Erro ao acessar o site da OLX

willianrosa
(usa Debian)

Enviado em 28/04/2017 - 17:39h

Boa tarde senhores.
Estou com um problema na empresa onde estou tentando liberar o site da OLX no squid e da a seguinte mensagem "Access Denied You don't have permission to access "http://www.olx.com.br/" on this server". Não sei o que pode ser, se puderem me ajudar ficarei muito grato.

brunin_rj
(usa XUbuntu)

Enviado em 29/04/2017 - 11:11h

Só da esse erro no site da OLX?

Posta teu squid.conf para a gente dar uma olhada.

willianrosa
(usa Debian)

Enviado em 29/04/2017 - 12:00h

-----------------------------------------------------------------------------------------------
Brunin bom dia.

Desculpe a demora mas segue abaixo o squid.
-----------------------------------------------------------------------------------------------
http_port 3128
visible_hostname PROXY-ROMA-FRANCE
hierarchy_stoplist cgi-bin ?
cache_mem 512 MB
cache_dir aufs /var/spool/squid 2024 16 256
maximum_object_size_in_memory 500 KB
maximum_object_size 500 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
access_log /var/log/squid/access.log squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

error_directory /usr/share/squid/errors/Portuguese
hosts_file /etc/hosts
coredump_dir /var/spool/squid

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 60
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 129.12.73.0/24

acl SSL_ports port 443 563
acl Safe_ports port 80 21 22 443 70 210 1025-65535 280 488 591 777 631 873 901
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

# BLOQUEIO WINDOWS UPDATE
acl sites_windowsupdate dstdomain "/etc/squid/regras/sites_windowsupdate"
http_access deny sites_windowsupdate
#### LIBERAR SKYPE
acl navegador browser Firefox
acl navegador browser Chrome
acl navegador browser IE
acl IPS url_regex -i ^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+):443
http_access allow IPS !navegador
#### SITES SEM AUTENTICAÇÃO
acl sites_semautenticacao dstdomain "/etc/squid/regras/sites_semautenticacao"
http_access allow sites_semautenticacao
http_access allow CONNECT sites_semautenticacao
#### DROPBOX
acl sites_dropbox dstdomain "/etc/squid/regras/sites_dropbox"
http_access allow sites_dropbox
#### SITES LICENCIAMENTO MICROSOFT
acl sites_office_liberados dstdomain "/etc/squid/regras/sites_office_liberados"
http_access allow sites_office_liberados

external_acl_type NT_global_group ttl=200 children=200 %LOGIN /usr/lib/squid/wbinfo_group.pl
# Acesso FULL - Tudo liberado
acl ADM-AcessoDIRETORIA external NT_global_group ADM-AcessoDIRETORIA
acl ADM-AcessoTI external NT_global_group ADM-AcessoTI
acl ADM-AcessoGERENCIA external NT_global_group ADM-AcessoFULL
acl PGT-AcessoGERENCIA external NT_global_group ADM-AcessoFULL
acl CIT-AcessoGERENCIA external NT_global_group ADM-AcessoFULL
acl FRD-AcessoGERENCIA external NT_global_group ADM-AcessoFULL
# Acesso FULL - Com Restrições de Redes Sociais e Sites Proibidos
acl ADM-AcessoFULL external NT_global_group ADM-AcessoFULL
acl PGT-AcessoFULL external NT_global_group PGT-AcessoFULL
acl CIT-AcessoFULL external NT_global_group CIT-AcessoFULL
acl FRD-AcessoFULL external NT_global_group FRD-AcessoFULL
# Acesso MEDIO - Restrição de Sites e Downloads
acl ADM-AcessoMEDIO external NT_global_group ADM-AcessoMEDIO
acl PGT-AcessoMEDIO external NT_global_group PGT-AcessoMEDIO
acl CIT-AcessoMEDIO external NT_global_group CIT-AcessoMEDIO
acl FRD-AcessoMEDIO external NT_global_group FRD-AcessoMEDIO
# Acesso RESTRITO - Somente sites Permitidos
acl ADM-AcessoRESTRITO external NT_global_group ADM-AcessoRESTRITO
acl PGT-AcessoRESTRITO external NT_global_group PGT-AcessoRESTRITO
acl CIT-AcessoRESTRITO external NT_global_group CIT-AcessoRESTRITO
acl FRD-AcessoRESTRITO external NT_global_group FRD-AcessoRESTRITO

