Internet Banking Caixa x SQUID3 - não acessa! [Squid/Iptables]

guimteixeira · 2011-03-22T14:05:31-03:00

Olá amigos, vi vários POSTs que dizem a respeito a não conseguir acessar o Internet Banking da CEF. http://internetbanking.caixa.gov.br Contudo não conseguir permitir o acesso a esta pagina, ele fica 'eternamente' carregando. Além do que, o COB Caixa também não recebe os retornos. Já tentei desabilitar cache pra estas páginas e NADA! Segue abaixo as minhas regras de IPTABLES e meu squid.conf ########################## Regras iptables echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A PREROUTING -s 192.168.3.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -s 192.168.4.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -A FORWARD -s 192.168.3.0/24 -p tcp --dport 1863 -j REJECT iptables -A FORWARD -s 192.168.3.0/24 -d loginnet.passport.com -j REJECT iptables -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j REJECT iptables -A FORWARD -s 192.168.4.0/24 -d loginnet.passport.com -j REJECT iptables -A FORWARD -s 192.168.4.9/24 -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -s 192.168.4.9/24 -d loginnet.passport.com -j ACCEPT iptables -A FORWARD -s 192.168.4.10/24 -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -s 192.168.4.10/24 -d loginnet.passport.com -j ACCEPT iptables -A FORWARD -s 192.168.4.12/24 -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -s 192.168.4.12/24 -d loginnet.passport.com -j ACCEPT iptables -A FORWARD -s 192.168.3.0/24 -p tcp --dport 7171 -j REJECT ############################## #################squid.conf http_port 3128 transparent visible_hostname Firewall-1 cache_mem 1000 MB cache_swap_low 90 cache_swap_high 95 cache_dir ufs /var/spool/squid3 20000 16 256 maximum_object_size 500 MB maximum_object_size_in_memory 2 MB access_log /var/log/squid3/access.log cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log pid_filename /var/log/squid3/squid3.pid mime_table /usr/share/squid3/mime.conf cache_mgr guilherme@gmtwebservices.com memory_pools off diskd_program /usr/lib/squid3/diskd unlinkd_program /usr/lib/squid3/unlinkd refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern (cgi-bin|\?) 0 0% 0 refresh_pattern . 0 20% 4320 quick_abort_max 16 KB quick_abort_pct 95 quick_abort_min 16 KB request_header_max_size 20 KB reply_header_max_size 20 KB request_body_max_size 0 KB acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 1863 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT #ACLs criadas acl redeprofessores src 192.168.4.0/24 acl redealunos src 192.168.3.0/24 acl pcsliberados src "/etc/squid3/pcs_liberados" acl block_sites url_regex -i "/etc/squid3/sites_bloqueados" acl siteslivres url_regex -i "/etc/squid3/sites_liberados" acl sitesproibidosalunos url_regex -i "/etc/squid3/sites_proibidos_alunos" acl bloquepalavra dstdom_regex "/etc/squid3/palavras_bloqueadas" acl liberapalavra dstdom_regex "/etc/squid3/palavras_liberadas" acl portas port "/etc/squid3/portas_bloqueadas" acl msn-port port 1863 acl MSN req_mime_type -i ^application/x-msn-messenger$ acl proibecache url_regex -i "/etc/squid3/cache_proibido" #liberações e restrições http_access allow pcsliberados no_cache deny proibecache http_access allow liberapalavra http_access allow siteslivres http_access deny bloquepalavra http_access deny MSN http_access deny block_sites http_access deny portas http_access deny msn-port http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow redeprofessores http_access deny sitesproibidosalunos http_access allow redealunos cache_mgr Guilherme mail_program mail cache_effective_user proxy cache_effective_group proxy httpd_suppress_version_string off error_directory /usr/share/squid3/errors/Portuguese/ ###### Por favor me ajudem! Guilherme

13. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 10:50h

DHCP tá normal. Sites do bradesco e itau funcionam normalmente.

Sabe o que poderia dar certo.

No firewall e fazer uma exceção para a maquina que estou com problemas, ou seja, ela não passar pelo PROXY e ter acesso FULL entenderam?

Alguém poderia me ajudar nessas regras?

As minhas atuais são:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.3.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.4.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A FORWARD -s 192.168.3.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.3.0/24 -d loginnet.passport.com -j REJECT

iptables -A FORWARD -s 192.168.4.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.4.0/24 -d loginnet.passport.com -j REJECT

iptables -A FORWARD -s 192.168.4.9/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.4.9/24 -d loginnet.passport.com -j ACCEPT

iptables -A FORWARD -s 192.168.4.10/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.4.10/24 -d loginnet.passport.com -j ACCEPT

iptables -A FORWARD -s 192.168.4.12/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.4.12/24 -d loginnet.passport.com -j ACCEPT

iptables -A FORWARD -s 192.168.3.0/24 -p tcp --dport 7171 -j REJECT

-------

Me ajudem...

14. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 11:12h

Bom dia, já tive esse mesmo problema aqui na minha rede, passei algum tempo lendo as regras e os logs e descobrir que o que estava impedido era o bloqueio de arquivos executáveis. Criei uma nova regra exclusiva para o site da caixa permitindo executáveis. Assim solucionei meu problema. Da uma lida nos logs amigo.

15. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 11:23h

Tive esse problema aqui na empresa, resolvi criando uma regra no squid que libera o site, antes mesmo de pedir autenticação ou de alguma regra de bloqueio. Fiz da seguinte forma:
Criei um arquivo liberados e coloquei nele os sites que queria acesso liberado como:

caixa.gov.br

e no squid inclui essas linhas antes de qualquer linha de autenticação ou bloqueio:

acl caixa src "/etc/squid/liberados"
http_access allow caixa

Feito isso o site da caixa que abria super lento e nem abria o internet banking, passou a abrir normalmente.
Espero te ajudado.
Abraços

16. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 11:37h

Olá tentei tanto liberar a src caixa.gov.br e também os .exe dessa forma:

#ACLs criadas

acl redeprofessores src 192.168.4.0/24
acl redealunos src 192.168.3.0/24
acl pcsliberados src "/etc/squid3/pcs_liberados"

acl block_sites url_regex -i "/etc/squid3/sites_bloqueados"
acl siteslivres url_regex -i "/etc/squid3/sites_liberados"
acl sitesproibidosalunos url_regex -i "/etc/squid3/sites_proibidos_alunos"

acl bloquepalavra dstdom_regex "/etc/squid3/palavras_bloqueadas"
acl liberapalavra dstdom_regex "/etc/squid3/palavras_liberadas"

acl portas port "/etc/squid3/portas_bloqueadas"
acl msn-port port 1863

acl MSN req_mime_type -i ^application/x-msn-messenger$

acl proibecache url_regex -i "/etc/squid3/cache_proibido"

acl download urlpath_regex \.exe

acl caixa src caixa.gov.br

#liberações e restrições

http_access allow caixa

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

always_direct allow proibecache

http_access allow pcsliberados

no_cache deny proibecache

http_access allow liberapalavra
http_access allow siteslivres
http_access deny bloquepalavra

http_access deny MSN
http_access deny block_sites
http_access deny portas
http_access deny msn-port

http_access allow manager localhost
http_access deny manager

http_access allow redeprofessores
http_access deny sitesproibidosalunos
http_access allow download

http_access allow redealunos

17. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 11:45h

Amigo, desculpa passei a regra errada.
Por você estar bloqueando por dominio use a seguinte regra:

acl caixa dstdomain caixa.gov.br

no lugar da que eu tinha te passo.
Então fica assim:

acl caixa dstdomain caixa.gov.br
http_access allow caixa

Abraços

18. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 11:49h

xii meu caro, mesmo assim não vai, tentei colocar no TOPO pq já está na lista de liberados e nada.

Interessante, é q fico vendo os logs de acesso, qdo acesso o internetbanking.caixa.gov.br ele não aparece nada nele.

Será que minha ideia de tirar a maquina do PROXY não daria certo? Alguem poderia me ajudar nela?

19. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 11:55h

Se não te prejudicar, você pode tirar ela do proxy mesmo.
Crie um arquivo com os ip's das máquinas que vão utilizar o internetbanking e coloque as seguintes linhas no firewall:

for i in `cat /etc/squid/liberados.txt`
do
iptables -I FORWARD -s $i -p tcp --dport 80 -j ACCEPT
done

Porém você estará liberando todos os sites a essa máquina.E lembra de tirar as configurações de proxy no navegador.

20. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 12:02h

certo será apenas uma maquina.

Esta regra eu ponho antes de direcionar os outros acessos a porta 3128 ou depois???

21. Re: Internet Banking Caixa x SQUID3 - não acessa!

Enviado em 23/03/2011 - 12:38h

Olhem o meu tracert como que está:

C:\Users\Guilherme>tracert internetbanking.caixa.gov.br

Rastreando a rota para internetbanking.caixa.gov.br [200.201.169.59]
com no máximo 30 saltos:

1 5 ms 1 ms 4 ms FIREWALL-1 [192.168.4.1]
2 60 ms 100 ms 4 ms 134-193-186-129.andradas-net.com.br [186.193.134
.129]
3 80 ms 61 ms 40 ms 10.200.16.1
4 112 ms 74 ms 17 ms 172.16.200.1
5 169 ms 173 ms 97 ms embratel-F3-3-6-gacc03.bhe.embratel.net.br [200.
241.109.217]
6 121 ms 65 ms 40 ms ebt-T0-5-5-0-21-tcore02.bhe.embratel.net.br [200
.244.164.157]
7 32 ms 44 ms 30 ms ebt-T0-5-0-0-tcore01.spoph.embratel.net.br [200.
230.251.54]
8 * 51 ms 61 ms ebt-C1-gacc06.spo.embratel.net.br [200.230.242.2
6]
9 59 ms 66 ms 46 ms peer-G0-0-gacc06.spo.embratel.net.br [200.211.21
9.182]
10 140 ms 126 ms 102 ms 187-100-14-54.dsl.telesp.net.br [187.100.14.54]

11 * * * Esgotado o tempo limite do pedido.
12 * * * Esgotado o tempo limite do pedido.
13 * * * Esgotado o tempo limite do pedido.
14 * * * Esgotado o tempo limite do pedido.
15 * * * Esgotado o tempo limite do pedido.
16 * * * Esgotado o tempo limite do pedido.
17 * * * Esgotado o tempo limite do pedido.
18 * * * Esgotado o tempo limite do pedido.
19 * * * Esgotado o tempo limite do pedido.
20 * * * Esgotado o tempo limite do pedido.
21 * * * Esgotado o tempo limite do pedido.
22 * * * Esgotado o tempo limite do pedido.
23 * * * Esgotado o tempo limite do pedido.
24 * * * Esgotado o tempo limite do pedido.
25 * * * Esgotado o tempo limite do pedido.
26 * * * Esgotado o tempo limite do pedido.
27 * * * Esgotado o tempo limite do pedido.
28 * * * Esgotado o tempo limite do pedido.
29 * * * Esgotado o tempo limite do pedido.
30 * * * Esgotado o tempo limite do pedido.

Rastreamento concluído.

Internet Banking Caixa x SQUID3 - não acessa!

Responder tópico