Squid + ERR_TUNNEL [RESOLVIDO]

juniorbiu
(usa Debian)

Enviado em 10/09/2013 - 13:38h

Companheiros, boa!

Depois de pesquisar muito, ler muito, perguntar muito, estou recorrendo a grande comunidade.
Montei um servidor Proxy com a seguinte estrutura:

> Ubuntu 12.04.3 LTS 12.04
> Linux XXXXX 3.8.0-29-generic GNU/Linux
> Squid Cache: Version 3.1.19
> SquidGuard: 1.4 Berkeley DB 5.1.25: (January 28, 2011)
> Toda a estrutura esta em Vmware ESXi 5.1, com Firewall Juniper e regras OK.

O PROBLEMA:
Tudo funciona muito bem, navegação, relatórios SARG, bloqueios/liberações do squid e também do SquidGuard.
Porém (sempre tem um porem), não consigo acessar uma pagina da Caixa. Mas especificamente o endereço (https : / / internetbanking.caixa.gov.br/SIIBC/index.processa)

Imagina-se ser por conta da porta 443, porem qualquer site https eu consigo acessar, inclusive dentro da própria pagina da Caixa e outros bancos, como Santander, Banco do Brasil, Bradesco,....

O retorno que recebo na pagina aberto via:
Chrome "Código de erro: ERR_TUNNEL_CONNECTION_FAILED"
IE "Make sure TLS and SSL protocols are enabled. Go to Tools > Internet Options > Advanced > Settings Security"

A saída de log do Squid sai: "1378485460.600 33673 10.152.96.107 TCP_MISS/404 0 CONNECT internetbanking.caixa.gov.br:443 - DIRECT/- -"
Parece que o Proxy não consegue direcionar ou estabelecer a comunicação.

Já quebrei a cabeça no Firewall, porta 443, cache da pagina, timeout, liberação full deste site via nome ou IP, desabilitei IPV6, DNS no squid.conf, ... e nada!

Procurei aqui comunidade e como não achei nada a respeito, coloquei a pergunta em "Perguntas não tão freqüentes"

Só falta este ponto para liberar em ambiente de produção, mas sem isso complica.

Alguém já pegou este caso e tem ideia ou dica de por onde começar?

Abs e obrigado!
Jr

==============================
http_port 8080

visible_hostname PROXY
error_directory /usr/share/squid3/errors/Portuguese


#dns_v4_first on
append_domain .xxxxxxx.net
tcp_outgoing_address xxxxxxxx.net
auth_param basic children 8

hierarchy_stoplist CGI-bin ?

cache_mgr proxy_xx@xxxxxx.com

acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY

# Memoria cache
cache_mem 512 MB

# Usar maximo de memoria possivel
memory_pools on
memory_pools_limit 2048 MB

#Tamanho maximo de arquivos alocados na RAM
maximum_object_size_in_memory 2048 KB

# Maximo e Minimo armazenados em disco
maximum_object_size 512 MB
minimum_object_size 0 KB

# Porcentagem de atualizacao do cache - limpo ao atingir o maximo
cache_swap_low 85
cache_swap_high 90

cache_dir ufs /var/spool/squid3 4096 16 256

# Diretorio de log do Squid
cache_access_log /var/log/squid3/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl purge method PURGE
acl local_websites dst_as 10.0.0.0/255.0.0.0

#ACL de Acessos
acl SSL_ports port 443
acl SSL_ports port 2095
acl SSL_ports port 2082
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 445
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow local_websites

#Bloqueio de video via streaming
acl streaming rep_mime_type -i "/etc/squid3/blockmime.txt"
acl videomusic urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$ \.flv$

#ACLs WS UPDATE
acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com
acl windowsupdate dstdomain ds.download.windowsupdate.com
acl windowsupdate dstdomain fe1.update.microsoft.com
acl windowsupdate dstdomain fg.v4.download.windowsupdate.com

acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com

http_access allow CONNECT wuCONNECT localhost
http_access allow windowsupdate localhost

#ACLs
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados.txt"
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados.txt"
acl redes_sociais url_regex -i "/etc/squid3/redes_sociais.txt"
acl liberados src "/etc/squid3/ips_liberados.txt"
acl formato_arquivo url_regex -i "/etc/squid3/formato_arquivo.txt"
acl horario_almoco time 12:00-14:00

## REGRAS ##
http_access allow redes_sociais horario_almoco
http_access allow videomusic horario_almoco
http_reply_access allow streaming horario_almoco
http_access allow liberados
http_access allow liberados videomusic
http_reply_access allow liberados streaming
http_access allow sites_liberados

http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny formato_arquivo
http_access deny videomusic
http_reply_access deny streaming

################################################
## SQUIDGUARD ##
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
#Numero de processos do squidguard
redirect_children 8
#Mantem o Squid funcionando caso o Squidguard pare
redirector_bypass on

##############################################

acl rede_local src 10.152.0.0/16
http_access allow rede_local
http_access allow localhost
http_access deny all

Buckminster
(usa Debian)

Enviado em 10/09/2013 - 16:07h

Aqui não tem proxy nem nada e deu que não é possível exibir a página e no navegador todos os protocolos de segurança estão habilitados.

