Squid e Yahoo

Rodolfo_Machado
(usa Debian)

Enviado em 21/02/2013 - 10:05h

Squid e Yahoo
Amigos, tenho um servidor Debian rodando o Squid, porem o mesmo esta impedindo o Yahoo de abrir corretamente, alguns usuários com permissão de acesso não acessam o email do Yahho, e o site demora muito a abrir e quando abre esta todo desconfigurado.

O aceso pelo Squid é simples, tem uma faixa de IP com acesso irrestrito, os demais tem uma lista de sites permitidos, mas mesmo a faixa de IP com acesso irrestrito tem problemas com o Yahho, segue o squid.conf:

http_port 3128 transparent

visible_hostname Servidor-UPA-Debian-Linux



cache_mem 32 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 1024 MB

minimum_object_size 0 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 2048 16 256

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



acl all src 0.0.0.0/0.0.0.0

#acl redelocal src 192.168.2.0/24



acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # SWAT

acl purge method PURGE

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



#http_access allow redelocal





acl permitidos src 192.168.2.1-192.168.2.6

acl sites dstdomain "/etc/squid/permitidos"



http_access allow permitidos

http_access allow sites



http_access deny all 

 

phrich
(usa Slackware)

Enviado em 21/02/2013 - 11:13h

Utilize:

tail -f /var/log/squid3/access.log | grep host_origem | grep -i denied

E veja o que está sendo bloqueado, pois o yahoo busca as imagens e css de outras urls...

Rodolfo_Machado
(usa Debian)

Enviado em 21/02/2013 - 14:02h

Executei tail -f /var/log/squid/access.log | grep 192.168.2.1 | grep -i TCP_DENIED mas não retornou nada, alem do Yahoo o portal R7 também da problema.
Vi na internet pessoas com o mesmo problema, inclusive com sugestão de liberar, no caso do Yahoo, o dominio yimg.com, mas se for esse o caso,como fazer, porque o Yahoo é para ser liberado somente para os usuários na faixa de IP liberado, os demais não, então tem jeito de liberar por uma acl dentro do squid.conf este dominio somente para a faixa de IP liberado?

Rodolfo_Machado
(usa Debian)

Enviado em 22/02/2013 - 12:45h

Fazendo outra pergunta, o que pode fazer o squid bloquear ou desconfigurar sites ou dominios que a principio estão liberados?

phrich
(usa Slackware)

Enviado em 25/02/2013 - 14:46h

Cara, como eu disse, muitos sites buscam css e imagens de outros domínios para compor o site...

Para vc liberar para alguns e outros não basta vc negar o acesso para quem não pode e liberar para quem pode, por exemplo:

acl yahoo dstdomain yahoo.com
acl liberados src 10.0.0.10
acl negados src 10.0.0.11

http_access deny yahoo !liberados
http_access allow liberados
http_access allow negados

Só fique atento a ordem, pois o squid lê de cima para baixo e quando acha alguma regra, ele "para" naquela regra...

Rodolfo_Machado
(usa Debian)

Enviado em 26/02/2013 - 14:10h

Alguns resultado de tail -f /var/log/squid/access.log | grep 192.168.2.2 para tentativa de acessar o Yahoo, sendo 192.168.2.2 um IP sem restrição de acesso.

1361897372.150 62 192.168.2.2 TCP_MISS/200 10687 GET http://l1.yimg.com/dh/ap/default/130226/0226_papa_nomea____o_tab.jpg - DIRECT/200.152.174.74 image/jpeg
1361897382.428 341 192.168.2.2 TCP_MISS/200 13138 GET http://l1.yimg.com/dh/ap/default/130225/fantastico.jpg - DIRECT/200.152.174.73 image/jpeg
1361897392.195 110 192.168.2.2 TCP_MISS/200 21390 GET http://l1.yimg.com/dh/ap/default/130226/torcidacorinthians_392_maurohoritaagifae.jpg - DIRECT/200.152.174.73 image/jpeg
1361897402.251 152 192.168.2.2 TCP_MISS/200 12178 GET http://l1.yimg.com/dh/ap/default/130225/brigaMEDIO.jpg - DIRECT/200.152.174.74 image/jpeg

1361897465.951 410 192.168.2.2 TCP_MISS/200 576 GET http://tr.adinterax.com/tr/yahoo_latam%2Chome%2FBR_Ford%2F530027551_022613_FPAD_Ford_BR%2CC%3DFORD_5... - DIRECT/98.139.200.238 image/gif

