01 02

Site de serviços não abre [RESOLVIDO]

1. Site de serviços não abre [RESOLVIDO]

Pinguim Gigante
(usa Fedora)

Enviado em 22/11/2007 - 15:52h

Pinguims, vou explicar o que há.

Tenho um Linux Fedora 6, com NAT, SQUID(3128, não autenticado), IPTABLES.

O Financeiro aqui da empresa precisa utilizar um sitio para fazer pedidos de tickets SodexhoPass: http://www.maisbeneficios.com.br/ . Quanto ele clica na seção Faca Seu Pedido, ele é redirecionado para outro sitio: http://spbiasbo.sodexhopass.com.br/pedidos_mb/loginPedido.do?metodo=prepararLogin . Ele consegue logar o sistema sem problemas.
Mas em um certo momento ele tem que solicitar os tickets, quando clica é mandado para outro endereço e para uma porta. Veja ai: 200.192.88.229:8888 . O SQUID simplesmente diz: (13) Permission denied.

Alguem me ajudem!

0 0

Quote

2. Re: Site de serviços não abre [RESOLVIDO]

jeff
(usa Suse)

Enviado em 22/11/2007 - 19:09h

libere no firewall a porta 8888 para este IP.

0 0

Quote

3. Não Adiantou

Pinguim Gigante
(usa Fedora)

Enviado em 23/11/2007 - 09:09h

Já Liberei no SQUID mas continua bloqueando.
Ja Liberei no IPTABLES e nada.

Só funciona quando eu paro o SQUID. Creio que seja algo a ver com a porta, pois através do IPTABLES redireciono o trafego da porta 80 para 3128(SQUID) e o sitio em questão funciona pela 8888. Tenho a impressão que seja isso, mas não consigo resolver.

Ajudem-me!!!

0 0

Quote

4. Um Teste

Pinguim Gigante
(usa Fedora)

Enviado em 23/11/2007 - 09:19h

Fiz um Teste. Desativei o proxy na minha máquina(servidor) e consigui acessar o site sem problemas. Mas quanto ativo não funciona.

0 0

Quote

5. chaves

DondaJR
(usa Debian)

Enviado em 23/11/2007 - 10:00h

Esse site usa chaves criptografadas no endereço?

se sim, pode ser que que o seu squid esteja bloqueando alguma palavra chave..

dá uma olhada nisso

0 0

Quote

6. Já verifiquei

Pinguim Gigante
(usa Fedora)

Enviado em 23/11/2007 - 10:29h

Não é isso pois já verifiquei. Ele consegue fazer login.

Verifiquei os logs do SQUID e encontrei o link em questão: http://200.192.88.229:8888/pedidos_mb/emiteBoleto.do

Se vocês tentarem clicar, é normal dar o erro "400 Bad Request" já que é necessário estar logado.
Aqui nem chega nessa tela, o SQUID aparece antes com o erro:
-----------------
Na tentativa de recuperar a URL: http://200.192.88.229:8888/pedidos_mb/emiteBoleto.do

O seguinte erro foi encontrado:

* Falha na conexão

O sistema retornou:

(13) Permission denied

O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.
-----------------

Se eu desativar o proxy não da essa tela. E se estiver logado, consigo gerar o boleto. Tenho que liberar isso em uma máquina na rede.

Socorro!!!

0 0

Quote

7. Re: Site de serviços não abre [RESOLVIDO]

TothBR
(usa Debian)

Enviado em 23/11/2007 - 10:44h

Bom dia!

Eu tbm tive problema com sites específicos cria uma acl no squid e libere tdo para o domínio referido isso antes de qualquer outra regra de bloqueio, comigo funcionou.

Abraços

0 0

Quote

8. Nada

Pinguim Gigante
(usa Fedora)

Enviado em 23/11/2007 - 11:47h

Já liberei mas não adiantou.

Andei verificando os logs do sistema e encontrei no log /var/log/messages estas linhas:
---------------------
Nov 23 11:41:31 everton kernel: audit(1195825291.247:762): avc: denied { name_connect } for pid=2668 comm="squid" dest=888
8 scontext=system_u:system_r:squid_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket
---------------------
Será que tem relação?

0 0

Quote

9. Re: Site de serviços não abre [RESOLVIDO]

TothBR
(usa Debian)

Enviado em 23/11/2007 - 15:23h

Tem como vc postar ai seu squid e firewall ou me mande por e-mail leociroz@gmail.com

0 0

Quote

10. conf SQUID e IPTABLES

Pinguim Gigante
(usa Fedora)

