Resolvido - Squid3 dando direto "ERROR The requested URL could not be retrieved

velox256 · 15 de Junho de 2014, 19:32

Salve moçada, eu realmente procurei por aqui e nada que achei me ajudou. Estou "aprendendo" a fazer um servidor proxy para filtrar as páginas que estão sendo acessadas e nas máquinas clientes sempre aparece:

CitarO seguinte erro foi encontrado ao tentar recuperar a url tal:
Acesso negado.

A configuração de controle de acesso impede que sua reuisição seja permitida neste momento bábábá...

Já deixei o meu squid.conf "peladão" pra tentar descobrir o erro para depois ir inserindo as acls de controle, então pelo que entendi o Squid3 está funcionando e deveria estar deixando passar tudo não? Notem que a internet funciona nas máquinas clientes SEM o proxy, mas colocou o proxy (quero dizer, configurar as máquinas clientes para usá-lo) dá isso. Já tentei diversos comandos de redirecionamento de portas no iptables mas dá sempre o mesmo. Segue o squid.conf e a regra do iptables que coloquei.

Citar
iptables -A INPUT -j ACCEPT -s 192.168.254.0/24 -p tcp --dport 3128 #Rede da máquina com o proxy e internet
iptables -A INPUT -j ACCEPT -s 192.168.254.0/24 -p tcp --dport 3129 #Rede da máquina com o proxy e internet
iptables -t nat -A PREROUTING -i eth0 -s 192.168.254.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3129

Citar
Esse squid.conf é do SquidFácil que eu achei aqui mesmo no fórum.

#porta Squid onde vai trabalhar
http_port 192.168.254.1:3128
http_port 192.168.254.1:3129 intercept

#acl no_proxy dstdom_regex -i "/etc/squid3/nocache.acl"
#always_direct allow no_proxy

#Cache Dinamico
#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY

#hostname do squid
#visible_hostname

#Está porta é usada para troca de informações entre servidores proxy.
#Não use o ICP se você tem um único proxy-pai que você sempre usa.
#Para desabilitar, basta colocar um 0. Padrão: 3130
icp_port 0

#Especifica o número da porta através do qual o SquidFácil irá receber e enviar requisições HTCP de e para caches vizinhos. Para desabilitar,colocar 0. O padrão é 4827.
htcp_port 0

#acls de rede
#acl all src 0.0.0.0/0.0.0.0
#acl all src all
#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.255
#acl SSL_ports port 443 563
#acl Safe_ports port 80
#acl Safe_ports port 21
#acl Safe_ports port 443 563
#acl Safe_ports port 70 #protocolo gopher antig?o
#acl Safe_ports port 210 #whais
#acl Safe_ports port 1024-65535 #todas as outras portas
#acl Safe_ports port 280 #http-mgmt
#acl Safe_ports port 488 #gss-http
#acl Safe_ports port 591 #filemaker
#acl Safe_ports port 777 #multi http
#acl Safe_ports port 901 #acesso Swat
#acl purge method PURGE
#acl CONNECT method CONNECT
#acl block url_regex -i "/etc/squid3/block.acl"

#http_access deny block
#http_access allow localhost
#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_PORTS

#memoria reservada para o cache do total da sua maquina, e não mais.
#cache_mem 300 MB

#máximo tamanho dos arquivo cache na memoria
#maximum_object_size_in_memory 200 KB

#máximo tamanho dos arquivo cache no hd
#maximum_object_size 100 MB
#minimum_object_size 2 KB

#regra que começa a esvaziar / substituir arquivos no cache em 90%
#cache_swap_low 90
#cache_swap_high 95

# política de substituição dos objetos quando se esgota o espaço destinado ao cache em disco.
#cache_replacement_policy heap LRU
#memory_replacement_policy heap GDSF

#indicação de localização da pasta de arquivos cache e em sequência valor total em MB de #espaço no hd a ser usado pelo cache, numero de pastas, e numero de subpastas do cache.
#cache_dir ufs /var/spool/squid3 5120 16 256

#Resolve problemas com o Cache
#quick_abort_min -1 KB
#quick_abort_max 0 KB
#quick_abort_pct 100%
#ipcache_size 3072
#ipcache_low 90
#ipcache_high 93

#Algumas vezes o SquidFacil não consegue diferenciar conexões TCP totalmente fechadas e parcialmente fechadas. Mudando essa opção para off fará com que o Squid imediatamentefeche a conexão quando a leitura do socket retornar \"sem mais dados para leitura\"
half_closed_clients off

#Resolve um problema com conexões persistentes que ocorre com certos servidores,
detect_broken_pconn on

