Como você tem acesso ao firewall, você pode colocar uma exceção para esse site especificamente não passar pelo proxy.
2013/6/5 Patrick EL Youssef <wushumast...@gmail.com> > Tobias, > > A limpeza do cache já havia feito e não funcionou > > A regra abaixo não funciona pois todas as solicitações chegam na porta > 3128 e não na 80. Ja havia testado antes tb. > > O navegador também nao é pois testei em todos > > Ativa o squid nao funciona, quando desativa vai. > > Muito estranho > > Mais alguma dica? > > Valeu, > Patrick > > Em 04-06-2013 15:46, Tobias Sette escreveu: > > Para apagar o cache do squid faça: > service squid3 stop > rm -Rf /var/spool/squid3/* > squid3 -z > service squid3 start > > Para apagar o cache do browser vai depender de cada browser. Tambem é > interessante trocar de browser. > > Caso nao dê certo libere no squid o dominio problematico, antes da regra > que pede autenticação. > > Por ultimo, voce pode possibilitar que o acesso a este dominio seja > feito por fora do proxy, para isso adicione o dominio na lista de exceções > do navegador (esta opção fica perto da que define o endereço do proxy) e > liberar o site no firewall. Exemplo de regra no iptables: > > $IPTABLES -A FORWARD -p tcp -s $REDE -d 200.142.253.26 --dport 80 -j > ACCEPT > > Nota: 200.142.253.26 é o ip que atende por painel.arpe.com.br. Caso voce > utilize este mesmo procedimento para sites maiores é provavel que hajam > varios ips responsaveis pelo dominio, neste caso utilize este site > http://pop.robtex.com para fazer a consulta do range de ips, ele vai > aparecer na coluna route do registro a. > > > Att, > > Tobias > http://gnu.eti.br > > -----BEGIN GEEK CODE BLOCK----- > Version: 3.12 > GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@W+++ > !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ > r-- y? > ------END GEEK CODE BLOCK------ > > > > Em 4 de junho de 2013 14:22, Patrick EL Youssef > <wushumast...@gmail.com>escreveu: > >> Não da nenhum erro >> >> Ele fica carregando infinitamente >> >> As vezes carrega só um pedaço do site >> >> Fiz isso do cache e ficou a mesma coisa >> >> Valeu, >> Patrick >> >> Em 04-06-2013 13:44, Tobias Sette escreveu: >> >> Ops, acabou que estavamos conversando fora da lista. >> >> Qual erro ocorre no site? >> >> Limpe o cache do squid e do navegador e tente novamente. >> >> Att, >> >> Tobias >> http://gnu.eti.br >> >> -----BEGIN GEEK CODE BLOCK----- >> Version: 3.12 >> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++>++++ UL++>++++ P+ L+++>+++++ !E@W+++ >> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- >> h+ r-- y? >> ------END GEEK CODE BLOCK------ >> >> >> >> Em 4 de junho de 2013 11:28, Patrick EL Youssef >> <wushumast...@gmail.com>escreveu: >> >>> Opa Alexandre, >>> >>> Primeiramente obrigado a todos >>> >>> O Tobias me encaminhou este link e é exatamente o mesmo caso porém não é >>> um site de banco >>> >>> http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-lidar-com-sites-de-bancos-OU-Permitir-determinados-sites-de-sairem-pela-porta-80/ >>> >>> Meu squid esta na versão 3.1.6 que é a versão do debian squeeze e segue >>> o squid.conf >>> >>> http_port 192.168.1.1:3128 >>> error_directory /usr/share/squid3/errors/Portuguese >>> httpd_suppress_version_string on >>> >>> cache_mem 512 MB >>> >>> maximum_object_size_in_memory 64 KB >>> maximum_object_size 800 MB >>> minimum_object_size 10 KB >>> >>> cache_swap_low 90 >>> cache_swap_high 95 >>> >>> cache_dir ufs /var/spool/squid3 2048 32 512 >>> cache_access_log /var/log/squid3/access.log >>> >>> refresh_pattern ^ftp: 5 20% 2280 >>> refresh_pattern ^gopher: 5 0% 2280 >>> refresh_pattern . 