Liberação do site TCE MG no squid3

aironzimerer
(usa Ubuntu)

Enviado em 10/08/2015 - 15:11h

Boa tarde pessoal, estou com um problema na minha rede. Usamos o squid3 transparente e estamos rodando ele normalmente porém quando acesso esse seguinte link https://madagascar.tce.mg.gov.br:8443/sgiPortal/web/login.jsf o proxy recusa a conexão e o erro que me retorna vai depender do navegador que estou usando. Lembrando que o meu proxy já está configurado para aceitar sites https. Já procurei solução para esse problema em vários fóruns e em nenhum deles eu achei e minha última alternativa foi criar este tópico.

Segue meu squid. conf

http_port 3128
#Recomendamos que voce use as duas linhas seguintes
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY


# Cache de memória
cache_mem 200 MB

# TAG: cache_swap_low (percentual, 0-100)
# TAG: cache_swap_high (percentual, 0-100)
cache_swap_low 80
cache_swap_high 85

# Permite guardar no cache arquivos de atualizacao
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims

# TAG: maximum_object_size (bytes)
maximum_object_size 1024 MB

# TAG: minimum_object_size (bytes)
minimum_object_size 0 KB

# TAG: maximum_object_size_in_memory (bytes)
maximum_object_size_in_memory 64 KB


# TAG: cache_replacement_policy
cache_replacement_policy lru

# TAG: memory_replacement_policy
memory_replacement_policy lru


# TAG: cache_dir
cache_dir ufs /var/spool/squid 4096 32 512

# TAG: pid_filename
pid_filename /var/log/squid/squid.pid

access_log /var/log/squid/access.log

acl acesso_direto url_regex -i "/etc/squid/bloqueados/direto.txt"
http_access allow acesso_direto

#acl msn url_regex -i "/etc/squid/sites/msn"
#http_access deny !acesso_total msn



# TAG: auth_param
#Recommended minimum configuration:
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 10 second
auth_param basic realm SAAE-GV - Sistema de Acesso a Internet - Digite seu Login e Senha


# TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320


############## Recommended minimum configuration #############################

#acl todos src 0.0.0.0/0
acl manager proto cache_object
acl redelocal src 192.168.1.0/24
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 21 22 23 443 563 70 210 1025-65535
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 8443 # TCE
acl Safe_ports port 407 # msn
acl CONNECT method CONNECT

http_access deny manager
http_access allow manager localhost
http_access deny CONNECT !SSL_ports



################################## SAAE ###########################################

acl receita dstdomain "/etc/squid3/bloqueados/receita"
#acl receita1 url_regex -i "/etc/squid3/bloqueados/receita1"
acl palavrasbloqueadas url_regex -i "/etc/squid/bloqueados/bloqueados.txt"
acl palavrasliberadas url_regex -i "/etc/squid/bloqueados/liberados.txt"
acl bloquearmsn url_regex -i "/etc/squid/bloqueados/msn.txt"
acl palavraspesadas url_regex -i "/etc/squid/bloqueados/pesado.txt"

#acl msnaccess url_regex -i "/etc/squid/bloqueados/msnaccess.txt"

acl sites_liberados dstdomain -i "/etc/squid/bloqueados/sites_liberados.txt"
acl site_interno dstdomain -i "/etc/squid/bloqueados/site_interno.txt"
acl atendimentopub dstdomain -i "/etc/squid/bloqueados/atendimento.txt"

################## REDIRECIONAMENTO PARA O SITE DO SAAE ##########################

acl TIMER_SQUID dstdomain .saaegoval.com.br
http_access allow TIMER_SQUID

error_directory /usr/share/squid/errors/pt-br



####################### Acesso via autenticacao #################################################

external_acl_type NT_global_group children=10 %LOGIN /usr/lib/squid/wbinfo_group.pl

acl sembloqueio external NT_global_group irrestrito
acl liberado external NT_global_group Released
acl cominternet external NT_global_group internet
acl acesso-msn external NT_global_group msn
acl velox external NT_global_group ummega
acl starone external NT_global_group extreme
acl bloqueiopesado external NT_global_group heavyblock
acl users_restritos external NT_global_group Restritos
acl 2via external NT_global_group 115
acl nolimits external NT_global_group limits
acl atendpub external NT_global_group atendimento
acl lentox external NT_global_group 300k

#Receita Federal NFe
http_access allow receita
#http_access allow receita1
#Fim Receita Federal NFe

http_access allow liberado
http_access allow lentox
http_access deny bloquearmsn !acesso-msn
http_access allow palavrasliberadas
http_access deny palavraspesadas
http_access deny palavrasbloqueadas
http_access allow cominternet !bloquearmsn !palavrasbloqueadas
#http_access allow msnaccess
http_access allow acesso-msn
http_access allow sembloqueio
#http_access allow acesso-msn !msnaccess
http_access allow nolimits !palavrasbloqueadas
http_access deny users_restritos !sites_liberados
http_access deny 2via !site_interno
http_access allow bloqueiopesado
http_access allow velox !bloquearmsn !palavrasbloqueadas
http_access allow starone !bloquearmsn !palavrasbloqueadas
http_access allow atendimentopub
http_access deny atendpub !atendimentopub
http_access deny all


# TAG: http_reply_access
#Default:
# http_reply_access allow all
http_reply_access allow all
#Default:
# icp_access deny all
#Allow ICP queries from everyone
icp_access allow all


