liberar acesso a banco no squid [RESOLVIDO]

anderramos
(usa Debian)

Enviado em 04/03/2010 - 16:20h

Boa tarde galera do vol,venho mais uma vez humildimente pedir a ajuda de voces,

bem o que esta acontecendo é o seguinte, tenho rodando na minha rede o squid3 funfando certinho.

o usuario de cada departamento so acesssa o que esta no arquivo, o problema é o seguinte, o setor rh e faturamento, nao consegue accesar sites do tipo, banco...ex: santander e banco real

eu fiz as seguintes regras no meu squid...colocando dentro dos aquivos

acl bancos dstdomain "/etc/squid3/bancos"
acl sitebancos url_regex -i "/etc/squid3/ sitebancos"




sites:
www.bancoreal.com.br
www.rie.com.br
.....

dominios: ex..
200.203....

so que mesmo asim nao esta funfando, gostaria de contar com a ajuda de vcs mais uma vez..para que juntos possamos resolver o meu problema..t++++


segue a minha conf


http_port 3128
cache_mem 512 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 60028876 16 256

maximum_object_size 30000 KB
maximum_object_size_in_memory 40 KB

access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
mime_table /usr/share/squid3/mime.conf

cache_mgr djandersonramos@msn.com
memory_pools off

diskd_program /usr/lib/squid3/diskd
unlinkd_program /usr/lib/squid3/unlinkd

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
request_header_max_size 20 KB
reply_header_max_size 20 KB
request_body_max_size 0 KB

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl redelocal src 192.168.0.0/24



# ############ ACL para o bloqueio de spyware
acl spyware dstdomain "/etc/squid3/spyware"


############ acl libera bancos ##########

acl bancos dstdomain "/etc/squid3/bancos"
acl sitebancos url_regex -i "/etc/squid3/ sitebancos"

# ####### ips liberados com acesso total ###
acl livre src 192.168.0.104


## acl para bloqueio de dawloads por extencoes
acl extensoes_proibidas url_regex -i "/etc/squid3/extensoes_proibidas"

# ACL portas utilizadas.
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

### libera acesso total a alguns usuarios e bancos
http_access allow livre
http_access allow bancos
http_access allow sitebancos

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#### inicio da regra de sites permitidos por grupo ######

#### recepcao ##########

acl sites_liberados_recepcao dstdomain "/etc/squid3/sites_liberados_recepcao"
acl recepcao src 192.168.0.100
# acl recepcao src 192.168.0.101# esperando a maquina nova
http_access allow recepcao sites_liberados_recepcao
http_access deny recepcao
deny_info http://www.vivaolinux.com.br


###### faturamento #######

acl sites_liberados_faturamento dstdomain "/etc/squid3/sites_liberados_faturamento"
acl faturamento src 192.168.0.102
acl faturamento src 192.168.0.93
http_access allow faturamento sites_liberados_faturamento
http_access deny faturamento
deny_info http://www.vivaolinux.com.br


###### RH ##############

acl sites_liberados_rh dstdomain "/etc/squid3/sites_liberados_rh"
acl rh src 192.168.0.103
acl rh src 192.168.0.168
http_access allow rh sites_liberados_rh
http_access deny rh
deny_info http://www.vivaolinux.com.br



##### Farmacia ############

acl sites_liberados_farmacia dstdomain "/etc/squid3/sites_liberados_farmacia"
acl farmacia src 192.168.0.80
http_access allow farmacia sites_liberados_farmacia
http_access deny farmacia
deny_info http://www.vivaolinux.com.br



####### Posto e Centro cirurgico ###########

acl sites_liberados_postocentro dstdomain "/etc/squid3/sites_liberados_postocentro"
acl postocentro src 192.168.0.133
acl postocentro src 192.168.0.101
http_access allow postocentro sites_liberados_postocentro
http_access deny postocentro
deny_info http://www.vivaolinux.com.br



###### fim da regra de bloqueio por grupos #######

http_access deny spyware
http_access deny extensoes_proibidas
http_access allow redelocal

mail_program mail
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string off
visible_hostname INSANE



abraços a todos..