5 20% 2280 >>> >>> acl manager proto cache_object >>> acl localhost src 127.0.0.1/32 >>> acl to_localhost dst 127.0.0.0/8 >>> >>> acl SSL_ports port 443 >>> acl Safe_ports port 80 # http >>> acl Safe_ports port 21 # ftp >>> acl Safe_ports port 443 # https >>> acl Safe_ports port 70 # gopher >>> acl Safe_ports port 210 # wais >>> acl Safe_ports port 1025-65535 # unregister ports >>> acl Safe_ports port 280 # http-mgmt >>> acl Safe_ports port 488 # gss-http >>> acl Safe_ports port 591 # filemaker >>> acl Safe_ports port 777 # multiling http >>> acl purge method PURGE >>> acl CONNECT method CONNECT >>> >>> http_access allow manager localhost >>> http_access deny manager >>> http_access allow purge localhost >>> http_access deny purge >>> http_access deny !Safe_ports >>> http_access deny CONNECT !SSL_ports >>> >>> auth_param basic realm SQUID >>> auth_param basic program /usr/lib/squid3/ncsa_auth >>> /etc/squid3/.squid_passwd >>> auth_param basic children 5 >>> >>> acl palavras_comuns url_regex -i "/etc/squid3/palavras_comuns" >>> acl diretoria proxy_auth usuario >>> acl autenticados proxy_auth REQUIRED >>> >>> http_access allow diretoria >>> http_access deny palavras_comuns >>> http_access allow autenticados >>> >>> acl redelocal src 192.168.1.0/24 >>> http_access allow localhost >>> http_access deny to_localhost >>> http_access allow redelocal >>> http_access deny all >>> >>> Meu firewall: >>> >>> IPTABLES=`which iptables` >>> EXT=eth1 >>> EXT2=eth2 >>> INT=eth0 >>> REDE=192.168.1.0/24 >>> >>> #----CARREGA OS MODULOS DO IPTABLES---- >>> modprobe ip_tables >>> modprobe iptable_nat >>> >>> #----LIMPA AS TABELAS JA EXISTENTES---- >>> $IPTABLES -F >>> $IPTABLES -X >>> $IPTABLES -t nat -F >>> $IPTABLES -t filter -F >>> $IPTABLES -t mangle -F >>> $IPTABLES -X -t nat >>> >>> #----PROTEGE CONTRA SYN-FLOOD------ >>> echo 1 > /proc/sys/net/ipv4/tcp_syncookies >>> #----CONTRA TRACEROUTE----- >>> echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route >>> #----PROTEGE CONTRA RESPONSES BOGUS----- >>> echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses >>> #----NAO RESPONDE A PING------ >>> #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all >>> #----DESATIVA O PING BROADCAST----- >>> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts >>> #----IMPEDE ALTERACAO DE ROTAS---- >>> echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects >>> #----DESCARTA PACOTES MAL FORMADOS---- >>> $IPTABLES -A INPUT -m state --state INVALID -j DROP >>> >>> #-----BLOQUEANDO TRACEROUTE------ >>> $IPTABLES -A INPUT -p udp -s 0/0 -i $EXT --dport 33435:33525 -j DROP >>> # Habilitar verificacao de rota de origem (Protecao p/ IP Spoofing) >>> for RP in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $RP ; done >>> >>> #----SETA A POLITICA PADRAO DO FIREWALL---- >>> $IPTABLES -P INPUT DROP >>> $IPTABLES -P FORWARD DROP >>> $IPTABLES -P OUTPUT ACCEPT >>> >>> $IPTABLES -I FORWARD -p tcp -s 192.168.1.0/24 -i $INT --dport 80 -j DROP >>> >>> #$IPTABLES -A INPUT -j LOG >>> >>> #----LIBERA A PORTA 7022 E LOGA OS ACESSOS NELA---- >>> $IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL SSH " >>> $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT >>> >>> >>> #----LIBERA A PORTA 80 APENAS PARA A REDE INTERNA E LOGA OS ACESSOS >>> NELA---- >>> $IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix "APACHE " >>> $IPTABLES -A INPUT -p tcp -s $REDE --dport 80 -j ACCEPT >>> >>> #----LIBERA A PORTA 2564 E LOGA OS ACESSOS NELA---- >>> $IPTABLES -A INPUT -p udp --dport 1194 -j LOG --log-prefix "OPENVPN " >>> $IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT >>> >>> $IPTABLES -t nat -s $REDE -A POSTROUTING -o $EXT -j MASQUERADE >>> $IPTABLES -t nat -s 10.0.0.0/24 -A POSTROUTING -o $INT -j MASQUERADE >>> echo 1 > /proc/sys/net/ipv4/ip_forward >>> >>> >>> #----LIMITA O PING PARA UMA RESPOSTA POR SEGUNDO---- >>> $IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s >>> -j ACCEPT >>> >>> #----PERMITE PACOTES DE CONEXOES JA INICIADAS----- >>> $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >>> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> >>> #----LOGA OS PACOTES MORTOS POR INATIVIDADE---- >>> $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG >>> >>> #----PROTECAO CONTRA ATAQUES DO TIPO SYN-FLOOD,DOS,ETC---- >>> $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT >>> >>> #----PROTECAO CONTRA PACOTES QUE PODEM PROCURAR E OBTER INFORMACOES DA >>> REDE INTERNA--- >>> $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP >>> >>> #----PRECAUCAO CONTRA FALHAS NO NAT---- >>> $IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP >>> >>> $IPTABLES -A INPUT -p udp -s 208.67.222.222 -j ACCEPT >>> $IPTABLES -A FORWARD -p udp -d 208.67.222.222 -j ACCEPT >>> $IPTABLES -A INPUT -p udp -s 208.67.220.220 -j ACCEPT >>> $IPTABLES -A FORWARD -p udp -d 208.67.220.220 -j ACCEPT >>> $IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT >>> #$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT >>> >>> #---LIBERA A PORTA NTP--- >>> $IPTABLES -A FORWARD -p udp --dport 123 -j ACCEPT >>> >>> #----ABRE PARA A REDE LOCAL >>> #$IPTABLES -A INPUT -p tcp --syn -s $REDE -j ACCEPT >>> >>> #---LIBERA PARA A REDE INTERNA---- >>> $IPTABLES -A INPUT -s $REDE -j ACCEPT >>> $IPTABLES -A FORWARD -s $REDE -j ACCEPT >>> $IPTABLES -A FORWARD -d $REDE -j ACCEPT >>> >>> #---LIBERA O LOCALHOST---- >>> $IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT >>> >>> #----FECHA O RESTO DA REDE---- >>> $IPTABLES -A INPUT -p tcp -j DROP >>> >>> O problema é que as requisições chegam na porta 3128 e nao na 80 então >>> no firewall nao consegui fazer isso >>> >>> Quando eu tento acessar o site ele me retorna ou TCP/000 ou TCP/304 >>> >>> Obrigado >>> Patrick >>> >>> Em 04-06-2013 08:30, Alexandre Borges Souza escreveu: >>> >>> Fala, Patrick >>> >>> Tens como passar-nos a configuração do squid e firewall? Assim podemos >>> lhe ajudar. >>> >>> Abraços, >>> >>> >>> Em 31 de maio de 2013 22:08, Patrick EL Youssef <wushumast...@gmail.com >>> > escreveu: >>> >>>> Olá Pessoal, >>>> >>>> >>>> Sou novo na lista e estou com um problema >>>> >>>> Tem um site em especifico que não consigo acessar quando estou atras do >>>> squid mesmo ele estando com autenticação ou não >>>> >>>> Quando desabilito ele funciona normalmente >>>> >>>> Eu tenho uma conf de DHCP + DNS + Squid para solicitar autenticação sem >>>> precisar configurar o navegador >>>> >>>> Tentei algumas regras do squid com o nome da url mas nada >>>> >>>> Fiz algumas regras de firewall para passar por fora mas pelo visto não >>>> funcionou, imagino que a regra deva estar errada >>>> >>>> Alguém tem alguma dica para me ajudar >>>> >>>> Lembrando que todo meu trafego vai pra porta 3128 >>>> >>>> Obrigado, >>>> Patrick >>>> >>>> >>>> -- >>>> To UNSUBSCRIBE, email to >>>> debian-user-portuguese-requ...@lists.debian.org >>>> with a subject of "unsubscribe". Trouble? Contact >>>> listmas...@lists.debian.org >>>> Archive: http://lists.debian.org/51a94981.60...@gmail.com >>>> >>>> >>> >>> >>> -- >>> Alexandre Borges Souza >>> >>> E-mail: aborgesso...@gmail.com / xandelg...@yahoo.com.br >>> WEB: http://www.alexandresouza.pro.br/ >>> MSN: alexandreborgesso...@hotmail.com >>> >>> >>> >> >> > > -- Bruno Ayub