# TAG: visible_hostname
#Default:
visible_hostname spd@saaegoval.com.br

#Controle de Banda

delay_pools 7
delay_class 1 2
delay_parameters 1 500000/500000 500000/500000
delay_access 1 allow cominternet

delay_class 2 2
delay_parameters 2 300000/300000 300000/300000
delay_access 2 allow velox

delay_class 3 2
delay_parameters 3 21000/21000 21000/21000
delay_access 3 allow sembloqueio

delay_class 4 2
delay_parameters 4 4000/4000 4000/4000
delay_access 4 allow starone

delay_class 5 2
delay_parameters 5 -1/-1 -1/-1
#delay_parameters 5 84000/84000 84000/84000
delay_access 5 allow nolimits

delay_class 6 2
delay_parameters 6 500000/500000 500000/500000
delay_access 6 allow liberado

delay_class 7 2
delay_parameters 7 35000/35000 35000/35000
delay_access 7 allow lentox


#Default:
# relaxed_header_parser on

cache_effective_group users

rbonfim
(usa elementary OS)

Enviado em 10/08/2015 - 15:18h

Uma solução é forçar o site a não passar pelo proxy, adicionando uma diretiva ao seu script de firewall:

iptables -t nat -A PREROUTING -i eth1 -d https://madagascar.tce.mg.gov.br -p tcp --dport 8443 -j RETURN 

Verifique se funciona e poste o resultado!
__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

aironzimerer
(usa Ubuntu)

Enviado em 10/08/2015 - 15:24h

Depois que digitei o comando que você me passou retornou o seguinte erro:
invalid mask 'madagascar.tce.mg.gov.br' specified
Try 'iptables -h' or 'iptables --help' for more information.

Será que devo colocar o endereço completo?

Agradeço por sua ajuda.

Buckminster
(usa Debian)

Enviado em 10/08/2015 - 15:29h

Se o problema é no proxy, cria uma ACL para liberar o endereço https://madagascar.tce.mg.gov.br:8443/sgiPortal/web/login.jsf

renato_pacheco
(usa Debian)

Enviado em 10/08/2015 - 16:19h

O comando tá correto, exceto o endereço fornecido. O certo é:

iptables -t nat -A PREROUTING -i eth1 -d madagascar.tce.mg.gov.br -p tcp --dport 8443 -j RETURN

 

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

rbonfim
(usa elementary OS)

Enviado em 10/08/2015 - 23:55h

aironzimerer,
Perdão pela sintaxe errada! Mas acredito que com a correçao do Renato Pacheco dê certo!

Renato,
Valeu a correção meu velho!
__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"

aironzimerer
(usa Ubuntu)

Enviado em 11/08/2015 - 07:28h

Bom dia renato_pacheco,
Realizei os comandos que você passou e ele não me retornou nenhum erro e mesmo assim não consigo entrar nesse site utilizando o proxy, estou utilizando o navegador Opera e adicionei o site como excessão do proxy nas configurações do navegador, o erro que me retorna é o seguinte

"Esta página da Web não está disponível

A página da Web em https://madagascar.tce.mg.gov.br:8443/sgiPortal/web/login.jsf pode estar temporariamente inoperante ou ter sido movida permanentemente para um novo endereço da Web."

Porém se eu coloco meu ip novamente no PFSense, dessa maneira eu não utilizo proxy e consigo entrar nesse site normalmente. Antes de terminar gostaria de deixar claro que já testei com outros navegadores e também sem sucesso.

Será que tenho que criar alguma regra no PFSense também?
Obrigado pelas respostas até agora. Abraço.

renato_pacheco
(usa Debian)

Enviado em 11/08/2015 - 08:44h

Pera! Percebi q vc não tá usando proxy transparente, portanto, essas regras q t foram passadas no iptables não vai funcionar. Existem certos sites q não tratam requisições de autenticação e, quando acontece, eu abro uma exceção no proxy mesmo, utilizando uma ACL e liberando assim:

acl excecao site_excecao.com.br

always_direct allow excecao

 

E libero no firewall a saída dessa conexão:

iptables -I FORWARD -d site_excecao.com.br -j ACCEPT

iptables -I FORWARD -s site_excecao.com.br -j ACCEPT

 

Se vc quiser restringir mais, vc pode colocar mais parâmetros nos comandos do iptables.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

aironzimerer
(usa Ubuntu)

Enviado em 11/08/2015 - 11:36h

[quote]renato_pacheco escreveu:

Pera! Percebi q vc não tá usando proxy transparente, portanto, essas regras q t foram passadas no iptables não vai funcionar. Existem certos sites q não tratam requisições de autenticação e, quando acontece, eu abro uma exceção no proxy mesmo, utilizando uma ACL e liberando assim:

acl excecao site_excecao.com.br

always_direct allow excecao

 

E libero no firewall a saída dessa conexão:

iptables -I FORWARD -d site_excecao.com.br -j ACCEPT

iptables -I FORWARD -s site_excecao.com.br -j ACCEPT

 

Se vc quiser restringir mais, vc pode colocar mais parâmetros nos comandos do iptables.

----------------------------------------------------------------------------------------------------------------------------------------------------

Nesse caso eu devo criar a seguinte acl:

acl tce madagascar.tce.mg.gov.br

always_direct allow tce

 

Tentei dessa forma e não tive sucesso. Agradeço a paciência, ainda sou novato e estou aprendendo rsrs
Abraço.

renato_pacheco
(usa Debian)

Enviado em 11/08/2015 - 13:28h

Mas vc liberou no seu firewall?

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

aironzimerer
(usa Ubuntu)

Enviado em 13/08/2015 - 07:01h

Tentei de várias formas e vou continuar tentando.
Obrigado pela ajuda de todos.
Se caso eu achar a resposta para esse problema pode ter certeza que vou postar aqui a solução.
Abraços.