Ops, acabou que estavamos conversando fora da lista. Qual erro ocorre no site?
Limpe o cache do squid e do navegador e tente novamente. Att, Tobias http://gnu.eti.br -----BEGIN GEEK CODE BLOCK----- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y? ------END GEEK CODE BLOCK------ Em 4 de junho de 2013 11:28, Patrick EL Youssef <wushumast...@gmail.com>escreveu: > Opa Alexandre, > > Primeiramente obrigado a todos > > O Tobias me encaminhou este link e é exatamente o mesmo caso porém não é > um site de banco > > http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-lidar-com-sites-de-bancos-OU-Permitir-determinados-sites-de-sairem-pela-porta-80/ > > Meu squid esta na versão 3.1.6 que é a versão do debian squeeze e segue o > squid.conf > > http_port 192.168.1.1:3128 > error_directory /usr/share/squid3/errors/Portuguese > httpd_suppress_version_string on > > cache_mem 512 MB > > maximum_object_size_in_memory 64 KB > maximum_object_size 800 MB > minimum_object_size 10 KB > > cache_swap_low 90 > cache_swap_high 95 > > cache_dir ufs /var/spool/squid3 2048 32 512 > cache_access_log /var/log/squid3/access.log > > refresh_pattern ^ftp: 5 20% 2280 > refresh_pattern ^gopher: 5 0% 2280 > refresh_pattern . 5 20% 2280 > > acl manager proto cache_object > acl localhost src 127.0.0.1/32 > acl to_localhost dst 127.0.0.0/8 > > acl SSL_ports port 443 > acl Safe_ports port 80 # http > acl Safe_ports port 21 # ftp > acl Safe_ports port 443 # https > acl Safe_ports port 70 # gopher > acl Safe_ports port 210 # wais > acl Safe_ports port 1025-65535 # unregister ports > acl Safe_ports port 280 # http-mgmt > acl Safe_ports port 488 # gss-http > acl Safe_ports port 591 # filemaker > acl Safe_ports port 777 # multiling http > acl purge method PURGE > acl CONNECT method CONNECT > > http_access allow manager localhost > http_access deny manager > http_access allow purge localhost > http_access deny purge > http_access deny !Safe_ports > http_access deny CONNECT !SSL_ports > > auth_param basic realm SQUID > auth_param basic program /usr/lib/squid3/ncsa_auth > /etc/squid3/.squid_passwd > auth_param basic children 5 > > acl palavras_comuns url_regex -i "/etc/squid3/palavras_comuns" > acl diretoria proxy_auth usuario > acl autenticados proxy_auth REQUIRED > > http_access allow diretoria > http_access deny palavras_comuns > http_access allow autenticados > > acl redelocal src 192.168.1.0/24 > http_access allow localhost > http_access deny to_localhost > http_access allow redelocal > http_access deny all > > Meu firewall: > > IPTABLES=`which iptables` > EXT=eth1 > EXT2=eth2 > INT=eth0 > REDE=192.168.1.0/24 > > #----CARREGA OS MODULOS DO IPTABLES---- > modprobe ip_tables > modprobe iptable_nat > > #----LIMPA AS TABELAS JA EXISTENTES---- > $IPTABLES -F > $IPTABLES -X > $IPTABLES -t nat -F > $IPTABLES -t filter -F > $IPTABLES -t mangle -F > $IPTABLES -X -t nat > > #----PROTEGE CONTRA SYN-FLOOD------ > echo 1 > /proc/sys/net/ipv4/tcp_syncookies > #----CONTRA TRACEROUTE----- > echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route > #----PROTEGE CONTRA RESPONSES BOGUS----- > echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses > #----NAO RESPONDE A PING------ > #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all > #----DESATIVA O PING BROADCAST----- > echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts > #----IMPEDE ALTERACAO DE ROTAS---- > echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects > #----DESCARTA PACOTES MAL FORMADOS---- > $IPTABLES -A INPUT -m state --state INVALID -j DROP > > #-----BLOQUEANDO TRACEROUTE------ > $IPTABLES -A INPUT -p udp -s 0/0 -i $EXT --dport 33435:33525 -j DROP > # Habilitar verificacao de rota de origem (Protecao p/ IP Spoofing) > for RP in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $RP ; done > > #----SETA A POLITICA PADRAO DO FIREWALL---- > $IPTABLES -P INPUT DROP > $IPTABLES -P FORWARD DROP > $IPTABLES -P OUTPUT ACCEPT > > $IPTABLES -I FORWARD -p tcp -s 192.168.1.0/24 -i $INT --dport 80 -j DROP > > #$IPTABLES -A INPUT -j LOG > > #----LIBERA A PORTA 7022 E LOGA OS ACESSOS NELA---- > $IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL SSH " > $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT > > > #----LIBERA A PORTA 80 APENAS PARA A REDE INTERNA E LOGA OS ACESSOS > NELA---- > $IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix "APACHE " > $IPTABLES -A INPUT -p tcp -s $REDE --dport 80 -j ACCEPT > > #----LIBERA A PORTA 2564 E LOGA OS ACESSOS NELA---- > $IPTABLES -A INPUT -p udp --dport 1194 -j LOG --log-prefix "OPENVPN " > $IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT > > $IPTABLES -t nat -s $REDE -A POSTROUTING -o $EXT -j MASQUERADE > $IPTABLES -t nat -s 10.0.0.0/24 -A POSTROUTING -o $INT -j MASQUERADE > echo 1 > /proc/sys/net/ipv4/ip_forward > > > #----LIMITA O PING PARA UMA RESPOSTA POR SEGUNDO---- > $IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s > -j ACCEPT > > #----PERMITE PACOTES DE CONEXOES JA INICIADAS----- > $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > #----LOGA OS PACOTES MORTOS POR INATIVIDADE---- > $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG > > #----PROTECAO CONTRA ATAQUES DO TIPO SYN-FLOOD,DOS,ETC---- > $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT > > #----PROTECAO CONTRA PACOTES QUE PODEM PROCURAR E OBTER INFORMACOES DA > REDE INTERNA--- > $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP > > #----PRECAUCAO CONTRA FALHAS NO NAT---- > $IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP > > $IPTABLES -A INPUT -p udp -s 208.67.222.222 -j ACCEPT > $IPTABLES -A FORWARD -p udp -d 208.67.222.222 -j ACCEPT > $IPTABLES -A INPUT -p udp -s 208.67.220.220 -j ACCEPT > $IPTABLES -A FORWARD -p udp -d 208.67.220.220 -j ACCEPT > $IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT > #$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT > > #---LIBERA A PORTA NTP--- > $IPTABLES -A FORWARD -p udp --dport 123 -j ACCEPT > > #----ABRE PARA A REDE LOCAL > #$IPTABLES -A INPUT -p tcp --syn -s $REDE -j ACCEPT > > #---LIBERA PARA A REDE INTERNA---- > $IPTABLES -A INPUT -s $REDE -j ACCEPT > $IPTABLES -A FORWARD -s $REDE -j ACCEPT > $IPTABLES -A FORWARD -d $REDE -j ACCEPT > > #---LIBERA O LOCALHOST---- > $IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT > > #----FECHA O RESTO DA REDE---- > $IPTABLES -A INPUT -p tcp -j DROP > > O problema é que as requisições chegam na porta 3128 e nao na 80 então no > firewall nao consegui fazer isso > > Quando eu tento acessar o site ele me retorna ou TCP/000 ou TCP/304 > > Obrigado > Patrick > > Em 04-06-2013 08:30, Alexandre Borges Souza escreveu: > > Fala, Patrick > > Tens como passar-nos a configuração do squid e firewall? Assim podemos > lhe ajudar. > > Abraços, > > > Em 31 de maio de 2013 22:08, Patrick EL Youssef > <wushumast...@gmail.com>escreveu: > >> Olá Pessoal, >> >> >> Sou novo na lista e estou com um problema >> >> Tem um site em especifico que não consigo acessar quando estou atras do >> squid mesmo ele estando com autenticação ou não >> >> Quando desabilito ele funciona normalmente >> >> Eu tenho uma conf de DHCP + DNS + Squid para solicitar autenticação sem >> precisar configurar o navegador >> >> Tentei algumas regras do squid com o nome da url mas nada >> >> Fiz algumas regras de firewall para passar por fora mas pelo visto não >> funcionou, imagino que a regra deva estar errada >> >> Alguém tem alguma dica para me ajudar >> >> Lembrando que todo meu trafego vai pra porta 3128 >> >> Obrigado, >> Patrick >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> Archive: http://lists.debian.org/51a94981.60...@gmail.com >> >> > > > -- > Alexandre Borges Souza > > E-mail: aborgesso...@gmail.com / xandelg...@yahoo.com.br > WEB: http://www.alexandresouza.pro.br/ > MSN: alexandreborgesso...@hotmail.com > > >
