Porta SSL

implantar
(usa Outra)

Enviado em 11/06/2015 - 19:45h

Boa Noite Pessoal!
Pessoal estou com um problema que não consigo resolver.
Tenho ubuntu server 12.04 rodando squid3 e firewall. Meu computador é liberado para funcionar fora do proxy. Tem alguns sites que consigo acessar apenas com o proxy configurado. Tenho um sistema para emissão de Nfse que comunica com este site que também não funciona. Este site utiliza porta 443 (ssl). No relatório de autenticação aparece o site homolog.govdigital.com.br:443 e quando acesso aparece a mensagem abaixo:
Bad Request
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.
Apache/2.2.29 (Amazon) Server at homolog.govdigital.com.br Port 443

Segue meu squid e firewall abaixo:
Squid:

#servidores DNS

#dns_nameservers 192.168.1.220



#CONFIGURAÇÕES GERAIS

http_port 3128

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

minimum_object_size 0 KB

maximum_object_size 4096 KB

cache_swap_low 90

cache_swap_high 95

fqdncache_size 1024

log_fqdn off

cache_replacement_policy lru

memory_replacement_policy lru

cache_dir ufs /var/spool/squid3 100 16 256

cache_access_log /var/log/squid3/access.log

#cache_store_log /var/log/squid3/store.log

logfile_rotate 9



#AUTENTICAÇÃO DO DOMINIO

#Atenção! A linha de autenticação começa aqui

#auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b dc=implantarsoluco,dc=local -f sAMAccountName=%s -h 192.168.1.240 -D cn=Administrador,cn=users,dc=implantarsoluco,dc=local -w Implantar753159



auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=implantarsoluco,dc=local" -D "cn=administrador,cn=Users,dc=implantarsoluco,dc=local" -w "Implantar753159" -f sAMAccountName=%s -h 192.168.1.220:389

#Atenção! Aqui termina a linha de autenticação

auth_param basic realm ATENCAO! Este acesso sera registrado. Digite seu usuario e senha.

auth_param basic children 5

auth_param basic casesensitive off

auth_param basic credentialsttl 1 minutes



emulate_httpd_log off

mime_table /usr/share/squid3/mime.conf

pid_filename /var/run/squid3.pid

ftp_passive on

unlinkd_program /usr/lib/squid3/unlinkd

external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=implantarsoluco,dc=local" -D "cn=administrador,cn=Users,dc=implantarsoluco,dc=local" -w "Implantar753159" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=users,dc=implantarsoluco,dc=local))" -h 192.168.1.220:389

#ACLS

acl manager proto cache_object

acl localhost    src  127.0.0.1/32

acl to_localhost dst  127.0.0.0/8 0.0.0.0/32

acl localnet     src  192.168.1.0/24 # que vem da rede local

acl to_localnet  dst  192.168.1.0/24 #que vão para a rede local

acl SSL_ports    port 443 563 873

acl Safe_ports   port 20 21 22 70 80 200 210 220 289 331 443 445 488 591 777 8080 5000-6000 1025-65535

acl CONNECT method CONNECT

acl liberados url_regex  -i http://app3.crmvendamais.com/implantarsolucoes/WebServices/VendaMaisNfeService.svc teamviewer.com implanarsolucoes.com.br implantarsolucoes.ddns.com.br https://www.youtube.com/watch?v=ksnsDYucFY4

# Regra de Bloqueio

#acl DomLibe dstdomain -i.vivaolinux.com.br

acl ExtBloq url_regex -i .mp3$ .mp4$ .torrent$ .mp5$ .WMV$ .WMA$ .MOV$ .ASF$ .MPG$ .MPEG$ .AVI$

acl almoco time M T W H F 11:30-13:00

acl tarde time M T W H F 17:30-19:30

acl sites_bloqueados dstdomain -i "/etc/squid3/acls/sites_bloqueados"

acl bloquear_palavras dstdom_regex -i "/etc/squid3/acls/palavras_negadas"

acl ldaprestrito external ldap_group Suporte

acl ldapvpn external ldap_group Vpn

acl SolicitarAutenticacao proxy_auth REQUIRED



#CONTROLES DE ACESSO HTTP

#Libera acessos a alguns sites sem autenticação para todos

http_access allow liberados

http_access allow almoco

http_access allow tarde

#Solicita autenticação. Se não autenticar, bloqueia conexão.

