa Slackware)

Enviado em 12/03/2012 - 19:08h

Escolher o método de autenticação e retitar o transparent da linha http_port 3128

No demais as confs são as mesmas, e claro, se vc quiser liberar alguns grupos e outros não...

Wotila_Carneiro
(usa Ubuntu)

Enviado em 12/03/2012 - 19:10h

Eu usava proxy transparente por pura inocência. Depois vi que há mais vantagens em proxy não transparente. Sou iniciante em linux, e a rede que eu administro é muito simples e pequenas, mas entee proxy transparente e setar o proxy manualmente, eu prefiro a segunda opção. Hoje uso modo não transparente com autenticação ncsa, e bloqueio por usuário, grupo, etc. Show de bola!

removido
(usa Nenhuma)

Enviado em 23/03/2012 - 22:37h

alô amigo,
desculpe mas vc verificou se existe no arquiivo /etc/squid.conf
uma regra do tipo: acl Safe_ports port 443

removido
(usa Nenhuma)

Enviado em 24/03/2012 - 13:33h

Fala velho..

Sim eu tenho no squid.conf

acl SSL_ports port 443

e mais abaixo


acl Safe_ports port 443