Squid "Bloqueando" acesso ao site da caixa.gov.br

Iniciado por Leandr0, 05 de Janeiro de 2011, 18:41

tópico anterior - próximo tópico

Leandr0

Srs. Boa Tarde!

Ao acessar o site da http://www.caixa.gov.br/ o IE e o firefox nao consegue abrir a pag por completa e ao tentar acessar o "Acesse sua conta" que fica no cabeçalho da pagina ele redireciona para o site: http://www.caixa.gov.br/_newredirect/barra/r_IBC.asp e fica carregando, carregando e nao abre.

Uso proxy transparente.

segue o squid.conf

http_port 3128 transparent
visible_hostname TIJOLO
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl msn_ips src "/etc/squid/libmsn" # # # usuarios com acesso ao msn
acl all src 172.18.20.0/24

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 8333 10000 5200
acl Safe_ports port 21 59 70 80 210 280 443 488 563 777 901 1025-65535 5200
acl purge method PURGE
acl CONNECT method CONNECT

acl msn url_regex -i "/etc/squid/msn"


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


acl maqliberada src "/etc/squid/maqliberada" # # # Usuarios com acesso FULL

acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites Bloqueados

acl extban url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads

acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas

acl sitesnocache url_regex -i "/etc/squid/sitesnocache" # liberar sites do cache
no_cache deny sitesnocache


acl redelocal src 172.18.20.0/24

http_access allow localhost
http_access allow msn_ips msn
http_access allow maqliberada !msn  
http_access allow redelocal !bloqueados !extban !palavrasproibidas
http_access deny all



quando desabilito o squid o site abre normalmente.

Alguma sugestao????

diegopsp

Você acessa a pagina por windows ou Gnu/linux ?  Porque só é possivel acessar por apenas um deles. Para mudar qual sistema usar tem que ligar para o 0800 da caixa.

agente100gelo

Leandr0,

Eu removeria os ACLs abaixo, um a um:
acl maqliberada src "/etc/squid/maqliberada" # # # Usuarios com acesso FULL

acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites Bloqueados

acl extban url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads

acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas

acl sitesnocache url_regex -i "/etc/squid/sitesnocache" # liberar sites do cache


Pode ser que uma página necessária tenha algum termo proibido.
Lembro que o Itaú tinha urls com .exe e dava problema. Pode ser algo parecido.
Advogado e analista de sistema cearense.
Twitter: @glaydson

zekkerj

CitarUso proxy transparente.
Não use... deixe o site da caixa navegar sem passar pelo proxy.

Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

#4
diegosp

Acesso por maquinas windows...

agente100gelo

A maquina que estou testando esta com acesso full atraves da config. do squid.conf (acl maqliberada src "/etc/squid/maqliberada" # # # Usuarios com acesso FULL ))

zekkerj

como ficaria a regra para nao passar pelo proxy???

zekkerj

Citarcomo ficaria a regra para nao passar pelo proxy???
Como está sua regra do iptables pra redirecionar o tráfego pro squid?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

zekkerj

Coloque esta regra antes da sua:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -d www.caixa.gov.br -j RETURN
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

apresentou a seguinte msg:

iptables v1.4.2: host/network `www.caixa.gov.br' not found
Try `iptables -h' or 'iptables --help' for more information.

como se o site estivesse fora do ar...

zekkerj

Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

Esse site da caixa hora ping hora nao....

vai entender....

Sera que por motivo de segurança é barrado o icmp?


zekkerj

Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

Segui a dica do agente100gelo e removi todas a acls e config. denovo.

porem tinha guardado as mesmas "restrições/perimissoes" em um bloco de nota, utilizei o ctrl+c - crtl + v.....

e o site acessou que uma blz,

agora ficou uma duvida no ar, mesmo que tivesse alguma restricao nas acls:

acl maqliberada src "/etc/squid/maqliberada" # # # Usuarios com acesso FULL

acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites Bloqueados
acl extban url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas
acl sitesnocache url_regex -i "/etc/squid/sitesnocache" # liberar sites do cache

Eu estava testando com uma maquina que estava listada na acl maqliberada src "/etc/squid/maqliberada"...

teria algo errado na ordem das acl`s??


acl redelocal src 172.18.20.0/24

http_access allow localhost
http_access allow msn_ips msn
http_access allow maqliberada !msn 
http_access allow redelocal !bloqueados !extban !palavrasproibidas
http_access deny all


Alguma sugestao ???

zekkerj

Provavelmente o acesso da caixa está sendo identificado na ACL "msn". Isso faria a linha de liberação das máquinas "com acesso FULL" deixar de funcionar.

Sugestão: "Lista branca".

acl listabranca url_regex "/etc/squid/listabranca"
(...)
http_access allow localhost
http_access allow msn_ips msn
http_access allow maqliberada !msn
http_access allow redelocal listabranca
http_access allow redelocal !bloqueados !extban !palavrasproibidas
http_access deny all
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

caioandrade

Amigão posso te dar uma dica?
Faz assim:
1° Volta as configurações como eram antes, depois limpa o cache do squid e da máquina que você está usando para acessar o site;
2° Verifique se nos seus arquivos de bloquear palavras ou sites tem alguma palavra parecida, depois libere o site da caixa com u, .(ponto) antes do site "O ponto significa que você está liberando o dominio";
Observação: Não deixe os arquivos que debloqueio de palavras ou sites sem nada, se não for usar comenta no squid.
É isso ai qualquer coisa posta ai o resultado.