Passando por fora do squid [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 17/03/2010 - 09:39h

Bom dia a todos

Tenho uma aplicação chamada GIP que tem que acessar a internet, só que esse aplicativo não tem como por autenticação de Proxy, então teria que fazer ele acessa a internet passando por fora do Proxy, ele usa a porta 80 e se comunica com 3 ips de fora, dependendo de como estão os servidores, eu pesquisei na net e achei essas linhas de comando do iptables alterei o ips, mas mesmo assim não resolveu...

iptables -t nat -A PREROUTING -s ! 200.143.23.11 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s ! 200.143.23.11 -p udp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s ! 200.189.166.133 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s ! 200.189.166.133 -p udp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s ! 200.189.166.134 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s ! 200.189.166.134 -p udp --dport 80 -j REDIRECT --to-port 3128

Gostaria de saber como fazer para um aplicativo passar por fora do squid, para não ter que pedir autenticação para o aplicativo

Grato
Sergei

renato_pacheco
(usa Debian)

Enviado em 17/03/2010 - 09:45h

Então suas regras estão erradas. Em vez do parâmetro -s (origem), vc deve colocar -d (destino).

removido
(usa Nenhuma)

Enviado em 17/03/2010 - 11:11h

Ok, refis as regras, mas mesmo assim não deu certo, tentei fazer um teste acessando esse sites sem usar o Proxy, mas não consegui abrir nenhum...

renato_pacheco
(usa Debian)

Enviado em 17/03/2010 - 11:26h

Olha, tem um esquema melhor. No seu proxy, todas os IP's com destino à porta 80 são redirecionados pra 3128, certo? OK. Não precisa colocar essas regras ae não. Vc pode mexer pelo próprio squid msm. Antes das regras d autenticação (não as acl's, mas os http_access), vc coloca uma regra pra liberar esses IP's ae, sacou? Fica mais prático. Eu fiz isso com um cgi q não podia t autenticação na hora do acesso e deu certo.

removido
(usa Nenhuma)

Enviado em 17/03/2010 - 11:47h

Eu estou começando a trabalhar com Proxy agora então não conheço muito bem...
Por isso to colocando aqui meu arquivo do squid.conf, onde eu poderia inserir essas regaras?!

http_port 3128

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

access_log /var/log/squid/access.log squid

hosts_file /etc/hosts

auth_param basic children 5
auth_param basic realm WLLM - Internet
auth_param basic credentialsttl 2 hours
auth_param basic program /usr/lib/squid/smb_auth -W wllm

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl PASSWORD proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1024 #Skype Voice
acl Safe_ports port 4649 #Skype
acl Safe_ports port 80 #web_server
acl Safe_ports port 81 #web_server
acl Safe_ports port 82 #web_server
acl Safe_ports port 83 #web_Server
acl Safe_ports port 84 #web_server
acl Safe_ports port 85 #web_server
acl Safe_ports port 86 #web_server
acl Safe_ports port 87 #web_server
acl Safe_ports port 8080 #portal_voip
acl Safe_ports port 809 #http_sptrans
acl Safe_ports port 1863 #msn
acl Safe_ports port 4156 #AVG antivirus
acl SSL_ports port 7071 #Zimbra_Lauro
acl SSL_ports port 1863 #msn_segura
acl SSL_ports port 20000 #cacique
acl SSL_ports port 20001 #cacique
acl SSL_ports port 20002 #cacique
acl SSL_ports port 25777 #sistema_cobranca
acl Safe_ports port 89 #sinaliza teste

acl purge method PURGE
acl CONNECT method CONNECT
acl PAGINAS_LIBERADAS url_regex "/etc/squid/liberados"
acl bloqueia_msn url_regex "/etc/squid/bloqueia_msn"
acl sites_bloqueados url_regex "/etc/squid/sites_bloqueados"
acl sites_liberados url_regex "/etc/squid/sites_liberados"
acl arq_bloqueados url_regex "/etc/squid/arq_bloqueados"
acl arq_liberados url_regex "/etc/squid/arq_liberados"
acl site_hotmail url_regex "/etc/squid/site_hotmail"
acl site_apontador url_regex "/etc/squid/site_apontador"
acl acesso_apontador proxy_auth "/etc/squid/acesso_apontador"
acl acesso_hotmail proxy_auth "/etc/squid/acesso_hotmail"
acl administradores proxy_auth "/etc/squid/administradores"
acl call_center proxy_auth "/etc/squid/call_center"
acl acesso_msn proxy_auth "/etc/squid/acesso_msn"
acl libera_ti url_regex "/etc/squid/libera_ti"