# ACLs de Negaçoes e Permissoes
acl DOWNLOADS_PERMITIDOS url_regex -i "/etc/squid/regras/downloads_permitidos"
acl DOWNLOADS_PROIBIDOS urlpath_regex -i "/etc/squid/regras/downloads_proibidos"
acl SITES_PROIBIDOS dstdomain "/etc/squid/regras/sites_proibidos"
acl SITES_PROIBIDOS_SEMFACEBOOK dstdomain "/etc/squid/regras/sites_proibidos_semfacebook"
acl SITES_XXX dstdomain "/etc/squid/regras/sites_XXX"
acl SITES_PERMITIDOS dstdomain "/etc/squid/regras/sites_permitidos"

http_access allow ADM-AcessoDIRETORIA
http_access allow ADM-AcessoTI

http_access allow PGT-AcessoFULL !SITES_PROIBIDOS !SITES_XXX
http_access allow CIT-AcessoFULL !SITES_PROIBIDOS !SITES_XXX
http_access allow FRD-AcessoFULL !SITES_PROIBIDOS !SITES_XXX

http_access allow DOWNLOADS_PERMITIDOS
http_access deny DOWNLOADS_PROIBIDOS
http_access deny SITES_PROIBIDOS
http_access deny SITES_XXX
http_access allow SITES_PERMITIDOS

http_access allow ADM-AcessoMEDIO
http_access allow PGT-AcessoMEDIO
http_access allow CIT-AcessoMEDIO
http_access allow FRD-AcessoMEDIO
http_access deny ADM-AcessoRESTRITO !SITES_PERMITIDOS
http_access deny PGT-AcessoRESTRITO !SITES_PERMITIDOS
http_access deny CIT-AcessoRESTRITO !SITES_PERMITIDOS
http_access deny FRD-AcessoRESTRITO !SITES_PERMITIDOS

http_access allow localhost
icp_access allow localnet
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access deny all

logfile_rotate 10

acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

Buckminster
(usa Debian)

Enviado em 29/04/2017 - 12:23h

Teu Squid é da versão 2.5?

A autenticação está funcionando?

willianrosa
(usa Debian)

Enviado em 29/04/2017 - 18:06h

Buckminster, Squid Cache: Version 2.7.STABLE9

Esta autenticando sim.

Buckminster
(usa Debian)

Enviado em 30/04/2017 - 10:48h

Veja bem, a versão do teu Squid é muito antiga. O Squid está atualmente na versão 4.
Aconselho a atualizar ele. Sei que para isso você terá que desinstalar a tua versão e instalar uma mais atual, mas você pode copiar teu squid.conf e utilizá-lo depois, com alguma correções que aparecerão com o tempo.

Teste acessar o site da OLX desabilitando o Squid por uns momentos. Talvez o problema esteja com o site, é uma hipótese.
Ou
Coloque uma ACL assim nesta posição

error_directory /usr/share/squid/errors/Portuguese
hosts_file /etc/hosts
coredump_dir /var/spool/squid

acl olx dstdomain www.olx.com.br
http_access allow olx

E notei que você tem uma ACL hosts_file, verifique o que tem dentro do arquivo /etc/hosts. Esse tipo de ACL é meio perigosa porque ela é verificada na inicialização e na configuração.

Limpe o cache do navegador na máquina que tu irá testar o acesso.

Veirifque se o site referido não está dentro de uma das listas de proibições.

Verifique também como está teu firewall.

willianrosa
(usa Debian)

Enviado em 30/04/2017 - 12:00h

Bom dia Buckminster.

Cara inseri aquelas linhas que você mencionou acima, mas não resolveu.

Olha o que tem dentro de cd /etc/hosts.

127.0.0.1 localhost
127.0.1.1 dc-viaexpressa

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Vou instalar o squid 4 para ver se resolve.

willianrosa
(usa Debian)

Enviado em 06/05/2017 - 22:13h

Senhores, fiz de tudo e ainda nada do site funcionar, ja atualizei o squid e nada.

Buckminster
(usa Debian)

Enviado em 07/05/2017 - 09:17h

Você testou em mais de um navegador?

Passando por fora do Squid o site abre?

willianrosa
(usa Debian)

Enviado em 07/05/2017 - 10:07h

bom dia, Buckminster.
Sim testei com outros navegadores e nada de funcionar, se colocar a maquina para passar por fora funciona normalmente. Cara não sei se tem a ver, tenho dois links de internet depois que eu troquei o link aconteceu isso. Amanhã vou voltar o outro link para ver se funciona, mas teria que funcionar nos dois links ne?
Pode haver algo com o dns.

Buckminster
(usa Debian)

Enviado em 07/05/2017 - 11:27h

Se foi a única alteração que você fez, então com certeza é alguma configuração envolvendo a troca de links e nisso pode ser algum problema de DNS também.

