Squid, TCP_MISS/200 302 e etc só no meu proxy [RESOLVIDO]

man1aco
(usa Fedora)

Enviado em 19/07/2010 - 10:04h

Estou tentando implantar um servidor proxy aqui no meu serviço mas esta complicado solucionar este TCP_MISS

vou explicar como é tudo aqui pro pessoal poder me dar uma luz e resolver este problema.

Aqui nos temos aproximadamente 60 computadores ligados em 3 swtiches 24 portas.

O meu micro é o Firewall, ele atualmente apenas faz uma ponte entre o roteador da linha privada e os switches, uso o IP tables pra bloquear o acesso de alguns macs da rede a porta 80 para que não tenham internet.

Nossa linha privada é de 512 kbps.

Nosso atual acesso a internet é feito por 5 servidores proxy do governo de SP, exite uma maquina DNS que automaticamente redireciona os micros pra um destes 5 servidores assim no Internet Explorer dos micros apenas colocamos o endereço desta maquina e não de 1 dos 5 servidores.

Para otimizar a minha rede e ter um controle mais apurado do que o pessoal acessa eu quero implantar um proxy squid.

Configurei o meu squid3 bem simples e aberto ainda sem regras mas esbarrei com o um furacão de TCP_MISS/200 e 302 que geram aquelas janelas de usuario e senha, e gera em quantidades absurdas, e um problema pior sites que abrem normalmente usando diretamente o proxy do governo de SP estão pedindo usuario e senha e não abrem apos cancelar, por exemplo o HOTMAIL.

Usando diretamente no Internet Explorer o proxy do governo de SP nunca me apareceu essas janelas de usuario e senha.

Aqui esta o meu conf:

http_port 3128

# Servidores proxy do Governo de SP , ja experimentei esta config com os 5 e mesmo resultado ruim.
#cache_peer 10.200.12.140 parent 80 0 proxy-only no-query
#cache_peer 10.200.12.141 parent 80 0 proxy-only no-query
#cache_peer 10.200.12.142 parent 80 0 proxy-only no-query
#cache_peer 10.200.12.143 parent 80 0 proxy-only no-query
#cache_peer 10.200.12.144 parent 80 0 proxy-only no-query

# Maquina DNS que redireciona automaticamente para os 5 proxys acima
cache_peer proxy3.redegov.sp.gov.br parent 80 0 default proxy-only no-query

visible_hostname ipa-servidor
error_directory /usr/share/squid3errors/Portuguese
cache_mem 64 MB
cache_access_log /var/log/squid3access.log

acl redelocal src 10.14.162.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0

http_access allow all redelocal
http_access allow all
http_access deny all

Apenas um pedacinho do log, tem muito mais erros TCP_MISS/200 do mesmo site, que se tornam 401 quando cancelamos o dialogo de usuario e senha como é de se esperar.

Site UOL, abre porem gera uma quantidade absurda de janelas pedindo senha.

