SQUID bloqueia páginas HTTP em smartphone [RESOLVIDO]

servidorlinux
(usa Debian)

Enviado em 18/08/2022 - 19:20h

Olá pessoal.

Estou tendo um problema com o squid versão 4.13, que foi instalado via apt install squid. Ele está bloqueando algumas páginas http no smartphone, mas não bloqueia no notebook. O notebook está configurado o proxy no sistema para 10.0.0.1 porta 3128. No servidor está instalado o Debian 11 com duas placas de rede enps0 é 187.0.0.18/21 (ip público apenas de exemplo) e a outra placa enps1 10.0.0.1/23. O roteador wifi está configurado no modo access point, com o ip 10.0.0.2/23 e ele faz dhcp na wifi do 10.0.0.5 - 10.0.1.120. Quando tento abrir a página http://www.aids.gov.br/pt-br/profissionais-de-saude/testes-rapidos no smartphone o squid bloqueia, mostra URL inválida. Nas acl's não tem nenhuma palavra ou site bloqueando estas páginas http. Ocorre o mesmo para outras páginas http. Este problema ocorre tanto no Firefox como no Chrome. Também já limpei o cache. Por favor, o que pode estar errado? Segue os arquivos firewall.sh e squid.conf:


firewall.sh:

#!/bin/sh

### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $ifwan $iflocal $redelocal
# Required-Stop: $ifwan $iflocal $redelocal
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Firewall
# Description: Firewall dos laboratorios
#
### END INIT INFO


# Interface rede wan
ifwan="enp0s25"


# Interface rede local
iflocal="enp1s4"


# Rede Local
redelocal="10.0.0.0/23"

iniciar(){


# Compartilha a conexão:
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifwan -j MASQUERADE
echo ""
echo "Compartilhamento da internet ativado"
echo ""


# SQUID3
# Redireciona para o squid3
iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 80 -j REDIRECT --to-port 3128


# Regras basicas do firewall
iptables -A INPUT -i lo -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter


iptables -A INPUT -p tcp --dport 3128 -j ACCEPT


##################################################
# Blocked Sites
##################################################
for site in $(cat /etc/init.d/blocked-sites.txt | grep -v "#")
do
iptables -I FORWARD -p tcp -m multiport --dports 80,443 -s $redelocal -i $iflocal -m string --algo bm --string $site -j DROP
done


##################################################
# Sites permitidos
##################################################
for site in $(cat /etc/init.d/sites-permitidos.txt | grep -v "#")
do
iptables -I FORWARD -p tcp -m multiport --dports 80,443 -s $redelocal -i $iflocal -m string --algo bm --string $site -j ACCEPT
done



echo "Regras de firewall ativadas"
echo ""
}

parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "Regras de firewall e compartilhamento desativados"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo " Use os parâmetros start, stop ou restart"
esac


squid.conf:

http_port 10.0.0.1:3128

visible_hostname PROXY-ALUNOS

error_directory /usr/share/squid/errors/Portuguese


cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 6144 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl rede_local src 10.0.0.0/23

acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas.txt"
acl sites_bloqueados dstdomain "/etc/squid/sites_bloqueados.txt"
acl redes_sociais url_regex -i "/etc/squid/redes_sociais.txt"
acl ips_liberados src "/etc/squid/ips_liberados.txt"
acl sites_porno dstdomain "/etc/squid/sites_porno.txt"
acl formato_arquivo url_regex -i "/etc/squid/formato_arquivo.txt"


http_access allow ips_liberados
http_access deny palavras_bloqueadas
http_access deny sites_bloqueados
http_access deny redes_sociais
http_access deny sites_porno
http_access deny formato_arquivo

http_access allow localhost
http_access allow rede_local

http_access deny all

servidorlinux
(usa Debian)

Enviado em 22/08/2022 - 16:05h

Olá pessoal boa tarde.

Por favor, alguém saberia dizer o que pode estar acontecendo?

Desde já, agradeço a todos.

vchacal
(usa Debian)

Enviado em 22/08/2022 - 17:49h

Acho que vc tem que configurar o proxy nos celulares tmb viu.
Isso é nas opções da rede wifi, no android mesmo. Faz um teste ai ...

O redirecionamento no seu firewall força a navegação pelo proxy, então tem que configurar os clientes.
Senão vc pode configurar o proxy como transparente "intercept", mas aew não funciona com https. Ou remover a linha de redirecionamento p/ o proxy no seu firewall ... assim vc não obriga, quem estiver sem proxy navega, aew vc vai configurando os navegadores e celulares tmb.

É o que eu acho né.

servidorlinux
(usa Debian)

Enviado em 26/08/2022 - 22:59h

Olá Campacci obrigado pelo retorno.

Fiz os testes. Comentei a linha no firewall que redireciona para o Squid e configurei no Android, nas configurações da conexão da rede wifi que os alunos usam (SSID: ALUNOS), e funcionou perfeitamente sem bloquear os sites http.

Obrigado.