Você configurou o Iptables para os dois links?

willianrosa
(usa Debian)

Enviado em 07/05/2017 - 19:52h

Ainda não coloquei outra placa de rede, tenho apenas uma para os dois links.
Vide as configurações do firewall.
#!/bin/bash
### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $local_fs $remote_fs $network $syslog
# Required-Stop: $local_fs $remote_fs $network $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start firewall.sh at boot time
# Description: Enable service provided by firewall
### END INIT INFO

# ATENÇÃO # AS LINHAS ACIMA NÃO SÃO COMENTTARIOS , ELAS FORMAM O CABEÇADLHO DO SCRIPT NÃO PODEM SER ALTERADAS E NEM APAGADAS.

iniciar(){

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

modprobe ppp-compress-18
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3128 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 161 -j ACCEPT # SNMP
iptables -A INPUT -i eth1 -p tcp --dport 161 -j ACCEPT # SNMP
iptables -A INPUT -i eth0 -p tcp --dport 9191 -j ACCEPT # PAPERCUT
iptables -A INPUT -i eth0 -p tcp --dport 631 -j ACCEPT # CUPS
iptables -A INPUT -i eth1 -p udp --dport 30443 -j ACCEPT # TELEFONIA
iptables -A INPUT -i eth1 -p tcp --dport 30443 -j ACCEPT # TELEFONIA
iptables -A INPUT -i eth1 -p tcp --dport 3391 -j ACCEPT # ACESSO_TS


# ACESSO AS CAMERAS
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 37777,9000 -j ACCEPT # DVR
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 1024,2000 -j ACCEPT # DVR
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 37778,9009 -j ACCEPT # DVR
iptables -A INPUT -i eth1 -p tcp -m multiport --dport 2024,3000 -j ACCEPT # DVR

iptables -A INPUT -p tcp -s 129.12.73.0/24 -m multiport --dport 139,445 -j ACCEPT # SAMBA
iptables -A INPUT -p udp -s 129.12.73.0/24 -m multiport --dport 138,139 -j ACCEPT # SAMBA
iptables -A INPUT -p tcp -s 0/0 -m multiport --dport 139,445 -j DROP # SAMBA
iptables -A INPUT -p udp -s 0/0 -m multiport --dport 137,138,139 -j DROP # SAMBA
iptables -A OUTPUT -p tcp -s 129.12.73.0/24 -m multiport --dport 139,445 -j ACCEPT # SAMBA
iptables -A OUTPUT -p udp -s 129.12.73.0/24 -m multiport --dport 138,139 -j ACCEPT # SAMBA

iptables -A FORWARD -p udp --dport 53 -j ACCEPT # DNS
iptables -A FORWARD -p udp --dport 30443 -j ACCEPT # TELEFONIA

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth1 -j MASQUERADE

# CPD - SERVIDORES

iptables -t nat -A POSTROUTING -s 129.12.73.100 -j MASQUERADE # CPD - SERVIDOR - SAMBA4
iptables -t nat -A POSTROUTING -s 129.12.73.91 -j MASQUERADE # VANUZA
iptables -t nat -A POSTROUTING -s 129.12.73.254 -j MASQUERADE # ROUTER-0801691


# TVSFORD

iptables -t nat -A POSTROUTING -s 129.12.73.107 -j MASQUERADE # TVFOR-OFIC01
iptables -t nat -A POSTROUTING -s 129.12.73.108 -j MASQUERADE # TVFOR-OFIC02
iptables -t nat -A POSTROUTING -s 129.12.73.109 -j MASQUERADE # TVFOR-OFIC03

# CRM
iptables -t nat -A POSTROUTING -s 129.12.73.59 -j MASQUERADE # KAREN LEAL
iptables -t nat -A POSTROUTING -s 129.12.73.69 -j MASQUERADE # FERNANDA CRISTINA
iptables -t nat -A POSTROUTING -s 129.12.73.70 -j MASQUERADE # KARLA DUARTE
iptables -t nat -A POSTROUTING -s 129.12.73.72 -j MASQUERADE # SMARTPHONE-CLIENTE

iptables -A FORWARD -p tcp -m multiport --dport 25,53,110,143,465,587,993,995 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 25,53,110,143,465,587,993,995 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -m multiport --dport 25,53,110,143,465,587,993,995 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 30443 -j DNAT --to 129.12.73.253:30443 # TELEFONIA
iptables -t nat -A PREROUTING -i eth1 -p udp -m udp --dport 30443 -j DNAT --to 129.12.73.253:30443 # TELEFONIA
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3391 -j DNAT --to 129.12.73.200:3389 # TERMINAL SERVICES

# Mascarando Ping (icmp) Regra de ping pra a internet
iptables -t nat -A POSTROUTING -s 129.12.73.0/24 -o eth1 -p icmp -j MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -d 129.12.69.86 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -d 129.12.69.170 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 37777 -j DNAT --to 129.12.73.250:37777 # DVR
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 9000 -j DNAT --to 129.12.73.250:9000 # DVR
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 37778 -j DNAT --to 129.12.73.248:37778 # DVR
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 9009 -j DNAT --to 129.12.73.248:9009 # DVR



iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -t nat -A POSTROUTING -p icmp -j MASQUERADE

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j DROP
iptables -A FORWARD -j ACCEPT

}

parar(){
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac