Ubuntu Squid 3 - Timeout www.banestes.com.br

filipelambert
(usa Ubuntu)

Enviado em 06/02/2014 - 13:38h

Boa tarde,

Pessoal estou com um problema no meu Squid3 a algum tempo, já alterei o DNS para 8.8.8.8 e 8.8.4.4, já fiz tudo que o fórum sugeriu, porém, continuo com o problema.

Entro no site www.banestes.com.br, a página da web fica pensando um tempão e aparece o erro abaixo.

ERRO
A URL solicitada não pode ser recuperada

Na tentativa de recuperar a URL: http://www.banestes.com.br

O seguinte erro foi encontrado:

* Falha na conexão

O sistema retornou:

(110) Connection timed out

O host remoto (servidor) ou a rede pode estar indisponível. Por favor tente novamente.


Como posso resolver esse problema de uma vez por todas ?

junior
(usa Ubuntu)

Enviado em 06/02/2014 - 14:12h

Boa tarde,
Execute o comando nslookup www.banestes.com.br e coloque aqui o resultado.

filipelambert
(usa Ubuntu)

Enviado em 06/02/2014 - 14:46h

root@JAC:~# nslookup www.banestes.com.br
Server: ip_do_AD
Address: ip_do_AD#53

Non-authoritative answer:
Name: www.banestes.com.br
Address: 200.165.48.30
Name: www.banestes.com.br
Address: 189.3.184.158

junior
(usa Ubuntu)

Enviado em 06/02/2014 - 14:47h

E é só essa página?
Já tentou navegar de uma máquina por fora do proxy?!

filipelambert
(usa Ubuntu)

Enviado em 06/02/2014 - 14:58h

Sim,
Somente essa página não navega, se eu colocar para passar fora do proxy o site funciona normalmente.

junior
(usa Ubuntu)

Enviado em 06/02/2014 - 15:00h

Se você tem algum arquivo de palavras de bloqueio, verifique se esse site não contem parte dele na sua lista.

filipelambert
(usa Ubuntu)

Enviado em 06/02/2014 - 15:10h

Já verifiquei, não existe nem esse site, nem o ip para qual ele se refere, nem mesmo alguma palavra parecida com Banestes ( pois o squid bloqueia a url caso contenha a plavra etc etc ) em nenhuma blacklist, mesmo se estivesse, tento acessar com um usuário que tem acesso até mesmo aos sites da blacklist, e mesmo assim não funciona.

junior
(usa Ubuntu)

Enviado em 06/02/2014 - 15:14h

Entendi, então vamos fazer o seguinte:

Primeiro, execute esse comando no proxy:

 tail -f /var/log/squid/access.log | grep 192.168.x.x  

192.168.x.x = IP do host que você está utilizando para acessar o site.


No host, acesse o site e veja o que aparece no resultado do tail.


=)

filipelambert
(usa Ubuntu)

Enviado em 06/02/2014 - 16:25h

root@JAC:~# tail -f /var/log/squid3/access.log | grep 12.0.0.58
1391711074.135 0 12.0.0.58 TCP_DENIED/407 4534 GET http://www.banestes.com.br/ - NONE/- text/html
1391711074.176 27 12.0.0.58 TCP_DENIED/407 4804 GET http://www.banestes.com.br/ - NONE/- text/html
1391711083.034 1 12.0.0.58 TCP_DENIED/407 4387 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuW... - NONE/- text/html
1391711083.124 72 12.0.0.58 TCP_DENIED/407 4657 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuW... - NONE/- text/html
1391711083.154 11 12.0.0.58 TCP_DENIED/407 5035 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuW... - NONE/- text/html
1391711083.216 2 12.0.0.58 TCP_DENIED/407 3808 GET http://crl.verisign.com/pca3.crl - NONE/- text/html
1391711083.244 20 12.0.0.58 TCP_DENIED/407 4078 GET http://crl.verisign.com/pca3.crl - NONE/- text/html
1391711083.252 4 12.0.0.58 TCP_DENIED/407 4456 GET http://crl.verisign.com/pca3.crl - NONE/- text/html
1391711083.295 0 12.0.0.58 TCP_DENIED/407 4377 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7Lv... - NONE/- text/html
1391711083.314 14 12.0.0.58 TCP_DENIED/407 4647 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7Lv... - NONE/- text/html
1391711083.321 3 12.0.0.58 TCP_DENIED/407 5023 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7Lv... - NONE/- text/html
1391711083.347 0 12.0.0.58 TCP_DENIED/407 3968 GET http://crl.verisign.com/pca3-g5.crl - NONE/- text/html
1391711083.375 23 12.0.0.58 TCP_DENIED/407 4238 GET http://crl.verisign.com/pca3-g5.crl - NONE/- text/html
1391711083.382 1 12.0.0.58 TCP_DENIED/407 4614 GET http://crl.verisign.com/pca3-g5.crl - NONE/- text/html
1391711083.416 1 12.0.0.58 TCP_DENIED/407 4397 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%... - NONE/- text/html
1391711083.447 25 12.0.0.58 TCP_DENIED/407 4667 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%... - NONE/- text/html
1391711083.458 6 12.0.0.58 TCP_DENIED/407 4364 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%... - NONE/- text/html
1391711083.479 0 12.0.0.58 TCP_DENIED/407 4016 GET http://csc3-2010-crl.verisign.com/CSC3-2010.crl - NONE/- text/html
1391711083.505 18 12.0.0.58 TCP_DENIED/407 4286 GET http://csc3-2010-crl.verisign.com/CSC3-2010.crl - NONE/- text/html
1391711083.514 6 12.0.0.58 TCP_DENIED/407 4666 GET http://csc3-2010-crl.verisign.com/CSC3-2010.crl - NONE/- text/html
1391711092.572 57 12.0.0.58 TCP_DENIED/407 4034 CONNECT bluestacks-cloud.appspot.com:443 - NONE/- text/html

junior
(usa Ubuntu)

Enviado em 06/02/2014 - 17:24h

Boa tarde,

vou pedir que você coloque aqui os arquivos de configuração do squid (squid.conf) e do iptables.

Se possível, coloque a tag "code" no inicio e "/code" (sem aspas) no final de cada arquivo para ficar melhor identado. Lebrando que para usar tag's é:

[tag] texto [/tag]

Obrigado.

filipelambert
(usa Ubuntu)

Enviado em 06/02/2014 - 17:49h

Amigo, no IPTABLES não tenho nada configurado, nada mesmo....

segue o squid.conf ( tem muita coisa comentada.

# Portas (padrã3128)
http_port 3128
#Habilitar debug
#debug_options 28,3
#Configuraçs de Cache
# tipo de cache (aufs), pasta raiz, tamanho em MB, diretorios pais, diretorios em cada diretorio
cache_dir aufs /var/spool/squid3 10000 16 256
# Tamanho da cache para obejtos
cache_mem 2 GB
# Tamanho mámo dos objetos que serãsalvos em disco
maximum_object_size 131070 KB
# Tamanho minimo dos objetos que serãsalvos em disco
minimum_object_size 0 KB
# Nú de entradas na tabela de cache de conversãde IP para FQDN
ipcache_size 16384
# Percentagem de cache baixa - padrã90
ipcache_low 90
# Percentagem de cache baixa - padrã95
ipcache_high 95
# manter memó alocada e nãusada, para nãprecisar realocar quando for usar
memory_pools on
# Nú de entradas na tabela de cache de DNS
fqdncache_size 16384
# tamanho mámo dos objetos guardados na cache
maximum_object_size_in_memory 8 MB
# Gerar resumo de cache - Úil somente quando existem squids parceiros deste squid
digest_generation off
# Configuraçs gerais
# Como tratar o X-Forwared-For no cabeçho HTTP
forwarded_for off
#logar parametros das URL's
strip_query_terms on
# ForçIE 5.5 ou anteior a buscar novas pánas do servido em caso de refresh
ie_refresh on
#Detecta respostas quebradas de conexõpersistnes e assuma que o reply foi enviado apos 10 segundos
detect_broken_pconn on
#Tenta executar até requisiçs em paralelo - Pode quebrar autenticaç NTLM/Kerberos
pipeline_prefetch off
# Continua baixando requisiçs abortadas
quick_abort_min -1 KB
# continua baixando requsiçs abortadas até limite de 16KB
quick_abort_max 16 KB
# Quanto tempo manter cache de DNS
positive_dns_ttl 5 minute
# Fechar conexõTCP imediatamente
half_closed_clients off
# timeout de leitura de dados
read_timeout 240 second
# timeout de conexõpersistentes
pconn_timeout 240 second
# Email do administrador
cache_mgr filipe@meudominio.com.br
# Host visíl
visible_hostname jac.meudominio.com.br
# Linguagem dos erros
error_directory /usr/share/squid3/errors/pt-br
# Evita que sejam feitos coredumps.
coredump_dir /var/spool/squid3
# Numero de arquivos de log rotacionados a guardar.
logfile_rotate 120
# Tempo para agaurdar o fechamento de conexçs durante encerramento do squid
shutdown_lifetime 1 second
# palavras que seráratadas diretamente por esse squid, ou seja, nãserãrepassadas para vizinhos
hierarchy_stoplist cgi-bin ?
# Dominio padrãde busca
#append_domain .dominio.com.br
# Padrãde refresh de cache para alguns sites
# refresh_pattern [-i] regex min percent max [options]
# -i : regular expressiona case-insensitive
# regex: Expressãregular a buscar
# min: tempo (em minutos) que um objeto seráonsiderado novo
# percent: % da idade do objeto que éonsiderado novo
# max: limite mámo que os objetos sem tempo de expirar explicito serãconsiderados novos