http_access deny !SolicitarAutenticacao

#Libera acesso a sites ou serviços http na rede interna

http_access allow to_localnet

http_access deny bloquear_palavras

http_access deny sites_bloqueados

http_access allow ldapvpn

http_access allow ldaprestrito

#http_access allow DomLibe

#http_access deny  DomBloq

http_access deny  ExtBloq

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow all

#cache_effective_user nobody

#cache_effective_group nobody

#visible_hostname proxy_openSUSE113

#unique_hostname  proxy_openSUSE113



#CONTROLES DE ACESSO ICP

icp_access allow localnet

icp_access allow  all



#CONTROLES DE ACESSO HTCP

htcp_access allow localnet

htcp_access deny all



#GRAVAÇÃO DE LOGS

cache_log /var/log/squid3/cache.log



#REFRESHS

refresh_pattern ^ftp:              1440    20%    10080

refresh_pattern ^gopher:           1440     0%     1440

refresh_pattern -i (/cgi-bin/|\?)     0     0%        0

refresh_pattern .                     0    20%     4320

icp_port 3130



#CONFIGURAÇÕES DE CACHE

cache_mem 64 MB

maximum_object_size_in_memory 32 KB



cache_mgr suporte@implantarsolucoes.com.br

mail_program mail



#OUTRAS CONFIGURAÇÕES

coredump_dir /var/spool/squid3



connect_timeout 1 minutes

client_lifetime 5 minutes #days

#icon_directory /usr/share/squid/squid3/icons

error_directory /usr/share/squid3/errors/pt-br



 

Firewall

#!/bin/bash



iniciar(){

modprobe iptable_nat

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

modprobe ip_tables

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE



#///////////////////////////////////////////remoto//////////////////////////////////////////

iptables -t nat -I PREROUTING -s 192.168.1.85 -p tcp --dport 443 -j ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4490 -j DNAT --to 192.168.1.220

#iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.1.85 -j RETURN

#///////////////////////////////////////////SQUID////////////////////////////////////

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 ! -s 192.168.1.85/192.168.1.90 #liberar computador marcelo

iptables -t nat -I PREROUTING -s 192.168.1.220 -p tcp --dport 80 -j ACCEPT #liberar servidor windows

iptables -t nat -I PREROUTING -s 192.168.1.65 -p tcp --dport 80 -j ACCEPT #liberar celular guilherme

iptables -t nat -I PREROUTING -s 192.168.1.59 -p tcp --dport 80 -j ACCEPT #liberar computador Ana clara

iptables -t nat -I PREROUTING -s 192.168.1.85 -p tcp --dport 80 -j ACCEPT #liberar computador Guilherme

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#///////////////////////////////////////VPN///////////////////////////////////////////////

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1723 -j DNAT --to 192.168.1.220

iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 1721 -j DNAT --to 192.168.1.220

iptables -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.220

iptables -I FORWARD -p gre -j ACCEPT

iptables -I FORWARD -d 192.168.1.220 -j ACCEPT

#////////////////////////////////////////////////////////////////////////////////////////////

#////////////////////////////////////////FTP////////////////////////////////////////////////

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.1.220

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5000:6000 -j DNAT --to 192.168.1.220

#/////////////////////////////////////////////////////////////////////////////////////////////

#///////////////////////////////////////PORTAL IMPLANTAR/////////////////////////////////////

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j DNAT --to 192.168.1.220

#//////////////////////////////////////////////////////////////////////////////////////////////

}

parar(){

iptables -F -t nat

}



case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "Use os parâmetros start ou stop"

esac

 

juliocm
(usa Debian)

Enviado em 11/06/2015 - 20:20h

[Aquote]implantar escreveu:

