Chrome não descobre wpad após remarcar "detectar automaticamente configurações"

gabrielpolo
(usa CentOS)

Enviado em 30/09/2016 - 11:14h

Bom dia Pessoal,
Tudo bem?

Possuo um servidor proxy que está com a topologia abaixo

Internet <-> Roteador <-> Servidor (PROXY | DHCP | DNS | Iptables) <-> Rede Interna

Tipo do proxy não transparente

Os serviços de proxy, dhcp, dns e iptables funcionam normalmente, porém em navegadores que identificam o script wpad via DHCP e não DNS, no caso do Chrome, quando desmarco e depois remarco a caixa de detectar automaticamente configurações. ele não acha mais o script wpad.

Segue abaixo como está configurado o dhcp.conf e o iptables

Iptables:

iptables -F

iptables -X

iptables -F -t nat

iptables -X -t nat

iptables -F -t mangle

iptables -X -t mangle



modprobe ip_tables

modprobe iptable_nat



iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP



# Aceitar loopback.

iptables -A INPUT -i lo -j ACCEPT



# Rejeita pacotes TCP novos de conexoes nao estabelecidas.

iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP



# Aceitar pacotes de conexoes ja estabelecidas.

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT



# Aceitar envio de pacotes novos para fora.

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT



#iptables -A FORWARD -s 192.168.2.10 -p tcp -i eth1 --dport 80 -j REJECT



# Aceitar direcionamento de conexoes novas.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT





iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



iptables -A INPUT -p icmp -j ACCEPT





iptables -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -A INPUT -p udp --sport 53 -j ACCEPT

iptables -A INPUT -p tcp --sport 953 -j ACCEPT



iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT



iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 443 -j DROP

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 80 -j DROP



 

dhcpd.conf

option wpad code 252 = text;

option wpad "http://wpad.dominio.com/wpad.dat\n";

ddns-update-style none;

ddns-domainname "dominio.com";

option domain-name "dominio.com";

option domain-name-servers 192.168.2.1, 8.8.8.8, 8.8.4.4;

default-lease-time 600;

max-lease-time 7200;

log-facility local7;

subnet 192.168.2.0 netmask 255.255.255.0 {

range 192.168.2.10 192.168.2.99;

option broadcast-address 192.168.2.254;

option routers 192.168.2.1;

}

 

Alguém sabe por que acontece isso?

Valeu

removido
(usa Nenhuma)

Enviado em 30/09/2016 - 12:08h

http://artica-proxy.com/how-to-debug-proxy-pac-with-google-chrome/

gabrielpolo
(usa CentOS)

Enviado em 03/10/2016 - 17:25h

Valeu, esse link ta sendo bastante util, consegui entender onde está o problema, como estava bloqueando a porta 80, o chrome não conseguia mais enxergar o servidor httpd que estava o wpad, mudei a porta 80 e agora estou realizando mais alguns testes, aproveitei e ajustei outras regras do iptables que não estavam certas no tipo de proxy que estou usando.

Assim que realizar todos os testes eu posto o resultado.

Valeu.

gabrielpolo
(usa CentOS)

Enviado em 07/10/2016 - 10:06h

Bom dia,

Como a porta 80 estava bloqueada no FORWARD, os browsers não conseguiam alcançar o servidor httpd que está o script wpad, então acabei resolvendo da seguinte forma:

via DHCP:

Adicionei o serviço httpd na porta 90 e no dhcpd.conf, deixei a configuração abaixo:

option wpad code 252 = text;

option wpad "http://192.168.1.130:90/proxy.pac\n";

 

via DNS
liberei a porta 80 no forward apenas da minha rede para o servidor httpd

iptables -A FORWARD -s 192.168.2.0/24 -p tcp -d 192.168.1.130 --dport 80 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 80 -j DROP

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 443 -j DROP

 

Não sei se o método acima foi uma boa opção, mas só assim acabou resolvendo meu problema.

Valeu.

Dukmad
(usa CentOS)

Enviado em 24/10/2016 - 16:36h

Opa,
Bom, pelo que conheço de IPTABLES, você usando a politica INPUT(no caso, o que entra para o servidor) e só liberar o -i eth1(placa local) e --dport 80 (a porta de destino).
Quanto ao wpad.dominio.com, você deve confirmar que esta configurado corretamente no DNS, testa por dig/ping.

Edit: A regra:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

Claro, caso tenha intenção de voltar para a porta 80.
Abraço