Nao Consigo Liberar MSN no squid [RESOLVIDO]

neogorn
(usa CentOS)

Enviado em 05/07/2010 - 14:13h

Bom pessoal do forum,preciso da ajuda de vcs.

Tenho um servidor Ubuntu Server 10.04, que tenho como Firewall(iptables) e Proxy(Squid),o que acontece é o seguinte.
Aqui na empresa tem algumas pessoas que precisa do MSN,porem so consigo liberar o msn se squid estiver desativado.Quando coloco o seviço no ar ninguem consegue usar o bloqueio é intantaneo.Nao consigo achar onde esta travando.
É uma ironia, enquanto muitos quer bloquear, eu estou tentando liberar e nao consigo,rsrsrs.Gostaria de liberar pra todos,pois aqui tenho AD posso bloquear quem eu quero, por intalação do .exe do msn.

Desde agradeço a atenção de todos.



Segue abaixo meu .conf do Squid

http_port 3128
visible_hostname fwserver
error_directory /usr/share/squid-langpack/Portuguese



#FAZENDO AUTENTICACAO PELO AD:
auth_param basic realm Este acesso sera registrado Digite sua chave e senha
auth_param basic children 5
auth_param basic credentialsttl 15 minutes
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=rti,dc=com" -D "cn=proxy_user,ou=Internet,dc=rti,dc=com" -w "123456" -f sAMAccountName=%s -h 192.168.0.2

#ACL EXTERNA PARA AUTENTICACAO PELO AD:

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=rti,dc=com" -D "cn=proxy_user,ou=Internet,dc=rti,dc=com" -w "123456" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Internet,dc=rti,dc=com))" -h 192.168.0.2


#HABILITANDO O CACHE

cache_mem 512 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid/ 5000 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


# ACLs PADROES:

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 10000
acl Safe_ports port 111 # log squid
acl Safe_ports port 80 # http
acl Safe_ports port 90 # Hemolab
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT


#REGRAS PADROES


# GRUPOS DE ACESSO AD:

acl ADAcessoPadrao external ldap_group AcessoPadrao
acl ADAcessoTotal external ldap_group AcessoTotal
acl ADAcessoDownload external ldap_group AcessoDownload
acl ADAcessoYoutube external ldap_group AcessoYoutube

#APLICANDO AS REGRAS DE PERMISSAO DE ACESSO A SITES E EXPRESSOES::

acl redelocal src 192.168.0.0/24
acl liberados url_regex -i "/etc/squid/acl/liberados"
acl youtube url_regex -i "/etc/squid/acl/youtube"
acl bloqueados url_regex -i "/etc/squid/acl/bloqueados"
acl palavrasproibidas url_regex -i "/etc/squid/acl/palavrasproibidas"



http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl html rep_mime_type text/html
reply_body_max_size 0 allow html
reply_body_max_size 10485760 allow all !ADAcessoDownload


#APLICANDO AS REGRAS DE ACESSO:

http_access allow ADAcessoTotal
http_access allow youtube !ADAcessoPadrao
http_access allow liberados
http_access deny bloqueados
http_access deny palavrasproibidas
http_access allow localhost
http_access allow redelocal
http_access allow all

davirodrigues
(usa Debian)

Enviado em 05/07/2010 - 14:22h

Boa tarde,

vc pode fazer a criação de algumas acl, e após isso liberar criando regras de acesso, segue abaixo acl's,

acl msn url_regex gateway.dll
acl msn url_regex passport.com

coloca o regra de negação para a lista de usuários que vc quer, tipo assim:
...
...
...
http_access deny msn
(aqui ficam os usuários que vc não quer que accesse.)
...
...

neogorn
(usa CentOS)

Enviado em 05/07/2010 - 14:44h

Adicionei essas linhas como vc havia pedido.
E liberei tudo, mas ainda esta bloqueado.