rikardo
(usa Debian)

Enviado em 04/03/2010 - 16:50h

amigo dá uma olhadinha nesta linha
acl sitebancos url_regex -i "/etc/squid3/ sitebancos", tem um espaço entre "acl sitebancos url_regex -i /etc/squid3/" e "sitebancos"

Se não funcionar...
Dá só uma olhadinha se os ip "192.168.0.104" acessa os sites que vc deseja. Caso acesse, está faltando algum ip ou palavra na sua lista. Caso não acesse dá uma olhada na porta 443 do seu firewall. Pois se seu squid estiver em modo transparente, o trafego "HTTPS" (geralmente usado por bancos), passará por fora dele na porta "443".

anderramos
(usa Debian)

Enviado em 04/03/2010 - 17:17h

Obrigado pela atenção,

este espaço nao esta na conf..foi erro na edição da pergunta,
quanto ao ip..192.168.0.104 ,ele acessa tudo é o ip do patrao

ja os demais, que fazem parte dos grupos de departamento, so acessa o que esta nos arquivos.

so que os bancos...so acessa a pagina inicial do bancos..depois que pede numero de conta etc..

ai ja bloqueia na seguencia...

meu prox nao esta como transparente

irado
(usa XUbuntu)

Enviado em 04/03/2010 - 18:03h

os bancos apresentam uma condição particular: NÃO PODEM passar pelo squid, de jeito nenhum. Se vc usa iptables, faça com que DESVIEM - saida direta - sem passar pelo squid.

razão:

as páginas iniciais dos bancos normalmente são http, mas as seguintes já entram em https e EM OUTROS SERVIDORES. Então, vc INTERROGA um ip-addr, recebe resposta por outro, foi em um protocolo, retorna em outro, o iptables se perde, o squid então.. (não trata https quando transparente).

dá uma olhada, aqui no VOL, nas soluções dadas para o "Caixa Social".

anderramos
(usa Debian)

Enviado em 07/03/2010 - 00:00h

por favor me esxplique certinho como eu faço para desviar este site para nao pasar pelo meu proxy.

ex..www.santander.com.br
www.rie.com.br
etc...

ja que eu sou novato e nao entendo nada ainda de iptables..


desde ja meu muito Obrigado.

ferrerinha
(usa Debian)

Enviado em 07/03/2010 - 01:12h

Se você estiver usando o PROXY de forma tranparente fazendo o redirecionamento no IPTABLES.
Deverá modificar a regra de forma que adicione a porta https no redirecionamento para que também passe pelo squid.

# iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128

eth0 = Placa da rede interna;

Obs: Eu coloco '#' para apenas destacar o comando.

Se a regra da estiver desta forma ou não funcionar, posta a msg de erro. Para esclarecer uma duvida!

Quando o usuario acessa o site, o squid retorna que mensagem?
DNS error, ACCESS DENIED, etc...

Lembrete:
Se for o Conectividade Social da Caixa Economica, este não passa de maneira alguma pelo PROXY e deve ter acesso liberado diretamente no FIREWALL.

anderramos
(usa Debian)

Enviado em 07/03/2010 - 12:55h

Ola no meu caso o meu proxy , nao é transparente

como ficaria??

ferrerinha
(usa Debian)

Enviado em 07/03/2010 - 15:25h

Devido a utilização de alguns recursos pelo site. Isto acontece muito com o Conectividade Social como já foi citado.
Mas no squid existe uma opção para sites que não funionam bem quando acessados através do PROXY que é:

# acl banco dstdomain santander.com
# always_direct allow banco

E deve ser anteriormente ao de liberação da rede como em:

# acl banco dstdomain santander.com
# always_direct allow banco

# acl redelocal src 192.168.50.0/24
# http_access allow redelocal

Esta regra funciona de forma que quando o servidor proxy recebe a requisição de acesso a este site ou conjuto de sites já repassa diretamente. Ou sejá o acesso ao site será direto sem sofrer interferencia de regras do SQUID.

