Squid 3.5 barrando tudo [RESOLVIDO]

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 13:33h

Olá Pessoal.
Bom, vou direto: estava utilizando o squid 2.7 como proxy e estava funcionando tranquilamente HTTP e o HTTPS eu bloqueava pelo firewall mesmo. Vi que, a partir da versão 3.2, o Squid possui suporte para HTTPS, então lá fui eu tentar atualizar. Depois que atualizei, ele barra tudo. Tirei de tudo e já tentei várias formas de tentar liberar o tráfego, mas até se eu liberar a localnet de cara, ele continua barrando, e as páginas sempre dão TIMEOUT.

Configurei assim:

# ./configure --build=i486-linux-gnu --prefix=/usr --includedir=${prefix}/include --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --libexecdir=${prefix}/lib/squid --srcdir=. --datadir=/usr/share/squid --sysconfdir=/etc/squid --mandir=/usr/share/man --with-cppunit-basedir=/usr --with-logdir=/var/log/squid --with-pidfile=/var/run/squid.pid --with-filedescriptors=65536 --with-large-files --with-default-user=proxy --enable-ssl --enable-ssl-crtd --with-openssl 

Squid.conf:

http_port 3128 intercept

http_port 8080

https_port 3130 intercept ssl-bump cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key

visible_hostname MIRACULIX



always_direct allow all

ssl_bump server-first all

sslproxy_cert_error allow all

sslproxy_flags DONT_VERIFY_PEER

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

sslcrtd_children 8 startup=1 idle=1



acl QUERY urlpath_regex cgi-bin?

no_cache deny QUERY



cache_mem 64 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 2048 16 256

cache_mgr thiago.nogueira@prestus.com.br



cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/access.log

access_log stdio:/var/log/squid/access.log squid

cache_store_log /var/log/squid/store.log

cache_swap_log /var/log/squid/swap.log

logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt



pid_filename /var/log/squid/squid.pid



refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



acl SSL_ports port 443 563

acl Safe_ports port 21 22 80 443 563 70 210 280 488 59 777 901 8080 1025-65535

acl purge method PURGE

acl CONNECT method CONNECT

acl localnet src 192.168.100.0/24



http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



acl sites_bloqueados url_regex -i "/etc/squid/sites_bloqueados.txt"

#acl liberados src "/etc/squid/ips_liberados.txt"



http_access deny sites_bloqueados

http_access allow localnet

http_access allow localhost

http_access deny all 

Firewall:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3130 

Bom, eu, particularmente, não gosto muito de ficar enchendo o saco de vocês, mas é que já tentei várias configurações diferentes e até com squid.conf.default, mas não vai de jeito nenhum, o que me leva a crer que foi configurado errado, mas, caso possam me ajudar, eu agradeço. Abraços o/

renato_pacheco
(usa Debian)

Enviado em 27/04/2015 - 15:21h

Pare seu Squid e vamos por partes:

- Seu firewall tá OK, não precisa mexer;
- Pq vc tem dois http_port? Remova o http_port 8080, não tem necessidade!
- Vc executou o comando /usr/lib/squid/ssl_crtd -s -c /var/lib/ssl_db -M 4MB? É necessário para criar a base de dados inicial. Não esqueça de colocar o diretório /var/lib/ssl_db como donos o usuário do proxy (pode ser proxy ou squid, depende da sua distro);
- Depois de tudo, execute o comando squid -k parse para verificar se existe algum erro no seu squid.conf.

Dê o seu feedback...

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 15:42h

Olá renato_pacheco,

Executei o comando /usr/lib/squid/ssl_crtd -s -c /var/lib/ssl_db -M 4MB sim e ajustei as permissões para o proxy.

O http_port 8080, eu tinha colocado por que estava dando um erro sobre porta de tráfego (que eu não lembra mais a mensagem exata), ae coloquei e a mensagem sumiu, mas já tirei.

Saída do squid -k parse:

2015/04/27 15:36:59| Startup: Initializing Authentication Schemes ...

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'basic'

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'digest'

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'negotiate'

2015/04/27 15:36:59| Startup: Initialized Authentication Scheme 'ntlm'

2015/04/27 15:36:59| Startup: Initialized Authentication.