#refresh_pattern -i http.*\.gov.br/.* 720 100% 7200 reload-into-ims
#refresh_pattern -i http.*\.globo.com/.* 720 100% 7200 reload-into-ims
#refresh_pattern -i http.*\.terra.com.br/.* 720 100% 7200 reload-into-ims
#refresh_pattern -i http.*\.google.*/.* 720 100% 10080 reload-into-ims
#refresh_pattern -i http.*\.msn.*/.* 720 100% 10080 reload-into-ims
#refresh_pattern -i http.*\.uol.com.*/.* 720 100% 10080 reload-into-ims
#refresh_pattern -i http.*\.bol.com.*/.* 720 100% 10080 reload-into-ims
#refresh_pattern -i http.*\.lyricsplugin.com.*/.* 720 100% 10080 reload-into-ims
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# Logs
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %# Log de acesso
access_log /var/log/squid3/access.log
# Log de cache
cache_log /var/log/squid3/cache.log
# pasta para arquivo de dump
coredump_dir /var/spool/squid3
# comportamente para espaçem branco nas URLs
uri_whitespace allow
# Servidores de DNS a serem utilizados - Se nãfor especificado, o valor de /etc/resol.conf serátilizado
# dns_nameservers 8.8.8.8 8.8.4.4
# Autenticaç no Windows 2008
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Proxy Squid - Digite suas credenciais
auth_param basic credentialsttl 5 hours
# ACLs
# acls de origem
# rede loopback
acl localhost src 127.0.0.1/32
# Rede local
acl rede_local src 11.0.0.0/24 12.0.0.0/24 13.0.0.0/24
# acls de destino
#acl allDest dst 0.0.0.0/0.0.0.0
#acl to_localhost dst 127.0.0.0/8
# portas seguras
acl SSL_ports port 443
acl SSL_ports port 8180
acl SSL_ports port 8443
# Demais serviç
acl Safe_ports port 80 # http
acl Safe_ports port 81 82 83 84 85 100 127 # cppro
acl Safe_ports port 20 21 # ftp
acl Safe_ports port 70 # gopher
#acl Safe_ports port 443 # https
acl Safe_ports port 563 #snews
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 7780 # tj.es.gov.br
acl Safe_ports port 901 # SWAT
acl Safe_ports port 8080 # http
acl Safe_ports port 8081 # http
acl Safe_ports port 8082 # http
acl Safe_ports port 8088 # http
acl Safe_ports port 8180 # http
acl Safe_ports port 3456 # receita federal - irpf
acl Safe_ports port 3001 # diario oficial
# acls default squid
acl purge method PURGE
acl CONNECT method CONNECT
acl POST method POST
# acl para obter grupos do AD
external_acl_type grupo_AD ttl=5 %LOGIN /usr/lib/squid3/wbinfo_group.pl
# Grupos do AD
acl acesso_completo external grupo_AD Internet_Acesso_Completo
acl acesso_padrao external grupo_AD Internet_Acesso_Padrao
acl acesso_bloqueado external grupo_AD Internet_Acesso_Bloqueado
acl acesso_restrito external grupo_AD Internet_Acesso_Restrito
acl acesso_sac external grupo_AD Internet_Acesso_Sac
# acls de segurançproteç do cache
acl manager proto cache_object
# acl controlar sites (sites-proibidos)
#acl sites_proibidos dstdomain -i "/etc/squid3/acls/sites_proibidos"
acl sites_liberados dstdomain -i "/etc/squid3/acls/sites_liberados"
acl sites_proibidos url_regex -i "/etc/squid3/acls/sites_proibidos"
# acl controlar palavras de sexo, baixo calã etc
acl palavras_proibidas url_regex -i "/etc/squid3/acls/palavras_proibidas"
acl palavras_liberadas url_regex -i "/etc/squid3/acls/palavras_liberadas"
