Squid bloqueando msn

1. Squid bloqueando msn

Cristiano
cpa83

(usa Debian)

Enviado em 19/11/2010 - 11:04h

E ai galera tudo bem?? To com um problema aqui, o squid ta bloqueando automático o msn , alguém pode me ajudar??


  


2. Re: Squid bloqueando msn

Raul
raulinux

(usa Slitaz)

Enviado em 19/11/2010 - 13:37h

posta o squid.conf e o arquivo com os sites bloqueados


3. Re: Squid bloqueando msn

Luiz Marcello
l_marcce

(usa Debian)

Enviado em 17/05/2011 - 23:02h

Aproveito a chamada dele para, se alguém puder dar uma força...
Utilizo um servidor com DEBIAN-LENNY (Dados, DNS e proxy - Firebird, Bind9 e squid)
Minha empresa usa o Windows live para comunicação entre seções e algo de sobrenatural acontece que faz com que o MSN, volta e meia, apresente problemas de comunicação nas portas...
Estava tudo funcionando até a última atualização do "Windows Live Mwssenger"... passei uns 3 dias tentando em tudo o que era lugar até que percebi um método bastante fácil (naquela ocasião) que era entrar onde configuramos o servidor proxy no windows, nas partes avançadas e retirar a seleção do "seguro", deixando só no http e ftp... funcionou legal mais uns 3 ou 4 meses...
Agora, voltou a apresentar o mesmo problema, de ficar girando o MSN interminávelmente e por vezes não entrar, apresentando o eterno problema de "portas principais" nas conexões do windows (mas mesmo assim, funcionava bem até então...) e não consigo solucionar o problema...
Criei um script liberando e direcionando (iptables) a porta 80 para a porta do squid...
Criei as regras (postadas mais abaixo) para dentro do squid.conf...
E nada de funcionamento bom... algumas máquinas entram... outras demoram eternidades para conectar... outras aparecem a mensagem de que sua lista de contatos está indisponível no momento - tente mais tarde... e varios outros que no momento não me recordo...
Apenas minha máquina não passa pelo Servidor, conecta sem problemas o live messenger...

Bem, aí está meu squid.conf:
#################################################################################################
http_port 3128
visible_hostname ZZZXXXXZZZZ

cache_mem 410 MB
cache_swap_low 95
cache_swap_high 98
maximum_object_size 32768 KB
maximum_object_size_in_memory 128 KB
minimum_object_size 0 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir diskd /var/spool/squid 5000 16 128 Q1=64 Q2=72
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl redelocal src 192.168.1.0/24
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 2121 # ftp
acl Safe_ports port 2021 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1863 # Entrada do MSN Messenger
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports
# acl site dstdomain siteproblematico.com
# always_direct allow site

# acl controle1 url_regex -i 192.168.1
# acl controle2 url_regex -i ftp .exe .mp3 .tar.gz .gz .zip .rar .avi .mpeg .mpg .qt .ram .rm .iso .raw .wav
# delay_pools 2
# delay_class 1 2
# delay_parameters 1 -1/-1 -1/-1
# delay_access 1 allow controle1
# delay_class 2 2
# delay_access 2 allow redelocal
# delay_access 2 allow controle2

acl youtube_domains dstdomain .youtube.com .googlevideo.com .ytimg.com
http_access deny youtube_domains

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas

# *** Define PC(s) com privilegio total
acl admin arp "/etc/squid/admin"

# *** Define o browser Internet Explorer
acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
# *** Nega o Internet Explorer
http_access deny ie_browser !admin

# MSN Messenger

acl msn url_regex -i "/etc/squid/msn"
http_access allow msn

# acl msn urlpath_regex -i gateway.dll
# acl msnd dstdomain messenger.msn.com gateway.messenger.hotmail.com
# acl msn1 req_mime_type application/x-msn-messenger

# http_access allow msnd
# http_access allow msn
# http_access allow msn1

# Cria a acl Libera MSN
# acl LIBERA_MSN url_regex -i "/etc/squid/msn"
# http_access allow LIBERA_MSN

http_access allow localhost
http_access allow redelocal
http_access deny all

# cache deny ie_browser
half_closed_clients off
#########################################################################################

Já deu prá reparar que já fiz vários testes tentando liberar o MSN, não é??? rs...

Bom.... segue também, o que está dentro do arquivo msn, citado dentro do squid.conf:

#########################################################################################

https://Login.live.com
http://Login.live.com
https://*.contacts.msn.com
https://*.storage.msn.com
http://*.storage.msn.com
http://c.msn.com
http://*.messenger.msn.com
http://g.msn.com
http://crl.microsoft.com
http://messenger.hotmail.com:1863
http://gateway.messenger.hotmail.com
http://config.messenger.msn.com
https://ows.messenger.msn.com
https://rsi.hotmail.com
http://sqm.microsoft.com
http://*.edge.messenger.live.com
http://relay.data.edge.messenger.live.com
http://rad.msn.com
http://appdirectory.messenger.msn.com
https://images.messenger.msn.com
http://spaces.live.com
http://relay.voice.messenger.msn.com
http://sup.live.com
http://sup.live.com/whatsnew/whatsnewservice.asmx
http://vp.sip.messenger.msn.com
64.4.61.120
64.4.45.62
200.177.97.157
207.46.111.54
207.46.111.54/gateway
207.46.113.220
207.46.108.51
207.68.178.239
65.212.92.104
65.50.10.6
65.212.92.111
64.58.88.113
ADSAdClient31.dll
login.live.com
spaces.live.com
passport.com
msn.com.br
msn.com
sc.msn.com
rad.msn.com
tp.msn.com
c.msn.com
msn.be
hp.msn.com
hpc.msn.com
hm.msn.com
#
stb.msn.com
stj.msn.com
mymsn.hotmail.com
ads1.msn.com
hotmail.msn.com
storage.msn.com
st.msn.com
tp.msn.com
stc.msn.com
#
msn_messenger
config.messenger.msn.com
media.meegos.com
messenger
gateway.dll
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com
x-msn
ADSAdClient31.dll

#############################################################################################

E já que tamnho de mensagem pouca é bobagem, rss....
Segue aqui o script criado para libera e direcionar a porta 80:

#############################################################################################
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7001 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1503 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5061 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 7001 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1503 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5061 -j ACCEPT
###########################################################################################

Lembrando que todas essas portas são as utilizadas pelo Live messenger...
Um outro pequeno detalhe: tenho uma pequena regra alí, dentro do squid.conf que nega o acesso ao IE (que é o mais lento navegador que eu já utilizei...)
E também, porque a maldita telefonííííca não me dá um acesso descente de adsl, não posso liberar o youtube (ainda não estudei legal o delay_pools...:)

Bom.... quem tiver tempo e estiver a fins de tentar ajudar no problema...
Obrigado...


4. Re: Squid bloqueando msn

Guilherme
GuilhermeBR

(usa CentOS)

Enviado em 18/05/2011 - 07:58h

Apaga essa linha do seu iptables:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128


5. fiz isso, companheiro...

Luiz Marcello
l_marcce

(usa Debian)

Enviado em 18/05/2011 - 13:59h

E, antes que eu me esqueça, obrigado por responder...

Só que não rolou... o bonequinho do msn fica tonto de tanto girar e não conecta...
Fica girando, girando, girando e chega no final, dis que não consegue entrar no MSN...
Sendo que é só tirar o Proxy que entra rápido e normalmente...


6. Re: Squid bloqueando msn

Guilherme
GuilhermeBR

(usa CentOS)

Enviado em 19/05/2011 - 00:10h

Redirecione apenas a porta 80 pro Squid. Deixe seu iptables assim:

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1503 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5061 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5190 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 7001 -j ACCEPT

iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1503 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5061 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5190 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 7001 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


7. Re: Squid bloqueando msn

Luiz Marcello
l_marcce

(usa Debian)

Enviado em 19/05/2011 - 14:22h

Olá, amigo guilherme...
Fiz isso e agora minha navegação via proxy ficou ainda mais lenta...
Parece ter resolvido no MSN, mas deu encrenca na navegação pelo squid...
Alguma idéia???

E obrigado por se interessar e responder...


8. RE: Squid bloqueando msn

T3ch_Security
t3ch_security

(usa CentOS)

Enviado em 19/05/2011 - 14:56h

Seguinte aqui eu uso o Squid com proxy transparente com a seguinte ACL para liberar msn:

acl msn url_regex -i "/etc/squid/msn"
http_access allow msn

# CONTEUDO DO ARQUIVO MSN DENTRO DO DIRETORIO /etc/squid

live-update.net
msgpluslive.net
login.live.com
loginnet.passport.com
login.passport.com
nexus.passport.com
usr.microsoft.com
mscrl.microsoft.com
byrdr.omega.contacts.msn.com
local-bay.contacts.msn.com
.contacts.msn.com
accountservices.msn.com
msgr.dlservice.microsoft.com
sqm.microsoft.com
config.messenger.msn.com
svrsecure-crl.verisign.com
gateway.messenger.hotmail.com
proxy-sn.contacts.msn.com
proxy-bay.contacts.msn.com
relay.data.edge.messenger.live.com
.gateway.messenger.hotmail.com
.usr.microsoft.com
.mscrl.microsoft.com
.contacts.msn.com
.accountservices.msn.com
.msgr.dlservice.microsoft.com
.sqm.microsoft.com
.sqm.microsoft.com/sqm/messenger/sqmserver.dll
.crl.microsoft.com/pki/crl/products/microsoftrootcert.crl
.microsoft.com/pki/certs/MSNContentCA.crt
.crl.microsoft.com/pki/crl/products/MSNContentPCA.crl
.microsoft.com/pki/mscorp/Microsoft%20Secure%20Server%20Authority(8).crt
.corppki.com.br
.corppki/aia/Microsoft%20Secure%20Server%20Authority(8).crt
.crl.microsoft.com/pki/crl/products/CSPCA.crl
.evsecure-crl.verisign.com

Os usuários usam msn 2009.

Att.


9. Testando

Luiz Marcello
l_marcce

(usa Debian)

Enviado em 19/05/2011 - 19:56h

Parece que tá funcionando essa sua lista de MSN...
Vou rodar hoje e amanhã prá ver se não dá "grozoff"... rs...
Comecei um squid.conf do zero e estou colocando as ACLs uma a uma, testando cada uma delas...
Volto depois com os resultados...
Valews....


10. Re: Squid bloqueando msn

Luiz Marcello
l_marcce

(usa Debian)

Enviado em 19/05/2011 - 23:44h

Olá pessoal...
Parece ter funcionado bem o MSN, desde o momento em que refiz as modificações...
Porêm, surgiu uma duvida..
Parece que o squid não está fazendo cache corretamente...
Vejamos se estou errado...
Tenho 4 navegadores instalados no PC... IE, Chrome, Ópera e Firefox...
Para testes, configuro o Firefox para usar o proxy, o Ópera sem proxy (para navegação normal) e o chrome pega as configurações de proxy do IE...
Pois bem... se eu colocasse as configurações de proxy em todos eles, ao visitar uma mesma página em cada navegador, o squid não deveria estar com a página cacheada e abrir mais rápido em cada um deles?

Exemplo prático: naveguei com o Firefox (com proxy) em uma página do youtube...
Depois, fui no Ópera e configureio-o tb para usar o proxy...
Copiei o endereço do YouTube/Firefox e colei no Ópera...
Ao invés de carregar rapidamente (como aconteceu colando a mesma página no firefox), o Ópera também teve que carregar o arquivinho de vídeo...
E colocando, porfim, o IE e o Chrome tb para receberem o proxy, os mesmos apresentaram o mesmo procedimento...
Isso não significaria que o servidor squid não está cacheando e repassando as páginas???

E obrigado pelo auxílio que todos tem dado...
Sem palavras...


11. Re: Squid bloqueando msn

T3ch_Security
t3ch_security

(usa CentOS)

Enviado em 20/05/2011 - 10:30h

Cara dá uma olhada na configuração de cache do arquivo squid.conf, confirma se está ok.


12. Re: Squid bloqueando msn

Guilherme
GuilhermeBR

(usa CentOS)

Enviado em 20/05/2011 - 10:44h

Amigo,

Utilizando as regras de firewall que lhe passei, se faz desncessário o uso do arquivo MSN do seu Squid. Portanto, comente as seguintes linhas do seu squid.conf.

# Cria a acl Libera MSN
# acl LIBERA_MSN url_regex -i "/etc/squid/msn"
# http_access allow LIBERA_MSN

Já em relação aos videos do youtube, adicione ao seu Squid.conf:

## Cria ACL com URL
acl youtube dstdomain .youtube.com

## Libera extensão FLV
refresh_pattern -i \.flv$ 10080 90% 999999 ignore-no-cache override-expire ignore-private

## Faz o cache pra ACL
cache allow youtube

## Aumenta o tamanho de arquivos permitidos
maximum_object_size 4 GB



01 02