Squid Locão [RESOLVIDO]

jorgevisentini
(usa CentOS)

Enviado em 13/09/2012 - 09:19h

Pessoal beleza?!

Venho enfrentando alguns problemas com o servidor aqui da empresa.

Tipo... fiz um squid com autenticação por usuário.

Deixei também liberado os sites internos da empresa, como a intranet, sem precisar autenticar. Só que mesmo assim o squid pede senha e se não coloco da erro.


ERROR
The requested URL could not be retrieved

O seguinte erro foi encontrado ao tentar recuperar a URL: /

URL inválida

Alguma característica da URL requisitada é incorreta.

Alguns dos possíveis problemas são:

Protocolo de acesso faltando ou incorreto (deveria ser "http://" ou semelhante)

Nome do host faltando

Escape duplo ilegal na URL-Path

Caracter ilegal no nome de host; underscores não são permitidos.

Seu administrador do cache é proxy@jmt.com.br.

Gerado Thu, 13 Sep 2012 12:13:43 GMT por barueri (squid/3.0.STABLE15)


OUTRO PROBLEMA QUE VENHO ENFRENTANDO É O SEGUINTE. NÃO SEI SE PODE SER POR CAUSA DO SQUID TAMBÉM MAS TIPO...

MESMO EU LIBERANDO O MEU IP NO FIREWALL, ELE NÃO LIBERA... NUNCA VI ALGO PARECIDO.

OS COMANDO QUE EU USO SÃO:
iptables -A FORWARD -s 192.168.133.112 -j ACCEPT
iptables -A FORWARD -d 192.168.133.112 -j ACCEPT

Já liberei todo o firewall, nas politicas padrões e nada...

Alguem pode me ajudar????

removido
(usa Nenhuma)

Enviado em 13/09/2012 - 09:26h

Tu deve saber que as regras do squid são lidas sequencialmente. O pedido de autenticação está vindo primeiro né?!

Referente a intra... Tu tem DNS interno? Seu squid está resolvendo com qual DNS?

removido
(usa Nenhuma)

Enviado em 13/09/2012 - 09:31h

* Liberando IP

iptables -t nat -A POSTROUTING -s 192.168.133.112 -o eth0 -j MASQUERADE

iptables -A FORWARD -p ALL -s 192.168.133.112 -d 0/0 -j ACCEPT

iptables -A FORWARD -p ALL -s 0/0 -d 192.168.133.112 -j ACCEPT 

OBS: eth0 => Interface externa.

Lembrando que tem que desmarcar o uso do proxy para navegar sem passar por ele.

jorgevisentini
(usa CentOS)

Enviado em 13/09/2012 - 11:46h

Cara, as regras do iptables que tu passou não funcionaram... não sei o porque mesmo...

Tenho DNS interno sim. Mas tipo... não sei onde ele aponta no squid.

No meu resolv.conf está assim, apontando para a máquina, na qual é o servidor squid, proxy e firewall.
# Generated by NetworkManager
nameserver 127.0.0.1
nameserver 8.8.8.8



Minha configuração do Squid:

#
# Recommended minimum configuration:
#
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Informe seu Login e sua senha para acessar a INTERNET.

#NOME
visible_hostname cidade

#E-MAIL
cache_mgr proxy@jmt.com.br


acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.133.0/24
acl rede_cyber dst IP/24

acl SSL_ports port 443
acl SSL_ports port 10000 # Webmin
acl SSL_ports port 1863 # msn
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # http
acl Safe_ports port 37777 # Intelbras
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 631 # cups
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl autenticacao proxy_auth REQUIRED


#DECLARACAO DAS REGRAS - ACL
acl diretoria proxy_auth_regex "/etc/squid/grupos/diretoria.txt"
acl grupo_msn proxy_auth_regex "/etc/squid/grupos/msn.txt"
acl grupo_nht_comercial proxy_auth_regex "/etc/squid/grupos/nht_comercial.txt"
acl grupo_nht_trafego proxy_auth_regex "/etc/squid/grupos/nht_trafego.txt"
acl grupo_dho proxy_auth_regex "/etc/squid/grupos/dho.txt"
acl grupo_ti proxy_auth_regex "/etc/squid/grupos/ti.txt"
acl grupo_marketing proxy_auth_regex "/etc/squid/grupos/marketing.txt"
acl grupo_financeiro proxy_auth_regex "/etc/squid/grupos/financeiro.txt"
acl grupo_encoperacional proxy_auth_regex "/etc/squid/grupos/enc_operacional.txt"
acl sem_restricao proxy_auth_regex "/etc/squid/grupos/sem_restricao.txt"
acl redes_sociais_g proxy_auth_regex "/etc/squid/grupos/redes_sociais_g.txt"
acl grupo_enc_comercial proxy_auth_regex "/etc/squid/grupos/enc_comercial.txt"
acl grupo_tecnico proxy_auth_regex "/etc/squid/grupos/tecnico.txt"
acl grupo_operadora proxy_auth_regex "/etc/squid/grupos/operadora.txt"
acl grupo_cco proxy_auth_regex "/etc/squid/grupos/cco.txt"
acl grupo_comercial proxy_auth_regex "/etc/squid/grupos/comercial.txt"
acl grupo_expedicao proxy_auth_regex "/etc/squid/grupos/expedicao.txt"
acl grupo_motoservice proxy_auth_regex "/etc/squid/grupos/motoservice.txt"
acl grupo_tmk proxy_auth_regex "/etc/squid/grupos/tmk.txt"


