Squid + 443 + Tunnel [RESOLVIDO]

1. Squid + 443 + Tunnel [RESOLVIDO]

juniorbiu
(usa Debian)

Enviado em 06/09/2013 - 13:57h

Companheiros, boa!

Depois de pesquisar muito, ler muito, perguntar muito, estou recorrendo a grande comunidade.
Montei um servidor Proxy com a seguinte estrutura:

> Ubuntu 12.04.3 LTS 12.04
> Linux XXXXX 3.8.0-29-generic GNU/Linux
> Squid Cache: Version 3.1.19
> SquidGuard: 1.4 Berkeley DB 5.1.25: (January 28, 2011)
> Toda a estrutura esta em Vmware ESXi 5.1, com Firewall Juniper e regras OK.

O PROBLEMA:
Tudo funciona muito bem, navegação, relatórios SARG, bloqueios/liberações do squid e também do SquidGuard.
Porém (sempre tem um porem), não consigo acessar uma pagina da Caixa. Mas especificamente o endereço (https : / / internetbanking.caixa.gov.br/SIIBC/index.processa)

Imagina-se ser por conta da porta 443, porem qualquer site https eu consigo acessar, inclusive dentro da própria pagina da Caixa e outros bancos, como Santander, Banco do Brasil, Bradesco,....

O retorno que recebo na pagina aberto via:
Chrome "Código de erro: ERR_TUNNEL_CONNECTION_FAILED"
IE "Make sure TLS and SSL protocols are enabled. Go to Tools > Internet Options > Advanced > Settings Security"

A saída de log do Squid sai: "1378485460.600 33673 10.152.96.107 TCP_MISS/404 0 CONNECT internetbanking.caixa.gov.br:443 - DIRECT/- -"
Parece que o Proxy não consegue direcionar ou estabelecer a comunicação.

Já quebrei a cabeça no Firewall, porta 443, cache da pagina, timeout, liberação full deste site via nome ou IP, desabilitei IPV6, DNS no squid.conf, ... e nada!

Procurei aqui comunidade e como não achei nada a respeito, coloquei a pergunta em "Perguntas não tão freqüentes"

Só falta este ponto para liberar em ambiente de produção, mas sem isso complica.

Alguém já pegou este caso e tem ideia ou dica de por onde começar?

Abs e obrigado!
Jr

0 0

Quote

2. Re: Squid + 443 + Tunnel [RESOLVIDO]

joaoaraujo
(usa openSUSE)

Enviado em 06/09/2013 - 15:35h

posta ai o seu squid.conf

0 0

Quote

3. Re: Squid + 443 + Tunnel [RESOLVIDO]

dimasdaros
(usa Arch Linux)

Enviado em 06/09/2013 - 16:49h

Boa tarde,

tive um problema desse uma vez, na conectividade social.
Lembro que aquela vez tive de colocar o site da caixa passando por fora do squid =/

0 0

Quote

4. squid.conf

juniorbiu
(usa Debian)

Enviado em 07/09/2013 - 13:48h

Senhores,
Falha minha, segue o meu squid.conf

==============================
http_port 8080

visible_hostname PROXY
error_directory /usr/share/squid3/errors/Portuguese

#dns_v4_first on
append_domain .xxxxxxx.net
tcp_outgoing_address xxxxxxxx.net
auth_param basic children 8

hierarchy_stoplist CGI-bin ?

cache_mgr proxy_xx@xxxxxx.com

acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY

# Memoria cache
cache_mem 512 MB

# Usar maximo de memoria possivel
memory_pools on
memory_pools_limit 2048 MB

#Tamanho maximo de arquivos alocados na RAM
maximum_object_size_in_memory 2048 KB

# Maximo e Minimo armazenados em disco
maximum_object_size 512 MB
minimum_object_size 0 KB

# Porcentagem de atualizacao do cache - limpo ao atingir o maximo
cache_swap_low 85
cache_swap_high 90

cache_dir ufs /var/spool/squid3 4096 16 256

# Diretorio de log do Squid
cache_access_log /var/log/squid3/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl purge method PURGE
acl local_websites dst_as 10.0.0.0/255.0.0.0

#ACL de Acessos
acl SSL_ports port 443
acl SSL_ports port 2095
acl SSL_ports port 2082
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 445
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow local_websites

#Bloqueio de video via streaming
acl streaming rep_mime_type -i "/etc/squid3/blockmime.txt"
acl videomusic urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$ \.flv$

#ACLs WS UPDATE
acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com
acl windowsupdate dstdomain ds.download.windowsupdate.com
acl windowsupdate dstdomain fe1.update.microsoft.com
acl windowsupdate dstdomain fg.v4.download.windowsupdate.com

acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com

http_access allow CONNECT wuCONNECT localhost
http_access allow windowsupdate localhost

#ACLs
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados.txt"
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados.txt"
acl redes_sociais url_regex -i "/etc/squid3/redes_sociais.txt"
acl liberados src "/etc/squid3/ips_liberados.txt"
acl formato_arquivo url_regex -i "/etc/squid3/formato_arquivo.txt"
acl horario_almoco time 12:00-14:00

## REGRAS ##
http_access allow redes_sociais horario_almoco
http_access allow videomusic horario_almoco
http_reply_access allow streaming horario_almoco
http_access allow liberados
http_access allow liberados videomusic
http_reply_access allow liberados streaming
http_access allow sites_liberados

http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny formato_arquivo
http_access deny videomusic
http_reply_access deny streaming

################################################
## SQUIDGUARD ##
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
#Numero de processos do squidguard
redirect_children 8
#Mantem o Squid funcionando caso o Squidguard pare
redirector_bypass on

##############################################

acl rede_local src 10.152.0.0/16
http_access allow rede_local
http_access allow localhost
http_access deny all

0 0

Quote