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow libera_ti all
http_access allow call_center sites_liberados
http_access allow acesso_apontador site_apontador
http_access allow acesso_hotmail site_hotmail
http_access deny call_center all
http_access allow sites_bloqueados administradores
http_access allow arq_bloqueados administradores
http_access deny sites_bloqueados !sites_liberados all
http_access deny arq_bloqueados !arq_liberados all
http_access deny bloqueia_msn !acesso_msn !administradores all
http_access allow PAGINAS_LIBERADAS all
http_access allow PASSWORD
http_access allow all

http_access deny all

http_reply_access allow all

icp_access allow all

cache_effective_group proxy

visible_hostname wllm02

error_directory /usr/share/squid/errors/Portuguese

strip_query_terms off

coredump_dir /var/spool/squid

renato_pacheco
(usa Debian)

Enviado em 17/03/2010 - 13:54h

What a mess!!! Kra, vou deixar d um jeito fera pra vc. C vai criar uma acl só pra esses links, colocando em um arquivo txt (igual q vc fez nos outros) os IP's. Faça assim:

acl ip_gip url_regex "/etc/squid/gip"

E as regras d acesso vou modificá-las pq tem muita coisa errada, ok?

http_access allow libera_ti
http_access allow ip_gip
http_access allow call_center sites_liberados
http_access allow acesso_apontador site_apontador
http_access allow acesso_hotmail site_hotmail
http_access deny call_center
http_access allow sites_bloqueados administradores
http_access allow arq_bloqueados administradores
http_access deny sites_bloqueados !sites_liberados
http_access deny arq_bloqueados !arq_liberados
http_access deny bloqueia_msn !acesso_msn !administradores
http_access allow PAGINAS_LIBERADAS
http_access allow PASSWORD <-- deixei pra vc v, pq eu não achei nenhuma acl q se referencia a ela. Se não tiver, apague essa linha

Lembre-se q esses acessos é daquele grupim q tava junto, o resto tá certo.

removido
(usa Nenhuma)

Enviado em 17/03/2010 - 15:22h

Nossa nem sabia q estava bagunçado rsrs, apesar de que essas configurações não fui eu que fiz e sim o pessoal q montou o servidor aqui na empresa, mas então fiz todas as correções conforme você postou, mas mesmo assim não deu certo, pra você ter idéia os ips do Gip já estavam na acl de libera_ti.

Bom eu testei assim entrei no site pelo ip, HTTP:// 200.143.23.11 só que o problema que pede o usuário e senha, se você cancelar a autenticação o site carrega normalmente, mas o problema é que o aplicativo não consegue fazer isso... depois tentei também entrar no site sem usar o Proxy no browser mas também não deu certo, você tem idéia do que possa estar acontecendo errado!?!?

renato_pacheco
(usa Debian)

Enviado em 17/03/2010 - 15:54h

Ah, tá. Aquela última liberação (do PASSWORD), remova-a e veja se a autenticação vai sumir, deixando desse jeito:

http_access allow libera_ti
http_access allow ip_gip
http_access allow call_center sites_liberados
http_access allow acesso_apontador site_apontador
http_access allow acesso_hotmail site_hotmail
http_access deny call_center
http_access allow sites_bloqueados administradores
http_access allow arq_bloqueados administradores
http_access deny sites_bloqueados !sites_liberados
http_access deny arq_bloqueados !arq_liberados
http_access deny bloqueia_msn !acesso_msn !administradores
http_access allow PAGINAS_LIBERADAS

Se sumir, vamos especificar quem deve, d fato, se autenticar, ok?

removido
(usa Nenhuma)

Enviado em 17/03/2010 - 16:08h

estranho eu coloquei ela como comentario salvei o arquivos e digite um squid -k reconfigure, mas mesmo assim não sumiu a tela de autenticação

renato_pacheco
(usa Debian)

Enviado em 17/03/2010 - 16:16h

Estranhíssimo! Então comente aquele linha de acl PASSWORD proxy_auth REQUIRED.

removido
(usa Nenhuma)

Enviado em 17/03/2010 - 16:19h

nossa tava fazendo coisa errada, to usando o putty para acessar o servidor, então estava usando uma sessão para alterar o squid.conf e outro para dar um squid -k reconfigure, mas acabei descobrindo que não da certo fazer isso em sessões diferente...

bom de qualquer modo só vou pode testar essa sua dica depois das 6, pois estou em um ambiente de produção, assim que o pessoal começar a ir embora eu testo e de mando a responda blz

vlw!

removido
(usa Nenhuma)

Enviado em 17/03/2010 - 16:29h

nossa minha curiosidade não deixou esperar até as 6 >.<

mas então eu tava marcando mesmo viu, deu certo sim eu coloquei do PASSWORD como comentario e parou de pedir autenticação!
logicamente que logo depois eu voltei essa linha rs

e agora o que deve ser feito!?!?!