#o SquidFacil irá trabalhar com 2 requisições paralelamente
pipeline_prefetch on

#Desligando essa variável, faz com que o SquidFacil descarregue a memória não utilizada, chamando uma função interna free() do Squid
memory_pools off

#Log de Acesso
cache_access_log /var/spool/squid3/access.log
#Log do Cache
cache_store_log /var/spool/squid3/store.log

Algumas linhas do /var/spool/squid3/access.log

Citar
1402856266.566 37 192.168.2.50 NONE/409 3873 CONNECT br-mg5.mail.yahoo.com:443 - HIER_NONE/- text/html
1402856266.566 37 192.168.2.50 NONE/409 3873 CONNECT br-mg5.mail.yahoo.com:443 - HIER_NONE/- text/html
1402856266.567 0 192.168.2.50 NONE/409 3873 CONNECT br-mg5.mail.yahoo.com:443 - HIER_NONE/- text/html
1402856266.610 0 192.168.2.50 NONE/409 3873 CONNECT br-mg5.mail.yahoo.com:443 - HIER_NONE/- text/html
1402856268.997 0 192.168.254.1 TCP_MISS/403 4351 GET http://www.imdb.com/ - HIER_NONE/- text/html
1402861020.966 0 192.168.2.50 NONE/409 3849 CONNECT br.yahoo.com:443 - HIER_NONE/- text/html
1402861021.014 0 192.168.2.50 TCP_DENIED/403 6493 GET http://br.yahoo.com/ - HIER_NONE/- text/html
1402861021.065 26 192.168.2.50 NONE/409 3873 CONNECT guardiao.itau.com.br:443 - HIER_NONE/- text/html
1402861021.104 0 192.168.2.50 TCP_DENIED/403 3906 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1402861021.204 0 192.168.2.50 TCP_DENIED/403 6439 GET http://br.yahoo.com/favicon.ico - HIER_NONE/- text/html

Algumas linhas do /var/spool/squid3/store.log

Citar
1402856266.566 RELEASE -1 FFFFFFFF F8B8554CBC299EDB7ACF1D0C587DD4B4 409 1402856266 0 -1 text/html 3519/3519 CONNECT br-mg5.mail.yahoo.com:443
1402856266.566 RELEASE -1 FFFFFFFF 2DCB7C08C750F9F0E41D8423B5101D13 409 1402856266 0 -1 text/html 3519/3519 CONNECT br-mg5.mail.yahoo.com:443
1402856266.567 RELEASE -1 FFFFFFFF 471492155FAF3C6CA6957D035CE1A548 409 1402856266 0 -1 text/html 3519/3519 CONNECT br-mg5.mail.yahoo.com:443
1402856266.610 RELEASE -1 FFFFFFFF 983296BACBE1506C19CF1A4B58FD2135 409 1402856266 0 -1 text/html 3519/3519 CONNECT br-mg5.mail.yahoo.com:443

zekkerj · 16 de Junho de 2014, 00:19

O store.log é lixo. Trabalhei com squid por uns 5 anos e nunca precisei dele pra nada.

Seguinte, as saídas do "access.log" marcando "HIER_NONE" dão conta de que vc está marcado pra nunca encaminhar uma requisição direta; ao contrário, vc está aguardando que um outro proxy seja indicado pra vc conectar ("hierarquia").

Provavelmente é aquela regra "always_direct" lá em cima, que está te impedindo de fazer acessos diretos. Desative-a, se ainda não tiver feito isso.

velox256 · 16 de Junho de 2014, 06:45

Então zekkerj, a não ser que eu esteja falando besteira, praticamente todas as linhas estão comentadas para que eu possa descobrir o problema e depois ir ativando aos poucos; então elas não estão ativas no squid.conf, certo? Dei um tailf no arquivo de log e de store depois de ter desativado o iptables (sudo ufw disable) e ainda assim o bagulho não funciona, dando as mesmas indicações...

Citação de: zekkerj online 16 de Junho de 2014, 00:19
O store.log é lixo. Trabalhei com squid por uns 5 anos e nunca precisei dele pra nada.

Seguinte, as saídas do "access.log" marcando "HIER_NONE" dão conta de que vc está marcado pra nunca encaminhar uma requisição direta; ao contrário, vc está aguardando que um outro proxy seja indicado pra vc conectar ("hierarquia").