Nem pingar não pinga. Ou o ping está bloqueado ou é alguma problema na página mesmo.

juniorbiu
(usa Debian)

Enviado em 10/09/2013 - 16:34h

Buckminster,
Essa pagina abre saindo da principal.
Abra o site da Caixa (caixa.gov.br) e clique no link "Acesse sua Conta" (https://internetbanking.caixa.gov.br/SIIBC/index.processa)
Abs

Buckminster
(usa Debian)

Enviado em 14/09/2013 - 13:47h

Deu a mesma coisa entrando em http://www.caixa.gov.br/ ou https://www.caixa.gov.br/ e clicando no botão "Acesse sua conta": Não é possível exibir esta página.

Você fez o que está no tutorial da Caixa?
Cadastrou os computadores para terem acesso?

juniorbiu
(usa Debian)

Enviado em 14/09/2013 - 13:50h

Estranho, aqui sempre abre a pagina de login de acesso a conta corrente.
Abs

Buckminster
(usa Debian)

Enviado em 14/09/2013 - 13:57h

Chrome "Código de erro: ERR_TUNNEL_CONNECTION_FAILED"
IE "Make sure TLS and SSL protocols are enabled. Go to Tools > Internet Options > Advanced > Settings Security"

Habilitou TLS e SSL no IE e no Chrome?

Você fez o que está no tutorial da Caixa?
Cadastrou os computadores para terem acesso?

Esse problema não é no Squid, provavelmente é nos navegadores.

juniorbiu
(usa Debian)

Enviado em 14/09/2013 - 14:04h

Então, sem o squid tudo funciona perfeitamente. Com o squid dá este erro ao clicar na opção indicada.
Já li sobre o ssl_bump, mas o squid não reconhece como algo valido (http://wiki.squid-cache.org/Features/SslBump)
No Ubuntu ele tem como padrão a versão indicada, porem no site do squid indica que já esta em 3.3.9. Não sei se isso é bug ou não e se já foi corrigido.
Já pegou algo assim?

Já testei no Ubuntu 12 e também no 13.04 e o erro é o mesmo.
Agora estou subindo em um CentOS para ver se muda algo.

Buckminster
(usa Debian)

Enviado em 14/09/2013 - 14:17h

Faz um teste, comenta as duas acls abaixo e as linhas http_access referentes a elas, reinicia o Squid e testa.

#Bloqueio de video via streaming
acl streaming rep_mime_type -i "/etc/squid3/blockmime.txt"
acl videomusic urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$ \.flv$


E tenta acessar o site da caixa sem o www na frente para ver se não é problema de DNS.

juniorbiu
(usa Debian)

Enviado em 14/09/2013 - 14:19h

Vou testar e já te falo.

Buckminster
(usa Debian)

Enviado em 14/09/2013 - 14:27h

http_port 8080

Tenta também com o Squid na porta padrão 3128. Não esqueça de alterar no Iptables também (se tiver).

E adicione nas acl Safe_ports port 8080 # http e/ou acl Safe_ports port 3128.

O site da caixa sempre foi xarope.
Qualquer coisa crie uma acl liberando especificamente o site da caixa e teste:

acl caixa dstdomain caixa.gov.br
http_access allow caixa



Eu abri aqui completamente o firewall do modem, não tenho Squid nem nada bloqueando e ainda assim não abre o internetbanking, clicando no tal botão de acessar a conta aparece a mesma mensagem, além de outras coisas que não funcionam no site como downloads, etc...

Alterei os DNSs aqui e com alguns nem o site da caixa abriu, mas com todos DNSs que testei nenhum abriu o internetbanking aqui.

Buckminster
(usa Debian)

Enviado em 14/09/2013 - 15:13h

Bom, aqui para funcionar o acesso a conta tive que instalar o tal GBPluginObj que é da empresa de segurança em TI terceirizada da Caixa e do Banco do Brasil também se não me engano.

Talvez o Squid esteja bloqueando esse plugin.

juniorbiu
(usa Debian)

Enviado em 14/09/2013 - 15:20h

mesmo erro, com acl e porta alterada.