Proxy e sites https

[ewise]

Olá!

Estou com um problema nos acessos aos sites https. Não entra de jeito nenhum nesses sites. Abaixo segue as configurações:

Arquivo /etc/rc.local

Código Selecionar Expandir


#!/bin/sh -e

pre-up iptables -F
pre-up iptables -X
pre-up iptables -F -t nat
pre-up iptables -X -t nat
pre-up iptables -F -t filter
pre-up iptables -X -t filter

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

exit 0


Arquivo /etc/squid3/squid.conf

Código Selecionar Expandir

http_port 3128
visible_hostname mec-linux
hierarchy_stoplist cgi-bin ?
cache_mem 20 MB
cache_dir ufs /var/spool/squid3 100 16 256
cache_access_log /var/log/squid3/access.log

#ACLS
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443   # https
acl SSL_ports port 563   # snews
acl SSL_ports port 873   # rsync
acl SSL_ports port 389   # phpldapadmin
acl Safe_ports port 80                    # http
acl Safe_ports port 21                    # ftp
acl Safe_ports port 443 563               # https, snews
acl Safe_ports port 70                    # gopher
acl Safe_ports port 210                   # wais
acl Safe_ports port 1025-65535            # unregistered ports
acl Safe_ports port 280                   # http-mgmt
acl Safe_ports port 488                   # gss-http
acl Safe_ports port 591                   # filemaker
acl Safe_ports port 777                   # multiling http
acl Safe_ports port 25                    # smtp
acl Safe_ports port 110                   # pop3
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#bloqueio do MSN
acl msn dst 207.46.110.0/24 207.46.104.0/24 64.4.13.0/24
http_access deny msn
acl bloqmessenger url_regex www.e-messenger.net webmessenger.msn.com
http_access deny bloqmessenger

acl bloqueado url_regex "/etc/squid3/bloqueado"
http_access deny bloqueado


[zekkerj]

5 Motivos pra não usar proxy transparente
Veja o motivo #1.

[ewise]

Muito bom, zekkerj! Mas como remover a transparência dessa configuração?

[zekkerj]

Configure o endereço do proxy no navegador, e ele passa a funcionar.

[ewise]

Mas isso já estava configurado em todos os computadores clientes, mas mesmo assim não funciona. Já configurando o proxy no navegador do próprio servidor, funciona tudo correto, os https, sites bloqueados...

[zekkerj]

Mas isso já estava configurado em todos os computadores clientes, mas mesmo assim não funciona. Já configurando o proxy no navegador do próprio servidor, funciona tudo correto, os https, sites bloqueados...

Então vc não configurou direito. Lembrou de ativar a opção para usar o mesmo proxy para todos os protocolos?

[ewise]

Uhm realmente, zekkerj. Esqueci de ativar, coisa que eu não ia ver de jeito nenhum. Obrigado.

Outro inconveniente é que alguns sites não carrega completamente, percebi que é javascript, por exemplo, submenus, a página google imagens carrega apenas a primeira página. Já se tirar o proxy tudo funciona normal. Tem haver com o cache?

[zekkerj]

Tem sim. Limpe o cache local e mande carregar de novo.

[ewise]

Não funcionou, segue abaixo o que fiz. É estranho, muitos sites não carrega, muito perceptível nos submenus. Será que é algo na configuração do squid.conf que bloqueia uma nova chamada de navegação após o site carregado?

/etc/init.d/squid3 stop
rm -rf /var/spool/squid3
mkdir /var/spool/squid3
chown -R proxy:proxy /var/spool/squid3
squid -z
/etc/init.d/squid3 start

[zekkerj]

Os logs do squid podem dar alguma pista do problema.

/var/log/squid/access.log -> log dos acessos
/var/log/squid/cache.log -> log do funcionamento

[ewise]

Os logs não dizem nada de errado, eu acho e sem nenhum denied.. Estou sem ideia. 

[ewise]

Uhm finalmente consegui, era apenas uma palavra no arquivo de bloqueio, tirei a palavra "nu" e o javascript voltou a funcionar. 

Obrigado.