Squid Bloqueando Sicoob

tiagoferla
(usa Slackware)

Enviado em 08/03/2013 - 09:28h

Bom dia pessoal....
coloquei um servidor SQUID no cliente,
com autencicação de usuário... até ai tudo beleza....

porem tem um usuário que acessa os banco do sicoob, e ai que começou a confusão, ele até conseuge entrar no site e tudo,
fazer logon na conta dele, e talz...
porem quando vai gerar os boletos, trava tudo o sistema... não funfa mais!!

no log do squid dá esse erro..

TCP_MISS/200 6459 CONNECT empresarial.sicoobnet.com.br:443 - HIER_DIREC T/23.57.134.134 - [User-Agent: Java/1.7.0_17\r\nHost: empresarial.sicoobnet.com.br\r\nAccept: text/html, ima ge/gif, image/jpeg, *; q=.2, */*; q=.2\r\nProxy-Connection: keep-alive\r\n] []
1362691080.860 192.168.254.31 TCP_MISS/200 4710 CONNECT empresarial.sicoobnet.com.br:443 - HIER_DIRECT/23.57.134.134 - [User-Agent: Java/1.7.0_17\r\nHost: empresarial.sicoobnet.com.br\r\nAccept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2\r\nProxy-Connection: keep-alive\r\n] []

e não estou conseguindo resolver....
alguém sabe alguma forma de resolver...
ou de criar um nat (não sei se é possivel) para fazer tudo do sicoob ser redirecionado para fora do proxy, sei lá.

qlqr coisa que resolva, heheehe

obrigado

removido
(usa Nenhuma)

Enviado em 08/03/2013 - 10:00h

Não identifiquei erro no log!

Já testou sem passar pelo proxy?

wotila_carneiro
(usa Ubuntu)

Enviado em 08/03/2013 - 10:06h

Posta suas configurações do Squid e do Firewall aqui, para analisarmos.

tiagoferla
(usa Slackware)

Enviado em 08/03/2013 - 10:14h

visible_hostname ProxyNet
http_port 3128
hierarchy_stoplist cgi-bin ?
pid_filename /.nexuit/squid/var/run/squid.pid

#------- ORGANIZAR O LOG DO MIMES
log_mime_hdrs on


# -------------- PARAMETROS DA AUTENTICACAO ---------------------
auth_param basic program /.nexuit/squid/libexec/basic_ncsa_auth /.nexuit/squ$
auth_param basic realm "ProxyNet"
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off



############################################################################$
#### ACL QUE NAI SEI PARA OQ SERVER - INICIO
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 20 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 47908 # porta fies
acl CONNECT method CONNECT
############################################################################$

acl redelocal src 192.168.254.0/24


#-------ACL DOS USUARIOS----------------------------------------------------$
acl autenticados proxy_auth REQUIRED
acl users_gerencia proxy_auth "/.nexuit/squid/arq/users_gerencia"
acl users_geral proxy_auth "/.nexuit/squid/arq/users_geral"


#-------ACL DAS PALAVRAS----------------------------------------------------$
acl lib_palavras url_regex -i "/.nexuit/squid/arq/lib_palavras"
acl bloq_palavras url_regex -i "/.nexuit/squid/arq/bloq_palavras"


#-------ACL DOS SITES-------------------------------------------------------$
acl lib_sites dstdomain -i "/.nexuit/squid/arq/lib_sites"
acl bloq_sites dstdomain -i "/.nexuit/squid/arq/bloq_sites"


#-------ACL SITES PORNOGRAFICOS---------------------------------------------$
acl sites_xxx dstdomain -i "/.nexuit/squid/arq/sites_xxx"


#-------ACL PARA LIBERAR IPS FICOS------------------------------------------$
#acl tiagoferla src 172.26.50.100


#-------ALC PARA BLOQUEAR MSN-----------------------------------------------$
acl bloq_msn url_regex -i "/.nexuit/squid/arq/msn"