1279542177.061 10386 10.14.162.247 TCP_MISS/200 61678 GET http://www.uol.com.br/ - DEFAULT_PARENT/proxy3.redegov.sp.gov.br text/html
1279542177.111 914 10.14.162.247 TCP_MISS/200 3012 GET http://h.imguol.com/h3/barrauolicones_v4.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542177.190 983 10.14.162.247 TCP_MISS/200 4770 GET http://h.imguol.com/2009/uol.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542177.526 1196 10.14.162.247 TCP_MISS/200 4237 GET http://h.imguol.com/1007/18lontra.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542177.736 1406 10.14.162.247 TCP_MISS/200 5399 GET http://h.imguol.com/1007/19futebol_v.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542177.767 1437 10.14.162.247 TCP_MISS/200 5263 GET http://h.imguol.com/1007/19cao_v.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542177.841 1511 10.14.162.247 TCP_MISS/200 7853 GET http://h.imguol.com/1007/18bike.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542178.039 1812 10.14.162.247 TCP_MISS/200 13363 GET http://h.imguol.com/1007/19tele_p.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542178.331 493 10.14.162.247 TCP_MISS/200 4611 GET http://h.imguol.com/1007/19monaco_v.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542178.558 820 10.14.162.247 TCP_MISS/200 5820 GET http://h.imguol.com/1007/19robinho_v.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542178.940 1000 10.14.162.247 TCP_MISS/200 11531 GET http://h.imguol.com/1007/18dill.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542179.000 960 10.14.162.247 TCP_MISS/200 6856 GET http://h.imguol.com/1007/19murilo_v.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542179.131 791 10.14.162.247 TCP_MISS/200 6110 GET http://h.imguol.com/1007/19jupaes_v.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542179.420 779 10.14.162.247 TCP_MISS/200 6010 GET http://h.imguol.com/1007/19rosa_v.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542179.570 627 10.14.162.247 TCP_MISS/200 10618 GET http://h.imguol.com/1007/18-star-z.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542180.188 3126 10.14.162.247 TCP_MISS/200 4647 GET http://h.imguol.com/1007/19filipinas_p.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542180.362 3226 10.14.162.247 TCP_MISS/200 3707 GET http://h.imguol.com/1007/19ahmadinejad_p.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542180.473 3236 10.14.162.247 TCP_MISS/200 4245 GET http://h.imguol.com/1007/ap19afegao_p.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542180.618 370 10.14.162.247 TCP_MISS/200 8231 GET http://pubshop.img.uol.com.br/homeuol2/blazer.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542180.800 351 10.14.162.247 TCP_MISS/200 5447 GET http://pubshop.img.uol.com.br/homeuol2/guitarras.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542180.856 275 10.14.162.247 TCP_MISS/200 2643 GET http://home.img.uol.com.br/produtos/av1mes.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542180.911 3373 10.14.162.247 TCP_MISS/200 6696 GET http://h.imguol.com/1007/19trem_p.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542181.133 166 10.14.162.247 TCP_MISS/401 260 GET http://ads.imguol.com/x.gif? - DIRECT/200.221.7.85 text/html
1279542182.220 3176 10.14.162.247 TCP_MISS/200 7506 GET http://h.imguol.com/1007/18-jam-z.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542182.560 3416 10.14.162.247 TCP_MISS/200 7509 GET http://h.imguol.com/1007/18-dexter-z.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542182.810 533 10.14.162.247 TCP_MISS/200 1475 GET http://ads.imguol.com/1007/ads/22/4177.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542183.116 539 10.14.162.247 TCP_MISS/200 1363 GET http://ads.imguol.com/1007/ads/24/3991.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542183.178 3533 10.14.162.247 TCP_MISS/200 2600 GET http://h.imguol.com/2009/shoppinguoltop3.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542183.289 3845 10.14.162.247 TCP_MISS/200 8008 GET http://h.imguol.com/1007/18-repteis-z.jpg - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/jpeg
1279542183.313 503 10.14.162.247 TCP_MISS/200 1466 GET http://ads.imguol.com/1007/ads/20/4265.gif - DEFAULT_PARENT/proxy3.redegov.sp.gov.br image/gif
1279542183.361 182 10.14.162.247 TCP_MISS/401 260 GET http://ads.imguol.com/x.gif? - DIRECT/200.147.35.165 text/html
1279542183.390 75 10.14.162.247 TCP_MISS/401 260 GET http://ads.imguol.com/x.gif? - DIRECT/200.221.7.85 text/html
1279542183.403 88 10.14.162.247 TCP_MISS/401 260 GET http://ads.imguol.com/x.gif? - DIRECT/200.147.67.165 text/html
1279542183.555 57 10.14.162.247 TCP_MISS/401 260 GET http://ads.imguol.com/x.gif? - DIRECT/200.147.35.165 text/html
1279542183.867 58 10.14.162.247 TCP_MISS/401 260 GET http://ads.imguol.com/x.gif? - DIRECT/200.147.67.165 text/html

Site HOTMAIL na hora ja abre janela de senha e ao cancelar eu ganho um 401 na janela do IE.

1279543868.488 3501 10.14.162.247 TCP_MISS/302 1687 GET http://www.hotmail.com/ - DEFAULT_PARENT/proxy3.redegov.sp.gov.br text/html
1279543868.645 57 10.14.162.247 TCP_MISS/401 260 GET http://sitecheck2.opera.com/? - DIRECT/91.203.99.45 text/html
1279543868.938 454 10.14.162.247 TCP_MISS/401 260 GET http://login.live.com/login.srf? - DIRECT/65.54.165.136 text/html

man1aco
(usa Fedora)

Enviado em 23/07/2010 - 10:32h

resolvido.

Faltava setar never_direct pra que o meu só usasse os peers e nunca fizesse conexão direta.

carmona.leo
(usa Conectiva)

Enviado em 05/11/2010 - 11:43h

Ola, tenho o mesmo problema aqui. Pensei que este erro fosse de DNS. Pode explicar melhor a sua solução. "Faltava setar never_direct pra que o meu só usasse os peers e nunca fizesse conexão direta."
Obrigado. Estarei passando e-mail pra vc, tambem.