1361897469.677 0 192.168.2.2 TCP_HIT/200 3123 GET http://ads.yldmgrimg.net/apex/template/a_081610.js - NONE/- text/javascript

1361897614.739 175 192.168.2.2 TCP_MISS/200 11677 GET http://ads.yldmgrimg.net/apex/mediastore/bffa9c71-a10b-417e-93f3-d100e3de7153 - DIRECT/201.48.154.9 image/jpeg

1361897614.864 58 192.168.2.2 TCP_MISS/200 474 GET http://b.scorecardresearch.com/p? - DIRECT/201.48.154.25 image/gif

1361897615.013 452 192.168.2.2 TCP_MISS/302 853 GET http://ia.nspmotion.com/tracking/? - DIRECT/65.99.198.181 text/html

Caro phrich,segui sua sugestão, alterei o squid.conf:

http_port 3128 transparent
visible_hostname Servidor-UPA-Debian-Linux

cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
#acl redelocal src 192.168.2.0/24

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#http_access allow redelocal

acl yahoo dstdomain .yahoo.com .yimg.com .adinterax.com .yldmgrimg.net .scorecardresearch.com .nspmotion.com .beap.bc.yahoo.com

acl permitidos src 192.168.2.1-192.168.2.6
acl permitidos2 src 192.168.2.7-192.168.2.10
acl permitidos3 dstdomain "/etc/squid/permitidos2"
acl sites dstdomain "/etc/squid/permitidos"

http_access deny yahoo !permitidos

http_access allow permitidos
http_access allow permitidos2 permitidos3
http_access allow sites

http_access deny all

Mas não surtiu efeito algum,continua demorando para abrir e, quando abre, abre tudo desconfigurado.

phrich
(usa Slackware)

Enviado em 27/02/2013 - 14:08h

tente assim:

acl yahoo url_regex -i .yahoo.com*
acl permitidos src 192.168.2.1-192.168.2.6
acl permitidos2 src 192.168.2.7-192.168.2.10
acl permitidos3 dstdomain "/etc/squid/permitidos2"
acl sites dstdomain "/etc/squid/permitidos"

http_access deny yahoo !permitidos

http_access allow permitidos
http_access allow permitidos2 permitidos3
http_access allow sites

http_access deny all

vitorioluis
(usa Debian)

Enviado em 27/02/2013 - 17:59h

Eu ja tive esse problema. Tem haver com uma extensão de arquivo que ele precisa fazer download.

Rodolfo_Machado
(usa Debian)

Enviado em 28/02/2013 - 13:51h

Caro phrich, segui sua nova sugestão,mas mesmo assim continua na mesma,abriu até mais rápido, mas ainda tudo desconfigurado, troquei a linha no squid.conf:

acl yahoo dstdomain .yahoo.com .yimg.com .adinterax.com .yldmgrimg.net .scorecardresearch.com .nspmotion.com .beap.bc.yahoo.com

por
acl yahoo url_regex -i

Tentei também
acl yahoo url_regex -i .yahoo.com* .yimg.com* .adinterax.com* .yldmgrimg.net* .scorecardresearch.com* .nspmotion.com* .beap.bc.yahoo.com*

Mas continua abrindo tudo desconfigurado, este parece ser um problema bem resistente, quanto a sugestão do amigo vitorioluis, poderia ser mais especifica, qual é este arquivo ou extensão e qual o procedimento a ser seguido?

vitorioluis
(usa Debian)

Enviado em 28/02/2013 - 15:23h

Procedimento que realizei e deu certo:

1 - Limpar os arquivos temporários do navegador, cookies etc...
2 - Abrir a pasta dos temporários em computador que tem acesso total e que esteja carregando perfeitamente o yahoo.
3 - Acessar o site do yahoo e ver qual arquivo ele baixa.
4 - liberar a extensão deste arquivo no proxy.

Lembrando que tem que ser realizado em um pc que esta acessando normalmente.

phrich
(usa Slackware)

Enviado em 28/02/2013 - 16:29h

Cara, faça novamente o tail:

tail -f /var/log/squid3/access.log | grep ip_origem | grep -i denied

Acesse o site do yahoo e post a saida aqui...

Rodolfo_Machado
(usa Debian)

Enviado em 01/03/2013 - 13:58h

Apareceu somente este link:

tail -f /var/log/squid/access.log | grep 192.168.2.2 | grep -i denied

1362156622.533 0 192.168.2.22 TCP_DENIED/403 1580 GET http://update.uniblue.com/sp/version.txt? - NONE/- text/html