Problemas squid=IPtables

kalb
(usa Ubuntu)

Enviado em 29/07/2015 - 14:51h

Boa tarde Srs. estou com 1 problema estranho, de tempos em tempos perco acesso a alguns bancos e a sites especificos, como o pipedrive.com , runrun.it e tal.
O que acontece é que o pipedrive.com fica carregando eternamente e não carrega nada... os sites de banco funcionam ate a hora da autenticação deles(que ja não consigo fazer)ja que sou iniciante nessa parte, estou com as mãos amarradas, ja varri o forum atras de informações mas não encontrei nada, criei acl liberando passagem do pipedrive por fora do proxy(sem pedir autenticação) porém não solucionou, depois peguei ip do pipedrive e liberei direto no firewall, sem sucesso também, o engraçado e que as ultimas vezes que aconteceram isso, voltou a funcionar sozinho.. ja reiniciei o server, ja reiniciei apenas os serviços, ja rodei o sh do firewall inumeras vezes, porém nada de solução.

Versão do squid 2.6 stable 21
Iptables 1.3.5
Centos 5.9(final)

Se faltou alguma informação pertinente, ja envio...

kalb
(usa Ubuntu)

Enviado em 29/07/2015 - 14:55h

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95

maximum_object_size 4096 KB

# ipcache_size 1024
# ipcache_low 90
# ipcache_high 95

detect_broken_pconn on

cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /var/spool/squid 1000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
emulate_httpd_log off
debug_options ALL,1

dns_nameservers 186.225.255.249
dns_nameservers 186.225.255.250

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Servidor Proxy.Squid Casa
auth_param basic credentialsttl 8 hours

request_body_max_size 0 KB

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95

negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
range_offset_limit 0 KB
connect_timeout 2 minutes
peer_connect_timeout 30 seconds
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
client_lifetime 1 day
pconn_timeout 120 seconds
ident_timeout 10 seconds
shutdown_lifetime 30 seconds


acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

#########editado 26-02

acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 443 563
acl Safe_ports port 80 81 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http


#editado 09-01-15
acl extensoesdinamicas urlpath_regex cgi-bin \? scripts \.php$ \.asp$ \.action$ \.css$ \.dll$ \.do$ \.exe$ \.ftl$ \.js$ \.jsp$ \.lzx$ \.vm$ \.aspx$ \.aspx
no_cache deny extensoesdinamicas

acl CONNECT method CONNECT
acl rede src 192.168.7.0/255.255.255.0
acl liberado url_regex -i "/etc/squid/listas/palavra"
acl auto proxy_auth "/etc/squid/listas/auto"
acl noauto proxy_auth "/etc/squid/listas/noauto"
acl mult urlpath_regex -i .mp3$ .mov$ .avi$ .bat$ .com$ .pif$ .scr$
acl block url_regex -i "/etc/squid/listas/block"
acl google url_regex -i "/etc/squid/listas/google"
acl javab url_regex -i "/etc/squid/listas/javab"
#### CAIXA ####
acl caixa dstdomain .caixa.gov.br
http_access allow caixa
always_direct allow caixa

#### JAVA ####
#acl Java browser Java/1.4 Java/1.5 Java/1.6
#http_access allow Java
##############




acl MsnSources url_regex -i "/etc/squid/listas/msn"
acl MsnDomains dstdomain -i "/etc/squid/listas/msn"
acl MsnUrls urlpath_regex -i "/etc/squid/listas/msn"
acl MsnProgram req_mime_type application/X-msn-messenger
acl MsnManual dstdomain byrdr.omega.contacts.msn.com local-bay.contacts.msn.com byfiles.storage.msn.com akhtm.nspmotion.com blufiles.storage.msn.com www.gowindowslive.com view.atdmt.com local-sn.contacts.msn.com ec.atdmt.com tkrdr.storage.msn.com livefiles19.vo.msecnd.net www.sqm.microsoft.com sqmserver.dll switch.atdmt.com rsi.hotmail.com nspmotion.com icover.com.br rad.msn.com rmd.atdmt.com t.msn.com
acl MSNUser proxy_auth msn
http_access allow javab
http_access allow google
http_access allow MsnManual
http_access deny MSNUser !MsnSources !MsnDomains !MsnUrls !MsnProgram

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

ttp_access deny CONNECT !SSL_ports

http_access allow liberado rede
http_access allow auto rede
http_access allow noauto !block !mult rede
http_access deny rede
http_access deny all

http_reply_access allow all
icp_access allow all
reply_body_max_size 0 allow all
cache_mgr CDI

visible_hostname PROXY

#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

error_directory /usr/share/squid/errors/Portuguese
coredump_dir /var/spool/squid

kalb
(usa Ubuntu)

Enviado em 04/08/2015 - 15:04h

Ainda batendo cabeça atrás da solução, sem sucesso.

rbonfim
(usa elementary OS)

Enviado em 04/08/2015 - 15:17h

Kalb, primeiro de tudo, atualize o seu squid que esta desatualizado por demais!
Tente a seguinte diretiva no firewall:
Para endereços que rodam sobre HTTPS (port 443)

iptables -t nat -A PREROUTING -i Interface-de-rede-secundária -d site-com-problema -p tcp --dport 443 -j RETURN 

Para endereços que rodam sobre HTTP (port 80)

iptables -t nat -A PREROUTING -i Interface-de-rede-secundária -d site-com-problema -p tcp --dport 80 -j RETURN 

__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"