#USO DAS REGAS
acl bloqueados dstdomain "/etc/squid/sites/bloqueados.txt"
acl banidos dstdomain "/etc/squid/sites/banidos.txt"
acl internos dstdomain "/etc/squid/sites/internos.txt"
acl liberados dstdomain "/etc/squid/sites/liberados.txt"
acl sites_msn dstdomain "/etc/squid/sites/msn.txt"
acl sites_nht_comercial dstdomain "/etc/squid/sites/nht_comercial.txt"
acl sites_marketing dstdomain "/etc/squid/sites/marketing.txt"
acl sites_nht_trafego dstdomain "/etc/squid/sites/nht_trafego.txt"
acl sites_dho dstdomain "/etc/squid/sites/dho.txt"
acl sites_financeiro dstdomain "/etc/squid/sites/financeiro.txt"
acl sites_encoperacional dstdomain "/etc/squid/sites/enc_operacional.txt"
acl sites_enc_comercial dstdomain "/etc/squid/sites/enc_comercial.txt"
acl sites_tecnico dstdomain "/etc/squid/sites/tecnico.txt"
acl sites_operadora dstdomain "/etc/squid/sites/operadora.txt"
acl sites_cco dstdomain "/etc/squid/sites/cco.txt"
acl sites_comercial dstdomain "/etc/squid/sites/comercial.txt"
acl sites_expedicao dstdomain "/etc/squid/sites/expedicao.txt"
acl sites_motoservice dstdomain "/etc/squid/sites/motoservice.txt"
acl sites_tmk dstdomain "/etc/squid/sites/tmk.txt"
acl redes_sociais dstdomain "/etc/squid/sites/redes_sociais.txt"

# Liberacoes de IPs
acl rede_msn dst 65.0.0.0/8 # Rede msn
acl rede_redemet dst 200.252.241.45
acl rede_tripoa dst 189.30.13.146 189.30.9.154 201.86.236.194
acl rede_globalflight dst 212.78.92.9
acl rede_uniodonto dst 189.21.117.110
acl ips_liberados dst "/etc/squid/ips/liberados.txt"
acl ip_valetransporte dst 200.175.93.79
acl sistema_integrador dst 189.57.55.116


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access allow sem_restricao
http_access allow internos
http_access allow rede_cyber
http_access deny all !autenticacao
http_access allow redes_sociais_g redes_sociais
http_access deny banidos
http_access allow liberados
http_access allow ips_liberados
http_access allow grupo_nht_trafego sites_nht_trafego
http_access allow grupo_operadora
http_access allow grupo_financeiro sites_financeiro
http_access allow grupo_msn sites_msn
http_access allow grupo_msn rede_msn
http_access allow rede_redemet
http_access allow rede_tripoa
http_access allow rede_globalflight
http_access allow rede_uniodonto
http_access allow grupo_marketing sites_marketing
http_access allow grupo_cco sites_cco
http_access allow grupo_comercial sites_comercial
http_access allow grupo_expedicao sites_expedicao
http_access allow grupo_tmk sites_tmk
http_access allow grupo_motoservice sites_motoservice
http_access allow grupo_tecnico sites_tecnico
http_access allow ip_valetransporte
http_access allow sistema_integrador

http_access allow diretoria
http_access allow grupo_ti
http_access allow grupo_nht_comercial !sites_msn
http_access allow grupo_dho sites_dho
http_access deny bloqueados
http_access allow localhost
http_access deny all


# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?


#PORTA DO PROXY
http_port 3128


#PAGINA DO SQUID EM PORTUGUES
error_directory /usr/share/squid/errors/Portuguese2


#PARAMETROS DO CHACE - NAO ALTERAR
cache_dir ufs /var/squid 10000 16 256

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/cache.log

coredump_dir /var/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


Se souber de mais alguma coisa beleza!!

Valeu!

jorgevisentini
(usa CentOS)

Enviado em 17/09/2012 - 18:17h

Descobri.

Depois que coloquei autenticação por usuário esqueci de tirar o redirecionamento do proxy transparente no iptables.