Provavelmente é aquela regra "always_direct" lá em cima, que está te impedindo de fazer acessos diretos. Desative-a, se ainda não tiver feito isso.

zekkerj · 16 de Junho de 2014, 13:07

Ainda tem alguma diretiva ativa proibindo vc de fazer acesso direto. Tem como reiniciar o squid e postar as últimas 20 linhas do arquivo /var/log/squid3/cache.log?

velox256 · 16 de Junho de 2014, 16:18

Pois é, isso que é estranho, as únicas linhas ativas (ou seja, sem o " # ") são essas:

Citar
#porta Squid onde vai trabalhar
http_port 192.168.254.1:3128
http_port 192.168.254.1:3129 intercept
#Algumas vezes o SquidFacil não consegue diferenciar conexões TCP totalmente fechadas e parcialmente fechadas. Mudando essa opção para off fará com que o Squid imediatamentefeche a conexão quando a leitura do socket retornar \"sem mais dados para leitura\"
half_closed_clients off

#Resolve um problema com conexões persistentes que ocorre com certos servidores,
detect_broken_pconn on

#o SquidFacil irá trabalhar com 2 requisições paralelamente
pipeline_prefetch on

#Desligando essa variável, faz com que o SquidFacil descarregue a memória não utilizada, chamando uma função interna free() do Squid
memory_pools off

#Log de Acesso
cache_access_log /var/spool/squid3/access.log
#Log do Cache
cache_store_log /var/spool/squid3/store.log

As linhas do cache.log que vc pediu:

Citar
2014/06/16 16:02:36| ERROR: No forward-proxy ports configured.
1402945356.129 0 192.168.1.1 TCP_MISS/403 4020 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
2014/06/16 16:02:36| ERROR: No forward-proxy ports configured.
1402945356.130 0 192.168.1.60 TCP_MISS/403 4115 GET http://www.squid-cache.org/Artwork/SN.png - HIER_DIRECT/192.168.1.1 text/html
2014/06/16 16:02:36| ERROR: No forward-proxy ports configured.
1402945356.151 0 192.168.1.60 TCP_DENIED/403 4125 GET http://www.uol.com.br/favicon.ico - HIER_NONE/- text/html

Já mudei até a regra do firewall pra ficar "peladão" também:

Citar
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

A internet nas máquinas clientes funciona sem o proxy, botou ele pra rodar, a internet para...

Tá flórida, hehehehe...

Citação de: zekkerj online 16 de Junho de 2014, 13:07
Ainda tem alguma diretiva ativa proibindo vc de fazer acesso direto. Tem como reiniciar o squid e postar as últimas 20 linhas do arquivo /var/log/squid3/cache.log?

zekkerj · 17 de Junho de 2014, 01:09

Hmmmmmm. Tente adicionar estas linhas ao arquivo de configuração.

always_direct allow all
never_direct allow none

velox256 · 21 de Junho de 2014, 11:25

Demorei mas voltei, heheheh...

Dessa vez instalei o Ubuntu 10.04 LTS e fiz funcionar sem problemas o Squid com relatório pelo Sarg, vai entender... Mas no 14.04 não vai, hehehehe...

Agora outra coisa, há algum parâmetro extra pra colocar no conf do Squid para ele não limitar a taxa de download? Fazendo testes aqui, ele está limitando a taxa de download na máquina cliente que estou testando em torno de 50-70KB/s e sem o Squid vai no talo da conexão, que é de 15MB.

Citação de: zekkerj online 17 de Junho de 2014, 01:09
Hmmmmmm. Tente adicionar estas linhas ao arquivo de configuração.

always_direct allow all
never_direct allow none

zekkerj · 22 de Junho de 2014, 01:25

Má idéia voltar ao 10.04. Melhor seria tentar uma compilação alterada do squid, ou mesmo instalar o squid a partir dos fontes.

velox256 · 22 de Junho de 2014, 10:07

Consegui fazer o bagulho rodar no 14.04, o problema de limite de taxa de download era pq a placa de rede apontada para redirecionamento estava errada. Agora tá tudo bonitão, heheheh...

Citação de: zekkerj online 22 de Junho de 2014, 01:25
Má idéia voltar ao 10.04. Melhor seria tentar uma compilação alterada do squid, ou mesmo instalar o squid a partir dos fontes.

Ivan Garcia · 30 de Junho de 2014, 12:05

velox256 posta aí como vc fez para funcionar no 14.04, eu estou com o mesmo problema.

velox256 · 10 de Julho de 2014, 20:21

O quê vc não está conseguindo fazer? Posta aí o seu cenário de rede. O seu Squid não está "squidando"?

Citação de: Ivan Garcia online 30 de Junho de 2014, 12:05
velox256 posta aí como vc fez para funcionar no 14.04, eu estou com o mesmo problema.