squid + conectividade social [RESOLVIDO]

allandenibr
(usa Debian)

Enviado em 02/12/2010 - 12:43h

Caros estou com o seguinte problema.

Ao acessar o site da caixa.gov.br no endereço cmt.caixa.gov.br me da o seguinte erro "não possivel efetuar a troca de chave"

Me informaram que o site cmt.caixa.gov.br não pode passar por proxy. Na minha estrutura tenho somente o squid compartilhando as conexões não tenho IPTABLES.

Alguém ja viu algo similar? pode me ajudar
??

segue o arquivo squid.conf para entender as alterações que efetuei

acl conectividade src "/etc/squid/bloqueados/conectividade.txt contem os ips da caixa destinado ao conectiva
acl conectividade1 dstdomain "/etc/squid/bloqueados/conectividade1.txt contem o endereço cmt.caixa.gov.br

#-----------------------------#
#SQUID - PROXY SERVER - V2.0 #
#APAE - TERESINA - PIAUI #
#ALLAN DENI VIEIRA DE SA #
#UBUNTU SERVER 10.4TL #
#-----------------------------#

#--------------------------------------#
# Define a porta do Squid #
#--------------------------------------#
http_port 192.168.0.2:3128

#--------------------------------------#
# Hostname da Maquina #
#--------------------------------------#
visible_hostname APAE

#---------------------------------------------------#
#porcentagem na qual comeca o esvaziamento do cache #
#---------------------------------------------------#
cache_swap_low 90

#------------------------------------------#
# A limite do consumo do cache #
#------------------------------------------#
cache_swap_high 95

#------------------------------------------#
# Especifica o cache em disco #
#------------------------------------------#
cache_dir ufs /var/spool/squid 128 16 256

#------------------------------------------#
# Diretorio onde fica as mensagem de Erros #
#------------------------------------------#
#error_director

#------------------------------------------#
# Autenticacao #
#------------------------------------------#
#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd/passwd
#auth_param basic children 5
#auth_param basic credentialsttl 2 hours
#auth_param basic realm WebServer APAE - UNIDADE PIÇARRA - TERESINA - PIAUI
#auth_param basic casesensitive off
#acl proxynet proxy_auth REQUIRED

#------------------------------------------#
# Especifica o log do sistema #
#------------------------------------------#
cache_access_log /var/log/squid/access.log

#------------------------------------------#
# Proxy Transparente #
#------------------------------------------#
#httpd_accel_port 80
#httpd_accel_host virtual
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

#------------------------------------------#
# Refresh #
#------------------------------------------#
refresh_pattern ^Ftp 1440 20% 10080
refresh_pattern ^gopher 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
shutdown_lifetime 5 seconds

#------------------------------------------------#
# Regras ACL #
#------------------------------------------------#
# Libera o Squid para ser utilizado por todos IP #
#------------------------------------------------#
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl redelocal src 192.168.0.0/16

#-------------------------------------------------#
# ACL PARA LIBERAR O SITE DA CAIXA #
#-------------------------------------------------#
acl conectividade src "/etc/squid/bloqueados/conectividade.txt
acl conectividade1 dstdomain "/etc/squid/bloqueados/conectividade1.txt

#-------------------------------------------------#
# ACL Exclusiva para bloquear sites #
#-------------------------------------------------#
acl proibidos url_regex -i "/etc/squid/bloqueados/sites.txt"
acl permitidos src "/etc/squid/bloqueados/permitidos.txt"

#------------------------------------------------#
# Portas de Acesso #
#------------------------------------------------#
acl ssl_ports port 443 563 # https snews
acl ssl_ports port 873 # rsync
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 563 # https snews
acl safe_ports port 70 # gopher
acl safe_ports port 210 # wais
acl safe_ports port 1025-65535 # unregistered ports
acl safe_ports port 280 # http-mgmt
acl safe_ports port 488 # gss-http
acl safe_ports port 591 # filemaker
acl safe_ports port 777 # multiling http
acl safe_ports port 631 # cups
acl safe_ports port 873 # rsync
acl safe_ports port 901 # swat
acl safe_ports port 1000 # WebMin
acl purge method purge
acl connect method connect