2015/04/27 15:36:59| Processing Configuration File: /etc/squid/squid.conf (depth 0)

2015/04/27 15:36:59| Processing: http_port 3128 intercept

2015/04/27 15:36:59| Starting Authentication on port [::]:3128

2015/04/27 15:36:59| Disabling Authentication on port [::]:3128 (interception enabled)

2015/04/27 15:36:59| Processing: https_port 3130 intercept ssl-bump cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key

2015/04/27 15:36:59| Starting Authentication on port [::]:3130

2015/04/27 15:36:59| Disabling Authentication on port [::]:3130 (interception enabled)

2015/04/27 15:36:59| Processing: visible_hostname MIRACULIX

2015/04/27 15:36:59| Processing: always_direct allow all

2015/04/27 15:36:59| Processing: ssl_bump server-first all

2015/04/27 15:36:59| Processing: sslproxy_cert_error allow all

2015/04/27 15:36:59| Processing: sslproxy_flags DONT_VERIFY_PEER

2015/04/27 15:36:59| Processing: sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

2015/04/27 15:36:59| Processing: sslcrtd_children 8 startup=1 idle=1

2015/04/27 15:36:59| Processing: acl QUERY urlpath_regex cgi-bin?

2015/04/27 15:36:59| Processing: no_cache deny QUERY

2015/04/27 15:36:59| Processing: cache_mem 64 MB

2015/04/27 15:36:59| Processing: maximum_object_size_in_memory 64 KB

2015/04/27 15:36:59| Processing: maximum_object_size 512 MB

2015/04/27 15:36:59| Processing: minimum_object_size 0 KB

2015/04/27 15:36:59| Processing: cache_swap_low 90

2015/04/27 15:36:59| Processing: cache_swap_high 95

2015/04/27 15:36:59| Processing: cache_dir ufs /var/spool/squid 2048 16 256

2015/04/27 15:36:59| Processing: cache_mgr thiago.nogueira@prestus.com.br

2015/04/27 15:36:59| Processing: cache_access_log /var/log/squid/access.log

2015/04/27 15:36:59| Processing: cache_log /var/log/squid/access.log

2015/04/27 15:36:59| Processing: access_log stdio:/var/log/squid/access.log squid

2015/04/27 15:36:59| Processing: cache_store_log /var/log/squid/store.log

2015/04/27 15:36:59| Processing: cache_swap_log /var/log/squid/swap.log

2015/04/27 15:36:59| Processing: logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt

2015/04/27 15:36:59| Processing: pid_filename /var/log/squid/squid.pid

2015/04/27 15:36:59| Processing: refresh_pattern ^ftp: 15 20% 2280

2015/04/27 15:36:59| Processing: refresh_pattern ^gopher: 15 0% 2280

2015/04/27 15:36:59| Processing: refresh_pattern . 15 20% 2280

2015/04/27 15:36:59| Processing: acl SSL_ports port 443 563

2015/04/27 15:36:59| Processing: acl Safe_ports port 21 22 80 443 563 70 210 280 488 59 777 901 8080 1025-65535

2015/04/27 15:36:59| Processing: acl purge method PURGE

2015/04/27 15:36:59| Processing: acl CONNECT method CONNECT

2015/04/27 15:36:59| Processing: acl localnet src 192.168.100.0/24

2015/04/27 15:36:59| Processing: http_access allow purge localhost

2015/04/27 15:36:59| Processing: http_access deny purge

2015/04/27 15:36:59| Processing: http_access deny !Safe_ports

2015/04/27 15:36:59| Processing: http_access deny CONNECT !SSL_ports

2015/04/27 15:36:59| Processing: http_access allow localnet

2015/04/27 15:36:59| Processing: http_access allow localhost

2015/04/27 15:36:59| Processing: http_access deny all

2015/04/27 15:36:59| Initializing https proxy context

2015/04/27 15:36:59| Initializing https_port [::]:3130 SSL context

2015/04/27 15:36:59| Using certificate in /etc/squid/openssl.crt 

O tráfego continua barrado :/

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 16:21h

Estava lendo o access.log, e ele possui essa linha repetida várias vezes:
ERROR: No forward-proxy ports configured.

É a mesma linha que estava aparecendo quando eu coloquei http_port 8080 e parou de aparecer logo em seguida.