#-------ACL PARA BLOQUEAR SKYPE
#acl skype dstdomain -i "/.nexuit/squid/arq/skype"
acl bloq_skype url_regex -i "/.nexuit/squid/arq/skype_url"

#-------ACL PARA BLOQUEAR EXTENSOES-----------------------------------------$
acl bloq_ext_mime rep_mime_type -i "/.nexuit/squid/arq/bloq_ext_mime"



# \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\$
# \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\$



# INICIO DA PERMISSÕES - QUANTO MAIS ACIMA, MAIS LIBERADO

#http_access allow tiagoferla
http_access allow lib_sites
http_access allow lib_palavras
http_access deny sites_xxx

#// MSN
#//
http_access deny bloq_msn

#// AUTENTICA USERS_GERENCIA
#//
http_access allow autenticados users_gerencia


#// EXTENSOENS DOS ARQUIVOS
#// NAO USERS GERENCIA
http_reply_access deny bloq_ext_mime !users_gerencia


#// SKYPE
#//
#http_access deny skype
http_access deny bloq_skype


#// SITES E PALAVRAS
#//
http_access deny bloq_palavras
http_access deny bloq_sites


#// AUTENTICA USERS_NIVEL 1 (UM)
#//
http_access allow autenticados users_geral


#// AUTENTICA TODOS USUARIOS (NAO USAR)
#//
#http_access allow autenticados

http_access allow redelocal

http_access allow Safe_ports
http_access allow SSL_ports

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all



##################################################################
# ------------ REFERE-SE AO CACHE DO SERVIDOR ----------------
cache_mem 256 MB
maximum_object_size 512 MB
minimum_object_size 0 KB
maximum_object_size_in_memory 256 KB

#esvazia o cache
cache_swap_low 90
cache_swap_high 95

cache_dir ufs /.nexuit/squid/var/cache 100 16 256

#log do cache
cache_log /.nexuit/squid/var/logs/cache.log

#log de requisições
access_log /.nexuit/squid/var/logs/access.log

#Log de objetos guardados. Pode ser desativado.
cache_store_log none


#------- ERROS EM PORTUGUES
error_directory /.nexuit/squid/share/errors/pt-br



# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

wotila_carneiro
(usa Ubuntu)

Enviado em 08/03/2013 - 10:59h

Não sei se vai resolver, mas tenta criar uma regra, acima das demais, liberando o endereço desse sites e qualquer endereço vindo dele.
Depois posta tuas regras de firewall tb.

tiagoferla
(usa Slackware)

Enviado em 11/03/2013 - 08:30h

Então... eu havia criado uma regra no iptables, aonde os IP's dos computadores dos chefes passariam por fora do proxy...
blz, ai funciona nesse caso, mas quando deixo para o proxy filtrar, para de funfa blz!!




na regra.....
http_access allow lib_sites
http_access allow lib_palavras

coloquei todos os endereçs possiveis que encontrei no site do Sicoob, porem ainda nada....
mas não intendi, qdo vc diz "...qualquer endereço vindo dele."
como faço isso?
é possivel?

mibdata
(usa Ubuntu)

Enviado em 10/01/2014 - 11:10h

Tambem estou com o mesmo problema.. o sicobnet empresarial nao abre. O interessante que eu configuro no proprio sicob o caminho do proxy e tal mas nem abrir nao abre.. liguei pro "suporte" deles e somente me passaram coisas bestas e perguntas tolas que nada tem haver.. uix..