Boa Noite Pessoal!
Pessoal estou com um problema que não consigo resolver.
Tenho ubuntu server 12.04 rodando squid3 e firewall. Meu computador é liberado para funcionar fora do proxy. Tem alguns sites que consigo acessar apenas com o proxy configurado. Tenho um sistema para emissão de Nfse que comunica com este site que também não funciona. Este site utiliza porta 443 (ssl). No relatório de autenticação aparece o site homolog.govdigital.com.br:443 e quando acesso aparece a mensagem abaixo:
Bad Request
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.
Apache/2.2.29 (Amazon) Server at homolog.govdigital.com.br Port 443

Segue meu squid e firewall abaixo:
Squid:

#servidores DNS

#dns_nameservers 192.168.1.220



#CONFIGURAÇÕES GERAIS

http_port 3128

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

minimum_object_size 0 KB

maximum_object_size 4096 KB

cache_swap_low 90

cache_swap_high 95

fqdncache_size 1024

log_fqdn off

cache_replacement_policy lru

memory_replacement_policy lru

cache_dir ufs /var/spool/squid3 100 16 256

cache_access_log /var/log/squid3/access.log

#cache_store_log /var/log/squid3/store.log

logfile_rotate 9



#AUTENTICAÇÃO DO DOMINIO

#Atenção! A linha de autenticação começa aqui

#auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b dc=implantarsoluco,dc=local -f sAMAccountName=%s -h 192.168.1.240 -D cn=Administrador,cn=users,dc=implantarsoluco,dc=local -w Implantar753159



auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=implantarsoluco,dc=local" -D "cn=administrador,cn=Users,dc=implantarsoluco,dc=local" -w "Implantar753159" -f sAMAccountName=%s -h 192.168.1.220:389

#Atenção! Aqui termina a linha de autenticação

auth_param basic realm ATENCAO! Este acesso sera registrado. Digite seu usuario e senha.

auth_param basic children 5

auth_param basic casesensitive off

auth_param basic credentialsttl 1 minutes



emulate_httpd_log off

mime_table /usr/share/squid3/mime.conf

pid_filename /var/run/squid3.pid

ftp_passive on

unlinkd_program /usr/lib/squid3/unlinkd

external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=implantarsoluco,dc=local" -D "cn=administrador,cn=Users,dc=implantarsoluco,dc=local" -w "Implantar753159" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=users,dc=implantarsoluco,dc=local))" -h 192.168.1.220:389

#ACLS

acl manager proto cache_object

acl localhost    src  127.0.0.1/32

acl to_localhost dst  127.0.0.0/8 0.0.0.0/32

acl localnet     src  192.168.1.0/24 # que vem da rede local

acl to_localnet  dst  192.168.1.0/24 #que vão para a rede local

acl SSL_ports    port 443 563 873

acl Safe_ports   port 20 21 22 70 80 200 210 220 289 331 443 445 488 591 777 8080 5000-6000 1025-65535

acl CONNECT method CONNECT

acl liberados url_regex  -i http://app3.crmvendamais.com/implantarsolucoes/WebServices/VendaMaisNfeService.svc teamviewer.com implanarsolucoes.com.br implantarsolucoes.ddns.com.br https://www.youtube.com/watch?v=ksnsDYucFY4

# Regra de Bloqueio

#acl DomLibe dstdomain -i.vivaolinux.com.br

acl ExtBloq url_regex -i .mp3$ .mp4$ .torrent$ .mp5$ .WMV$ .WMA$ .MOV$ .ASF$ .MPG$ .MPEG$ .AVI$

acl almoco time M T W H F 11:30-13:00

acl tarde time M T W H F 17:30-19:30

acl sites_bloqueados dstdomain -i "/etc/squid3/acls/sites_bloqueados"

acl bloquear_palavras dstdom_regex -i "/etc/squid3/acls/palavras_negadas"

acl ldaprestrito external ldap_group Suporte

acl ldapvpn external ldap_group Vpn

acl SolicitarAutenticacao proxy_auth REQUIRED



#CONTROLES DE ACESSO HTTP

#Libera acessos a alguns sites sem autenticação para todos

http_access allow liberados

http_access allow almoco

http_access allow tarde

#Solicita autenticação. Se não autenticar, bloqueia conexão.