Obs: O '#' é apenas para destacar o comando.

anderramos
(usa Debian)

Enviado em 09/03/2010 - 17:15h

as regras a seguir..nao liberou os sites dos bancos..

segue a minha conf...sera que alguem pode me ajudar???



http_port 3128
cache_mem 512 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 60028876 16 256

maximum_object_size 30000 KB
maximum_object_size_in_memory 40 KB

access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
mime_table /usr/share/squid3/mime.conf

cache_mgr djandersonramos@msn.com
memory_pools off

diskd_program /usr/lib/squid3/diskd
unlinkd_program /usr/lib/squid3/unlinkd

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
request_header_max_size 20 KB
reply_header_max_size 20 KB
request_body_max_size 0 KB

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

#----------------------------- sites problematicos --------------------------------------------------#
# Sites liberados que nao passam pelo proxy
# sites de bancos e outros problematicos...

acl sites_sem_proxy dstdomain "/etc/squid3/sites_sem_proxy"
always_direct allow sites_sem_proxy

acl redelocal src 192.168.0.0/24

acl spyware dstdomain "/etc/squid3/spyware"

#------------------------ acl livre chefao e adm da rede ------------------------------------------#

acl livre src 192.168.0.104 # gerente da unidade
acl livre src 192.168.0.221 # administrador da rede
acl livre src 192.168.0.140 # provisorio
acl extensoes_proibidas url_regex -i "/etc/squid3/extensoes_proibidas"

# ACL portas utilizadas.
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

### libera acesso total a dominios sites e alguns usuarios
http_access allow livre
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

##################################-- inicio da regra de sites permitidos por grupo --####################################################

#-------- recepcao ---------------------------------------------------------------------------------------------------#

acl sites_liberados_recepcao dstdomain "/etc/squid3/sites_liberados_recepcao"
acl recepcao src 192.168.0.100
# acl recepcao src 192.168.0.101# esperando a maquina nova

# acl recepcao src 192.168.0.101# esperando a maquina nova
http_access allow recepcao sites_liberados_recepcao
http_access deny recepcao
deny_info http://www.teste.com.br recepcao

#--------- faturamento -------------------------------------------------------------------------------------------------#
acl sites_liberados_faturamento dstdomain "/etc/squid3/sites_liberados_faturamento"
acl faturamento src 192.168.0.102
acl faturamento src 192.168.0.93
http_access allow faturamento sites_liberados_faturamento
http_access deny faturamento
deny_info http://www.teste.com.br faturamento

#----------- rh -----------------------------------------------------------------------------#

acl sites_liberados_rh dstdomain "/etc/squid3/sites_liberados_rh"
acl rh src 192.168.0.103
acl rh src 192.168.0.168
http_access allow rh sites_liberados_rh
http_access deny rh
deny_info http://www.teste.com.br rh

#--- Farmacia ------------------------------------------------------------------------------------------#

acl sites_liberados_farmacia dstdomain "/etc/squid3/sites_liberados_farmacia"
acl farmacia src 192.168.0.80
http_access allow farmacia sites_liberados_farmacia
http_access deny farmacia
deny_info http://www.teste.com.br farmacia

#------ Posto e Centro cirurgico -------------------------------------------------------------------------------------------#

acl sites_liberados_postocentro dstdomain "/etc/squid3/sites_liberados_postocentro"
acl postocentro src 192.168.0.133
acl postocentro src 192.168.0.101
http_access allow postocentro sites_liberados_postocentro
http_access deny postocentro
deny_info http://www.teste.com.br postocentro

#----fim da regra de bloqueio por grupos ----------------------------------------------------------------------------------#

http_access deny spyware
http_access deny extensoes_proibidas
http_access allow redelocal
mail_program mail
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string off
visible_hostname INSANE

error_directory /usr/share/squid3/errors/Portuguese/



Obrigado a todos..

vitorioluis
(usa Debian)

Enviado em 10/03/2010 - 08:59h

no meu caso liberei as portas https no squid e não tenho nenhum problema com bancos.

acl SSL_ports port 443 444 447 563 7443 10000