Fórum Ubuntu Linux - PT
Suporte Técnico => Servidores => Tópico iniciado por: DBZKakaroto em 18 de Agosto de 2014, 17:25
-
Olá a todos, esse é meu primeiro post!
Meu ambiente: Ubuntu server 13.10 64 bits, Squid 3.3.3 Instalado a partir do fonte (Compilado) rodando com autenticação no AD Windows Server 2012 (redondo sem problemas) e com a opção de certificado SSl (para interceptar pacotes HTTPS, também rodando com 1 problema somente)
Problema: Não consigo fazer login no site da UOL (email.uol.com.br) e o email aqui da empresa é da uol. No caso o empresa@uol.com.br não entra no site, e os webmails (webmail.empresa.com.br) eu logo com qualquer email normalmente.
e se eu tirar a parte que faz certificado SSL do meu squid eu logo normalmente no UOL.
squid.log com SSL(não entra no email e no browse não aparece nenhuma mensagem de erro, simplesmente não loga):
2014-08-18 17:19:50 192.168.0.19 joaoantonio TCP_MISS/200 GET http://pagead2.googlesyndication.com/activeview?
2014-08-18 17:19:53 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:19:53 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:19:54 192.168.0.19 joaoantonio NONE/200 CONNECT acesso.uol.com.br:443
2014-08-18 17:19:54 192.168.0.19 joaoantonio TCP_MISS/200 POST https://acesso.uol.com.br/login.html?
squid.log sem SSL(loga normalmente):
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 joaoantonio TCP_MISS/200 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 GET http://mail.uol.com.br/login/doorway?
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 GET http://mail.uol.com.br/login/doorway?
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
2014-08-18 17:21:28 192.168.0.19 joaoantonio TCP_MISS/200 CONNECT acesso.uol.com.br:443
Outros sites de email como Hotmail e Gmail funcionam normalmente.
Alguém já viu algo parecido?
obs trecho do squid.conf que tem o certificado SSl
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl_cert/empresa.pem
always_direct allow all
ssl_bump server-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
acl BadSite ssl_error X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY
acl BadSite ssl_error X509_V_ERR_CERT_UNTRUSTED
acl BadSite ssl_error X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE
sslproxy_cert_error allow BadSite
sslcrtd_program /usr/lib/squid3/ssl_crtd -s /etc/squid3/ssl_cert/ssl_db -M 4MB
sslcrtd_children 5
-
Está usando proxy transparente? Todos nós sabemos que não dá para redirecionar o HTTPS transparentemente sem um certificado SSL válido.
-
Ubuntu server 13.10 64 bits
Sugiro fortemente que vc atualize seu servidor. O Ubuntu 13.10 Saucy vai perder suporte logo, logo.
2014-08-18 17:21:27 192.168.0.19 - TCP_DENIED/407 CONNECT acesso.uol.com.br:443
Esses erros são relativos a pedidos de autenticação do próprio Squid.
Considerando que vc está usando autenticação no proxy e HTTPS, suponho que não está fazendo squid transparente, está?
-
Está usando proxy transparente? Todos nós sabemos que não dá para redirecionar o HTTPS transparentemente sem um certificado SSL válido.
Verdade, todos nós sabemos.
Esses erros são relativos a pedidos de autenticação do próprio Squid.
Considerando que vc está usando autenticação no proxy e HTTPS, suponho que não está fazendo squid transparente, está?
Não estou utilizando proxy transparente.
Sobre os erros, eu estou achando que o squid não consegue enviar ou receber, ou ambos, a autenticação corretamente.
No site da uol: http://email.uol.com.br/ajuda/pm/index.jhtm, tem esses termos:
Os servidores do UOL não aceitarão conexões oriundas de sistemas inseguros. Sendo que estes incluem open relays, open proxies ou qualquer outro sistema em que seja constatada a disponibilidade de ser utilizado de forma indevida.
Os servidores de e-mail do UOL não irão aceitar conexões de sistemas que se encontram configurados com IPs dinâmicos ou destinados a usuários residenciais.
O UOL não irá efetuar a entrega de mensagens suspeitas de estarem utilizando-se de técnicas para burlar filtros antispam tais como URLs encodadas em hexadecimal (ex: http://%6d%6e%3f/), arquivos do tipo texto ou html encodados em Base64.
Os servidores de e-mail do UOL podem rejeitar conexões de endereços IPs que não estejam de acordo com as recomendações da RFC 1912 (em inglês), em relação às configurações de DNS-reverso (exigência de uma entrada PTR válida e autoritativa)
O UOL possui um sistema de análise de fluxo de mensagens que pode rejeitar conexões de servidores que possuam um comportamento suspeito de SPAM. Saiba mais em http://email.uol.com.br/ajuda/pm/politica-anti-spam.jhtm.