acl whitelist_loja url_regex "/etc/squid3/acls/whitelist_loja"
acl whitelist_matriz url_regex "/etc/squid3/acls/whitelist_matriz"
acl whitelist_sac url_regex "/etc/squid3/acls/whitelist_sac"
acl maquinas_proibidas src "/etc/squid3/acls/maquinas_proibidas"
acl maquinas_liberadas src "/etc/squid3/acls/maquinas_liberadas"
# acl controlar horáo de expediente
#acl horario_allow url_regex -i "/etc/squid3/horario_allow"
#acl fora_expediente time MTWHFA 20:01-23:59
#acl fora_expediente2 time MTWHFA 00:00-05:59
# Mensagem de erros personalizados para alguimas ACLs
deny_info ARQ_SITES_PROIBIDOS sites_proibidos
deny_info ARQ_SITES_PROIBIDOS sites_liberados
deny_info ARQ_SITES_PROIBIDOS palavras_proibidas
deny_info ARQ_SITES_PROIBIDOS palavras_liberadas
deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_proibidas
deny_info ARQ_MAQUINAS_PROIBIDAS maquinas_liberadas
deny_info ARQ_ACESSO_BLOQUEADO acesso_bloqueado
deny_info ARQ_PORTAS_PROIBIDAS Safe_ports
deny_info ARQ_PORTAS_PROIBIDAS SSL_ports
# HTTP ACCESS
# regras das acls de origem - libera os administradores
#http_access allow admins
# libera médo POST sem autenticaç. Para evitar problemas
http_access allow POST
#http_access allow rede_local acesso_completo
http_access allow acesso_completo
http_access deny palavras_proibidas
http_access deny sites_proibidos
http_access allow acesso_padrao whitelist_matriz
http_access allow acesso_bloqueado whitelist_loja
http_access allow acesso_sac whitelist_sac
http_access allow acesso_restrito !sites_proibidos
http_access allow rede_local maquinas_liberadas
http_access deny all
#http_access allow acesso_bloqueado sites_liberados
# regras das acls de portas - bloqueia todas as portas nãlistadas
http_access deny !Safe_ports
# bloqueia conexõdas portas seguras nãlistadas
http_access deny CONNECT !SSL_ports
# regras das acls de controle (bloqueio e polícas de rede)
#http_access allow manager localhost
http_access deny manager
# controle de acesso de sites proibidos
# controle de acesso da acl de palavras de sexo, baixo calã etc
# bloqueia todas as palavras da lista de proibidas com exceç das
# palavras liberadas
#http_access deny palavras_proibidas !palavras_liberadas
#http_access deny maquinas_proibidas !maquinas_liberadas
#http_access allow rede_local maquinas_liberadas
# controle de horáo de expediente
# bloqueia utilizaç fora do expediente
#http_access deny !horario_allow fora_expediente
#http_access deny !horario_allow fora_expediente2
#http_access allow purge localhost
#http_access allow rede_local acesso_padrao
#http_access deny purge
# HTTP REPLY ACCESS
#http_reply_access allow all
# ICP ACCESS
icp_access allow rede_local
icp_access deny all
# MISS ACCESS
miss_access allow rede_local
miss_access deny all
# MODO DE FTP PASSIVO
#ftp_passive on
# Negar cache de cgi-bin
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
# negar cache de POST
acl POSTS method POST
cache deny POSTS

junior
(usa Ubuntu)

Enviado em 06/02/2014 - 17:50h

Se você não tem nada no iptables, como pode estar redirecionando o tráfego da porta 80 para o SQUID?