#---------------------------------------------------#
# Regras basica para o gerenciamento do proxy #
#---------------------------------------------------#
http_access allow conectividade all
http_access allow conectividade1 all
http_access deny proibidos
http_access allow permitidos
#http_access allow proxynet
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

#---------------------------------------------------#
# Libera a rede Local e Bloqueia #
#---------------------------------------------------#
http_access allow redelocal
http_access deny all

#---------------------------------------------------#
# Proibe o acesso fora das portas listadas #
#---------------------------------------------------#
http_access deny safe_ports
http_access deny connect ssl_ports

fs.schmidt
(usa CentOS)

Enviado em 02/12/2010 - 19:27h

Olá amigo, você não está utilizando proxy transprante , certo? Está tendo que marcar o servidor proxy nas configurações do navegador?

Coloque o endereço que te informaram na relação de sites que não devem passar pelo proxy.

allandenibr
(usa Debian)

Enviado em 02/12/2010 - 20:02h

Não estou utilizando proxy transparente, tenho que assumir as configurações em todas maquinas no seus navegadores.

Mas não entendi bem seu procedimento.

Poderia me esclarecer melhor

Abraços.

fs.schmidt
(usa CentOS)

Enviado em 02/12/2010 - 20:17h

Por exemplo, no internet explorer onde você define o ip do servidor proxy e a porta, clique em avançado e tem um campo para marcar endereços que não se deve utilizar proxy, tente colocar cmt.caixa.gov.br.

allandenibr
(usa Debian)

Enviado em 02/12/2010 - 20:21h

Feito esse procedimento.

E nada resolvido.

anonymous
(usa Debian)

Enviado em 02/12/2010 - 20:57h

allandenibr,

Sinceramente, nunca usei o cmt sem iptables.
Mas tenta o seguinte,
No squid.conf
acl sitefree dstdomain .caixa.gov.br
http_access allow sitefree

Se não funcionar configura o proxy na propriedade do java

Painel de controle -> Java -> General -> Network Settings

allandenibr
(usa Debian)

Enviado em 02/12/2010 - 21:02h

Ei você pode me add no msn? allandenibr@hotmail.com

Para que possa esclarecer algumas coisas

allandenibr
(usa Debian)

Enviado em 02/12/2010 - 21:13h

Feito o Procedimento e o mesmo da o seguinte erro

"NÃO POSSIVEL TROCAR DE CHAVE."

fs.schmidt
(usa CentOS)

Enviado em 02/12/2010 - 21:58h

Sim, eu tb nunca tinha feito sem o uso do proxy transparente, onde marquei no iptables para o endereço da caixa não ser direcionado para o squid.

Amigo, procure o manual de acesso ao conectividade no site da caixa, lá tem todos os endereços que você deve liberar para acesso ao sistema.

allandenibr
(usa Debian)

Enviado em 03/12/2010 - 10:17h

#!/bin/bash

# Inicio do Firewall

# Limpa as tabelas do firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# Carrega modulos do iptables
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp

# Libera a rede com nat, fazendo kernel compartilhar a conexão
echo "1" > /proc/sys/net/ipv4/ip_forward

# Libera a passagem de pacotes para a faixa de IPs internos
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

# Libera o NAT para os IPs internos, nas 2 placas de rede
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

# Proxy Transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Libera Conectividade Social
iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -I FORWARD -p tcp -d 200.201.160/20 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.201.160/20 -j ACCEPT
iptables= "/sbin/iptables"

case "$1" in


start)

echo -e 'Firewall Pessoal Iniciado ..\n'
;;

stop)

echo -e 'Parando Firewall Pessoal ..\n'

# Limpando regras
iptables -F

;;

restart)

echo -e 'Reiniciando Firewall Pessoal, aguarde ..\n'

$0 stop
sleep 2
$0 start
;;

*)
echo "Sintaxe: $0 [ start | stop | restart ]"
;;

esac


não deu certo

allandenibr
(usa Debian)

Enviado em 04/12/2010 - 17:15h

Consegui resolver... esse problema porquê fui entender a regra do firewall e notifiquei que jamais ia salvar as informações sendo que ela somente resetava o firewall ...

ANONYMOUS consegui cara resolver essa parada... conectividade rolando em proxy transparente.

Abraços. valeu pela ajuda galera.