Enviado em 23/11/2007 - 16:44h

É com muita vergonha que mostro meus confs

Lembrando que aqui a internet é um IP

#############---SQUID---#############
http_port 3128
visible_hostname host@host.com.br

cache_mem 512 MB
maximum_object_size_in_memory 4096 KB
maximum_object_size 300 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 10240 16 256

error_directory /usr/share/squid/errors/Portuguese

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280
refresh_pattern . 15 20% 22820

acl ip_liberado src "/etc/squid/ip_liberado"
http_access allow ip_liberado

acl palavra dstdom_regex "/etc/squid/palavras_negadas"
http_access deny palavra

acl site url_regex -i "/etc/squid/sites_negados"
http_access deny site

acl video1 url_regex -i \.avi
http_access deny video1

acl video2 url_regex -i \.wmv
http_access deny video2

acl video3 url_regex -i \.mpg
http_access deny video3

acl video4 url_regex -i \.rmvb
http_access deny video4

acl video5 url_regex -i \.mpeg
http_access deny video5

acl video6 url_regex -i \.mpe
http_access deny video6

acl video7 url_regex -i \.mov
http_access deny video7

acl mp3 url_regex -i \.mp3
http_access deny mp3

acl wav url_regex -i \.wav
http_access deny wav

acl all src 0.0.0.0/0.0.0.0
acl redelocal src 192.168.0.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.0.0.0
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, news
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-1862 #unregistred ports
acl Safe_ports port 1864-65535 #unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 20 #ftp-data
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

delay_pools 1
delay_class 1 2
delay_parameters 1 1024000/1024000 128000/128000
delay_access 1 allow redelocal

http_access allow localhost
http_access allow redelocal

http_access deny all

httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_uses_host_header on
httpd_accel_with_proxy on
##############################################

#############---IPTABLES---################
*mangle
:PREROUTING ACCEPT [4:474]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*nat
:PREROUTING ACCEPT [4:474]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-I POSTROUTING -o eth0 -j ACCEPT
-I POSTROUTING -o eth1 -j MASQUERADE
COMMIT
*filter
#:INPUT DROP [0:0]
#:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
#-I INPUT -j DROP
-I INPUT -i lo -j ACCEPT
-I INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-I INPUT -i eth1 -j ACCEPT

-A INPUT -p tcp -s 0/0 --dport 5900 -j ACCEPT
-A OUTPUT -p tcp -d 0/0 --sport 5900 -j ACCEPT

-A FORWARD -i eth0 -o eth0 -p tcp --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth1 -o eth1 -p tcp --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

-I INPUT -p udp -m udp --dport 53 -j ACCEPT
-I INPUT -p udp -m udp --dport 6002 -j ACCEPT
-I FORWARD -o eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-I FORWARD -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-I FORWARD -o eth0 -p udp -m udp --dport 20 -j ACCEPT
-I FORWARD -o eth0 -p udp -m udp --dport 21 -j ACCEPT
-I FORWARD -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT
-I FORWARD -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-I FORWARD -s 192.168.0.0/24 -p tcp -d xxx.xxx.xxx.xxx --dport 25 -j ACCEPT
-I FORWARD -s xxx.xxx.xxx.xxx -p tcp -d 192.168.0.0/24 --sport 110 -j ACCEPT

-I INPUT -s xxx.xxx.xxx.xxx -i eth1 -j ACCEPT
#-I FORWARD -j DROP
-I FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT
#-I FORWARD -o eth0 -p tcp -m tcp --dport 5190 -j DROP
#-I FORWARD -o eth0 -p tcp -m tcp --dport 6346 -j DROP
#-I FORWARD -o eth0 -p tcp -m tcp --dport 1214 -j DROP

#-I FORWARD -o eth0 -s 192.168.0.135 -p tcp -m tcp --dport 5190 -j ACCEPT
-I FORWARD -o eth0 -p udp -m udp --sport 137:139 -j DROP
-I FORWARD -o eth0 -p tcp -m tcp --sport 137:139 -j DROP
-I FORWARD -o eth1 -j ACCEPT
-I OUTPUT -o eth0 -p udp -m udp --sport 137:139 -j DROP
-I OUTPUT -o eth0 -p tcp -m tcp --sport 137:139 -j DROP
-I OUTPUT -o eth0 -p tcp -m tcp --sport 137:139 -j DROP
-I FORWARD -p tcp -m tcp --dport 1863 -j REJECT
-I FORWARD -p tcp -m tcp --dport 5190 -j REJECT
-I FORWARD -s 192.168.0.230 -p tcp -m tcp --dport 1863 -j ACCEPT
-I FORWARD -s 192.168.0.230 -p tcp -m tcp --dport 5190 -j ACCEPT
COMMIT
#############################################

Socorro!!!

0 0

Quote

11. Re: Site de serviços não abre [RESOLVIDO]

TothBR
(usa Debian)

Enviado em 24/11/2007 - 12:55h

Boa tarde!

Bom pelo que estive analisando seu squid esta ok se vc consegue acessar o site sem ativar o proxy então é alguma expressão que vc deve estar usando em sua lista que esta bloqueando o sistema e firewall não é.

Outra coisa que olhei se vc esta usando proxy tranparente não precisa usar proxy no navegador pois o firewal faz o redirecionamento de tdas as chamadas da porta 80 para 3128

Outra pergunta usando um ip que esta liberado e que não passa pelas regras vc consegue acessar?

Se consegue crie uma acl antes de suas regras com o endereço do sistema liberando tdo acesso a ele.

Abraços

0 0

Quote

12. Re: Site de serviços não abre [RESOLVIDO]

agk
(usa Debian)

Enviado em 28/11/2007 - 01:37h

Isso é bem simples de resolver.

Preste atenção na parte onde tem as acl's safe_ports, verifque lá que não tem uma acl liberando o squid para acesso a sites na porta 8888, então basta criar a acl:
acl Safe_ports port 8888

Depois dar um reload nas conf do squid:
squid -k reconfigure

Pronto, já deve estar funcionando.

[ ]'s.

0 0

Quote