A solução apresentada aqui é configurar mais de uma porta para receber:
http://wiki.squid-cache.org/KnowledgeBase/NoForwardProxyPorts

Por isso fiz essa alteração. Vou voltá-la.

renato_pacheco
(usa Debian)

Enviado em 27/04/2015 - 16:28h

OK! Segundo passo. Vamos v as configs:

- Coloque o seu https_port assim: https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/openssl.crt key=/etc/squid/openssl.key;
- Remova o always_direct allow all, pois isto faz com q todas os pacotes não sejam analisados pelo Squid;
- Comente o http_access deny all inicialmente para vc fazer os testes. Depois vc bloqueia aos poucos.

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 16:40h

Fiz isso e tentei até jogar um http_access allow all logo depois das acl, mas não foi assim mesmo. Testando aqui, notei que, com exceção das páginas do Google (Google, Gmail, Drive), nenhuma outra abre, não importando se é por HTTP ou HTTPS. Todas dão ERR_CONNECTION_TIMED_OUT.

Será que não é configuração de instalação? Tentei com o 3.2 e deu o mesmo problema. Os únicos que consegui fazer funcionar foram o 2.7 e o 3.1, que não possuem suporte para HTTPS, mas ambos foram por apt-get :/

renato_pacheco
(usa Debian)

Enviado em 27/04/2015 - 17:04h

Então veja nos logs (access.log e cache.log) q lá deve ter alguma pista.

thinomar
(usa Linux Mint)

Enviado em 27/04/2015 - 18:08h

A coisa mais estranha que achei foi no cache.log:
commBind: Cannot bind socket FD 11 to [::]:3128: (98) Address already in use
FATAL: Unable to open HTTP Socket
Squid Cache (Version 3.5.3): Terminated abnormally.

Verifiquei pelo netstat, e só o squid que está utilizando a porta 3128. Mas notei que rodam sempre dois squids no servidor:

# ps -aux | grep squid

root     19487  0.0  0.2  16316  2476 ?        Ss   17:44   0:00 squid

proxy    19489  0.0  1.1  20932 11724 ?        S    17:44   0:00 (squid-1) 

# netstat -antp | grep 3128

tcp6       0      0 :::3128       :::*     LISTEN     19489/(squid-1) 

Vou continuar pesquisando aqui, mas aceito ajuda :D

renato_pacheco
(usa Debian)

Enviado em 28/04/2015 - 09:08h

Cara, é simples: mate todos os processos do Squid antes d subi-lo:

killall -9 squid

 

E veja os logs novamente quando estiver rodando.

thinomar
(usa Linux Mint)

Enviado em 29/04/2015 - 18:20h

O cache.log está perfeito agora, sem nenhum warning, fatal ou qualquer outro problema, mas está barrando tudo ainda. Mas tem algo que me deixou na dúvida:
A porta 3128 teria de estar reservada para IPv4, não é? Olha o que aparece quando dou netstat:

# netstat -antp | grep 3128

tcp6       0      0 :::3128     :::*         LISTEN      16159/(squid-1) 

Esse tcp6 não é do IPv6? Acho que ele está barrando tudo que mandou pra ele por que não está ouvindo IPv4, mas sim IPv6, ou posso estar errado, não sei, mas alterei:

http_port 3128 intercept 

para

http_port 192.168.100.5:3128 intercept 

Depois disso, o netstat mostra a porta liberada para ipv4 apenas, mas... continua não funcionando. Não sei mais o que fazer :/

renato_pacheco
(usa Debian)

Enviado em 29/04/2015 - 23:34h

Cara, blz, vc viu como tá no access.log? E q tipo d bloqueio aparece no navegador? É a mensagem d bloqueio do squid?

SK5_RJ
(usa Debian)

Enviado em 30/04/2015 - 11:41h

Amigos boa tarde, atualizei o server e utilizo os mesmo serviços, mas estou aproveitando o Squid.conf da versão 3.1 com pouquíssimas modificações, entretanto não inclui nada para bloquear https, tem algum problema? Pergunto, pq no momento não tenho interesse em atualizar..

Detalhe, eu tenho o dansguardian em minha rede, ou seja primeiro os passam pelo dansguardian e so depois vão para o squid, sendo assim a porta 3128 vai para o dansguardian e a Https diretamente para o squid, certo??? Claro, isto eu criei as regras no Iptables!
Abraços!!!