Diferença entre servidores - Squid/conexão Exchange

aapa_05
(usa CentOS)

Enviado em 26/08/2016 - 14:14h

Boa tarde

Srs, preciso de uma ajuda.
Tenho dois servidores Linux, um Debian 8.5 e outro Centos 7 recém configurados.
Estou testando os serviços deles para depois definir qual manter em minha rede.
O estranho é o comportamento deles.
Tenho contratado o Exchange da Microsoft como serviço de e-mail.
Nas estações configuradas com o Proxy para o Debian não são bloqueadas páginas https nem o exchange.
Nas estações configuradas com o Proxy para o Centos são bloqueadas páginas https porém o exchange também é bloqueado.
O Gateway e DNSs para os dois servidores são os mesmos.
Como posso resolver essa questão?

Tem alguma dica?

Obrigado desde já

Buckminster
(usa Debian)

Enviado em 26/08/2016 - 15:17h

Perguntas que não querem calar:

Qual é o proxy que tem no Debian?

Qual é o proxy que tem no CentOS?

Esses proxies, sendo os mesmos, estão configurados exatamente da mesma maneira?

aapa_05
(usa CentOS)

Enviado em 29/08/2016 - 15:39h

Boa tarde amigo, obrigado pela ajuda

Seguem as respostas

"Qual é o proxy que tem no Debian?"
Squid3 v 3.4.8
"Qual é o proxy que tem no CentOS?"
Squid 3.3.8

"Esses proxies, sendo os mesmos, estão configurados exatamente da mesma maneira?"
Eu não cheguei a compara-los em sua totalidade.
O que de cara já é uma gigantesca diferença é na quantidade de linhas do Squid.conf do Debian (7668 linhas) contra o 82 linhas do Centos.

Buckminster
(usa Debian)

Enviado em 29/08/2016 - 23:43h

"Nas estações configuradas com o Proxy para o Debian não são bloqueadas páginas https nem o exchange.
Nas estações configuradas com o Proxy para o Centos são bloqueadas páginas https porém o exchange também é bloqueado."

Como posso resolver essa questão?

Em primeiro lugar tu deverá ver o conteúdo dos dois squid.conf, provavelmente no squid.conf do Debian as páginas https não estão com bloqueio e no CentOS estão com bloqueio.

Caso tu queira os dois proxies funcionando exatamente da mesma maneira, com os mesmos bloqueios e liberações, aconselho a copiar e colar o conteúdo de um dos proxies dentro do outro apagando o conteúdo daquele que tu não quer. E tu devera alterar a linha da tua rede local, pois os dois proxies com certeza não estão na mesma rede.
Não esqueça de fazer um backup primeiro para depois, caso der algum problema, retornar a configuração.

E tu deverá, também, verificar o arquivo de configuração do Iptables (firewall), se tiver.

Outra coisa que tu pode fazer é somente copiar e colar as linhas referentes aos bloqueios das páginas https e do exchange do proxy do CentOS para o proxy do Debian, caso tu queira bloquear.

Veja que as versões dos Squid são diferentes (Debian com Squid 3.4.8 e CentOS com Squid 3.3.8), são versões diferentes mas nem tanto assim, pois são versões próximas.

Provavelmente essa diferença de linhas se deve ao fato de que no Debian quem o configurou deve ter deixado o squid.conf original (que tem muitos comentários) e deve ter somente alterado as linhas dos parâmetros desejados, mas não posso afirmar com certeza. Somente olhando o conteúdo.
E no CentOS, devem ter apagado o conteúdo original e configuraram somente o que acharam necessário.

Quanto ao fato de qual squid.conf escolher, isso é uma coisa muito "pessoal", vamos por assim dizer, pois depende do quê tu quer bloquear e liberar na tua rede.

Caso desejar, poste aqui as primeiras 50 linhas do conteúdo do squid.conf do Debian e do CentOS para darmos uma olhada.

aapa_05
(usa CentOS)

Enviado em 30/08/2016 - 11:25h

Bom dia

Pelo que tinha pesquisado, uma das deficiências do Squid seria justamente o não bloqueio dos https, que permitiria ao usuário acessar outros proxies e burlar o squid.
Pensei então em fazer o bloqueio pelo IPTbables, que não consigo instalar no Debian, que tem o Firewalld, mas que não conheço muito bem.
Pelos problemas apresentados na instalação do IPtables no Debian, parti então para a avaliação do CentOS, que trouxe o IPtables instalado.
Acredito que as liberações do https sejam na acl “acl Safe_ports port 443 # https”, que não está comentada, e na sequência tem uma restrição “http_access deny !Safe_ports”.
Está configurado assim nos dois Squids.
Fui eu que fiz a instalação do Debian assim como do CentOS, assim como os Squids
Os squid.conf são os que vieram com a instalação, não foi feita nenhuma remoção, ou criação de um novo .conf.
Se eu listo as regras do IPtables, nenhuma regra é exibida.

Abaixo as 50 primeiras linhas:
*************** Debian **************
# WELCOME TO SQUID 3.4.8
# ----------------------------
#
# This is the documentation for the Squid configuration file.
# This documentation can also be found online at:
# http://www.squid-cache.org/Doc/config/">http://www.squid-cache.org/Doc/config/
#
# You may wish to look at the Squid home page and wiki for the
# FAQ and other documentation:
# http://www.squid-cache.org/
# http://wiki.squid-cache.org/SquidFaq
# http://wiki.squid-cache.org/ConfigExamples
#
# This documentation shows what the defaults for various directives
# happen to be. If you don't need to change the default, you should
# leave the line out of your squid.conf in most cases.
#
# In some cases "none" refers to no default setting at all,
# while in other cases it refers to the value of the option
# - the comments for that keyword indicate if this is the case.
#

# Configuration options can be included using the "include" directive.
# Include takes a list of files to include. Quoting and wildcards are
# supported.
#
# For example,
#
# include /path/to/included/file/squid.acl.config
#
# Includes can be nested up to a hard-coded depth of 16 levels.
# This arbitrary restriction is to prevent recursive include references
# from causing Squid entering an infinite loop whilst trying to load
# configuration files.
#
# Values with byte units
#
# Squid accepts size units on some size related directives. All
# such directives are documented with a default value displaying
# a unit.
#
# Units accepted by Squid are:
# bytes - byte
# KB - Kilobyte (1024 bytes)
# MB - Megabyte
# GB - Gigabyte
#
# Values with spaces, quotes, and other special characters
#
# Squid supports directive parameters with spaces, quotes, and other



**************** Centos ****************

# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl acesso_total src "/etc/squid/acesso_total"
acl acesso_restrito src "/etc/squid/acesso_restrito"
#acl liberado src "/etc/squid/liberado"
acl bloqueado url_regex -i "/etc/squid/bloqueado"

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#