http_access deny !SolicitarAutenticacao

#Libera acesso a sites ou serviços http na rede interna

http_access allow to_localnet

http_access deny bloquear_palavras

http_access deny sites_bloqueados

http_access allow ldapvpn

http_access allow ldaprestrito

#http_access allow DomLibe

#http_access deny  DomBloq

http_access deny  ExtBloq

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow all

#cache_effective_user nobody

#cache_effective_group nobody

#visible_hostname proxy_openSUSE113

#unique_hostname  proxy_openSUSE113



#CONTROLES DE ACESSO ICP

icp_access allow localnet

icp_access allow  all



#CONTROLES DE ACESSO HTCP

htcp_access allow localnet

htcp_access deny all



#GRAVAÇÃO DE LOGS

cache_log /var/log/squid3/cache.log



#REFRESHS

refresh_pattern ^ftp:              1440    20%    10080

refresh_pattern ^gopher:           1440     0%     1440

refresh_pattern -i (/cgi-bin/|\?)     0     0%        0

refresh_pattern .                     0    20%     4320

icp_port 3130



#CONFIGURAÇÕES DE CACHE

cache_mem 64 MB

maximum_object_size_in_memory 32 KB



cache_mgr suporte@implantarsolucoes.com.br

mail_program mail



#OUTRAS CONFIGURAÇÕES

coredump_dir /var/spool/squid3



connect_timeout 1 minutes

client_lifetime 5 minutes #days

#icon_directory /usr/share/squid/squid3/icons

error_directory /usr/share/squid3/errors/pt-br



 

Firewall

#!/bin/bash



iniciar(){

modprobe iptable_nat

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp

modprobe ip_tables

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE



#///////////////////////////////////////////remoto//////////////////////////////////////////

iptables -t nat -I PREROUTING -s 192.168.1.85 -p tcp --dport 443 -j ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4490 -j DNAT --to 192.168.1.220

#iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.1.85 -j RETURN

#///////////////////////////////////////////SQUID////////////////////////////////////

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 ! -s 192.168.1.85/192.168.1.90 #liberar computador marcelo

iptables -t nat -I PREROUTING -s 192.168.1.220 -p tcp --dport 80 -j ACCEPT #liberar servidor windows

iptables -t nat -I PREROUTING -s 192.168.1.65 -p tcp --dport 80 -j ACCEPT #liberar celular guilherme

iptables -t nat -I PREROUTING -s 192.168.1.59 -p tcp --dport 80 -j ACCEPT #liberar computador Ana clara

iptables -t nat -I PREROUTING -s 192.168.1.85 -p tcp --dport 80 -j ACCEPT #liberar computador Guilherme

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#///////////////////////////////////////VPN///////////////////////////////////////////////

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1723 -j DNAT --to 192.168.1.220

iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 1721 -j DNAT --to 192.168.1.220

iptables -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.220

iptables -I FORWARD -p gre -j ACCEPT

iptables -I FORWARD -d 192.168.1.220 -j ACCEPT

#////////////////////////////////////////////////////////////////////////////////////////////

#////////////////////////////////////////FTP////////////////////////////////////////////////

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.1.220

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 5000:6000 -j DNAT --to 192.168.1.220

#/////////////////////////////////////////////////////////////////////////////////////////////

#///////////////////////////////////////PORTAL IMPLANTAR/////////////////////////////////////

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8080 -j DNAT --to 192.168.1.220

#//////////////////////////////////////////////////////////////////////////////////////////////

}

parar(){

iptables -F -t nat

}



case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "Use os parâmetros start ou stop"

esac

 

[/quote]





Grep!
O módulo abaixo está habilitado?
LoadModule ssl_module modules/mod_ssl.so

implantar
(usa Outra)

Enviado em 11/06/2015 - 20:25h

Desculpa mais não sei como. Como faço para habilitar?