O UOL pode rejeitar conexões de servidores cuja lista de destinatários gere de forma consistente mais do que 10% de erros (ex: mais de 10% da lista de e-mails é destinada a usuários que não existem em nosso sistema)
O UOL pode rejeitar conexões de remetentes que são incapazes de aceitar ao menos 90% das mensagens de erro/retorno (mailer-daemon, mensagens de erro/falha) destinadas ao seu sistema.
Reclamações enviadas por usuários do UOL serão usadas como base para a recusa de conexões de qualquer sistema de e-mail.
O UOL pode rejeitar mensagens quando o endereço IP de origem da conexão não for definido como válido de acordo com sua entrada SPF, para todos os domínios que publicam o registro SPF.
O UOL publica o seu registro SPF e recomenda sua validação para mensagens cujo remetente é do domínio "uol.com.br".
Eu sinceramente não sei dizer e não consegui achar nada falando que Squid com SSL se encaixe em uma dessas restrições.
Alguém já?
-
O problema não está na comunicação com o site da UOL, e sim com seu próprio Squid.
Minha impressão é que sua autenticação não está funcionando. Poste a parte da configuração do squid onde vc faz a autenticação.
-
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Proxy Paramotos - Digite seu login
auth_param basic credentialsttl 12 hours
acl autenticados proxy_auth REQUIRED
external_acl_type grupo_AD ipv4 ttl=60 %LOGIN /usr/lib/squid3/wbinfo_group.pl
acl acesso_completo external grupo_AD Internet_Acesso_Completo
http_access allow rede_local autenticados acesso_completo
Outros sites que exigem login funcionam normalmente, emails, foruns, bancos, até agora só vi esse problema no email.uol.com.br
ps: eu não acho que seja problema de autenticação, pois quando eu retiro somente a parte do SSL do meu squid, eu logo normal no email.uol.com.br.
só falando porque já fiz os testes e a única coisa eu tiro do squid e ele deixa eu logar é o SSL.
-
Como você observa o problema nos clientes? Mensagem de acesso negado, ou de certificado inválido?
-
no Browser eu digito email.uol.com.br entro com o email e a senha
na hora que eu dou <ENTER> ou clico no botão ENTRAR, ele da uma piscada quase que imperceptível (diminui minha banda para acompanhar melhor o refresh das telas) e volta na tela de login, sem mensagem nenhum de erro.
Antes de tentar logar e depois de logar, as telas são iguais sem nenhuma mesagem de erro
https://onedrive.live.com/redir?resid=70BDB759CB4780E5!3562&authkey=!AIA4aT_t2pJWLf4&ithint=folder%2c
-
vc por acaso tem dois links de saída?
-
desculpe a ignorância, mas link de saída seria quantos links de internet eu tenho aqui?
se sim, tenho 2 links 1 de 1MB e 1 de 10MB ambos da velox, mas no meu servidor eu estou usando somente 1 (10MB).
-
Pq havia um problema com o uso de dois links pra saída com sites que pedem autenticação. Mas só acontece quando há balanceamento de carga entre os links, o que segundo vc diz não está acontecendo.
-
Cara, ja tive problema parecido, mas não com o site da uol, mas com o hotmail, que quando eu digitava usuario e senha, nada acontecia, e depois de muito trabalho localizei um erro em meu firewall iptables, e que resolveu, pois como esta nos seus logs do squid TCP_DENIED, logo imagino que pode ser o mesmo problema, procure na net como liberar tal site ou liberar porta 443 atravez do iptables, que deve resolver.
-
boa tarde alguém teve problema em relação a certificado digital ao acessar site do governo ou da caixa econômica não aparecer para selecionar o certificado ???
-
boa tarde alguém teve problema em relação a certificado digital ao acessar site do governo ou da caixa econômica não aparecer para selecionar o certificado ???
Cara, ja passei por esse problemas muitas e muitas vezes, e das muitas vezes quase sempre o problema era por diferente motivo. Afinal que tipo de certificado vc usa? por cartão ou aquele que instala no navegador ou no computador?
-
Ambos pois estou em uma contabilidade tenho centenas de certificados tanto a1 quanto a3 so quando tento acessar site igual receita federal ou caixa economica erro 403 pois não aparece a tela para selecionar certificado.
-
Só pra confirmar... qual versão do Ubuntu vc está usando, Lucas?
-
Ubuntu server 14.04 LTS
-
Já verificou a data de sua máquina?
-
sim se eu desmarco o iptables para joga 443 para 3129 ele funciona normal so com o ssl transparente que esta dando esse problema.
-
O squid exige versão e configuração específica para fazer redirecionamento de HTTPS. Sem essa versão e configuração, você tem que usar o squid configurado, para que os certificados sejam aceitos. Essa é a grande limitação do proxy transparente, e não há alternativas ou fugas.