Buckminster
(usa Debian)

Enviado em 10/01/2014 - 12:14h

"TCP_MISS/200 6459 CONNECT empresarial.sicoobnet.com.br:443 - HIER_DIRECT/23.57.134.134 - [User-Agent: Java/1.7.0_17\r\nHost: empresarial.sicoobnet.com.br\r\nAccept: text/html, ima ge/gif, image/jpeg, *; q=.2, */*; q=.2\r\nProxy-Connection: keep-alive\r\n] []
1362691080.860 192.168.254.31 TCP_MISS/200 4710 CONNECT empresarial.sicoobnet.com.br:443 - HIER_DIRECT/23.57.134.134 - [User-Agent: Java/1.7.0_17\r\nHost: empresarial.sicoobnet.com.br\r\nAccept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2\r\nProxy-Connection: keep-alive\r\n] []"



Vamos entender o que isso daí em cima está dizendo:

TCP_MISS - O objeto de resposta entregue foi objeto de resposta da rede, ou seja, o objeto requisitado não estava no cache, portanto, o Squid teve que buscá-lo na rede (internet).

O código 200 é OK, a transação foi completada com sucesso.

HIER_DIRECT - Hierarquia direta, ou seja, o objeto foi obtido a partir do servidor de origem, lógico, pois não estava no cache.

Por primeiro, comente esta linha:

hierarchy_stoplist cgi-bin ?

ela não é necessária para você e ela faz com que o Squid crie uma lista de palavras que, se encontradas nas URLs, os objetos serão obrigatoriamente e exclusivamente manuseados pelo Squid, ou seja, o Squid não fará consultas externas para alguns objetos, e se o objeto não estiver no cache, o Squid não o encontrará.

Comente essas duas linhas também:
http_access allow Safe_ports
http_access allow SSL_ports

E pode comentar essas duas também:
acl redelocal src 192.168.254.0/24
http_access allow redelocal
Teu Squid é autenticado, não se faz necessário definir a rede local.

Para libertar o tal site, tente essa ACL nessa posição:

acl CONNECT method CONNECT
############################################################################$

acl sicoob dstdomain empresarial.sicoobnet.com.br
always_direct allow sicoob

Faça as alterações, reinicie o Squid e teste.

Caso continuar dando problemas, posta aqui teu script do Iptables que devemos liberar nele também.

removido
(usa Nenhuma)

Enviado em 11/01/2014 - 12:26h

Você sabe fazer análise de logs amigo? Você conseguiu constatar a origem do bloqueio? Você acha que é proxy né? Ja analisou suas regras de firewall? Log suas regras de firewall.

Gostaria muito de saber as perguntas tolas que o pessoal te fez. Te garanto que os profissionais de la não são amadores.

removido
(usa Nenhuma)

Enviado em 11/01/2014 - 12:48h

Amigo um dica que posso passar para você das empresas onde trabalhei e instalar um link dedicado para esse serviço. um link de 128 kbs ou 256 kbs .Assim você não vai ter dor de cabeça com serviços ou sistemas que você não tem acesso e um suporte que fala "todo problema está na sua rede" e ate por segurança da sua rede.

mibdata
(usa Ubuntu)

Enviado em 06/03/2014 - 12:33h

AS perguntas:
vc ja reiniciou sue computador? ja reinstalou o sistema sicoobnet epresarial? ja configurou o proxy no sistema..?

qq me diz? :D

acontece que no log nao apresenta nada.. ja liberei todos os dominios possiveis inclusive os ips.. coloco as configuracoes no sistema e o mesmo quando fecho e abro ele perde.. o interessante que descobri e que depois de uns 20 min sob o proxy ele abre..
agora o por que da lentidao? ai e que sao elas..

deuz
(usa Debian)

Enviado em 23/05/2017 - 11:12h

Desculpe ressuscitar o post, para o sicoob rodar certo, precisa das seguintes liberações:
no proxy:
empresarial.sicoobnet.com.br
empresarial.sicoobnet.com.br
sicoob.com.br
sicoob.com.br/OfficeServer
amazonaws.com;
s3-sa-east-1.amazonaws.com

iptables:
porta 8080 tcp (no site de suporte do siccob fala porta 808, incrivel).

em config de proxy do navegador coloque para nao usar proxy o endereço localhost:
127.0.0.1

e se der mais zica, pra quem usa IE coloca esse endereço nas exceções do java:
https://www.empresarial.sicoobnet.com.br
http://www.empresarial.sicoobnet.com.br

só isso.