acl msn url_regex gateway.dll
acl msn url_regex passport.com

http_access allow msn

imagem de erro do msn abaixo:

http://i49.tinypic.com/2h6epz4.jpg

renato_pacheco
(usa Debian)

Enviado em 05/07/2010 - 16:30h

Olhe no seu arquivo d log e veja o q o seu squid anda bloqueando:

# tail -f /var/log/squid/access.log

E tente acessar o msn d novo. Coloque aki o resultado.

neogorn
(usa CentOS)

Enviado em 06/07/2010 - 08:02h

Conforme havia pedido o log do squid abaixo, to meio confuso pra eu entender esse log, mas ja da pra ter uma ideia o que ele esta bloqueando.Comentem sobre o log por favor!!!


1278362831.047 0 192.168.0.50 TCP_DENIED/407 2035 GET http://ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRIt2RJ89X%2B%2BhEzqoBeQg8PymQ2UQQUANhaTCXBIuW... - NONE/- text/html
1278362831.065 0 192.168.0.50 TCP_DENIED/407 1702 GET http://crl.verisign.com/pca3.crl - NONE/- text/html
1278362831.089 0 192.168.0.50 TCP_DENIED/407 2062 GET http://evsecure-ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9... - NONE/- text/html
1278362831.107 0 192.168.0.50 TCP_DENIED/407 1738 GET http://evsecure-crl.verisign.com/pca3-g5.crl - NONE/- text/html
1278362831.131 0 192.168.0.50 TCP_DENIED/407 2062 GET http://evsecure-ocsp.verisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRFp9TUB3UaX73tHhkdSo3sUtJBVQQU%2FIpQ... - NONE/- text/html
1278362831.147 0 192.168.0.50 TCP_DENIED/407 1753 GET http://evsecure-crl.verisign.com/EVSecure2006.crl - NONE/- text/html
1278362831.151 978 192.168.0.50 TCP_MISS/200 4740 CONNECT login.live.com:443 nilmar DIRECT/65.54.186.49 -
1278362831.981 0 192.168.0.50 TCP_DENIED/407 1774 POST http://www.sqm.microsoft.com/sqm/messenger/sqmserver.dll - NONE/- text/html

davirodrigues
(usa Debian)

Enviado em 06/07/2010 - 09:34h

Bom dia!
Olha vc tem que nos dizer se o seu proxy e transparente ou não, se for transparente vai funcionar com certeza, só colocando a acl msn* acima dos usuários que quer deixa livre o acesso, tipo assim:
...
...
acl msn url_regex gateway.dll
acl msn url_regex passport.com
...
(só colocar os usuários liberados)

Ah! da uma olhada se no seu FORWARD da tabela filter no iptables esta liberada a porta do MSN port 1863, só para conferir mesmo, posta aew os resultados.

neogorn
(usa CentOS)

Enviado em 06/07/2010 - 13:09h

Meu squid nao é transparente, sera que vou ter que mudar para que seja transparente?
Em ralação as alcs, eu gostaria de liberar o msn pra todos "ALL", então como ficaria?
Sera que é assim?
EX:
acl msn url_regex gateway.dll
acl msn url_regex passport.com
http_access msn allow

A respeito do firewall, ja habilitei a regra FORWARD da porta 1863.

ex: iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

davirodrigues
(usa Debian)

Enviado em 06/07/2010 - 13:46h

Não precisa o fato de ter perguntado se é ou não transparente é que se fosse transparente com certeza teria redirecionamentos, que acredito que não é seu caso pois não é transparente, então verifique a policy do seu forward se tiver accept então nem precisa liberar a porta nem uma:
# iptables -L FORWARD -nv

neogorn
(usa CentOS)

Enviado em 06/07/2010 - 14:13h

Ok, mas eu fiz um teste desabilitei o proxy e consegui entrar no msn,mas com o squid no ar nao dá.Estou fazendo uma "gabiarra", desbilito o proxy entro no msn, depois habilito o proxy novamente ai consigo ficar o dia inteiro usando o msn, mas se eu sair e tentar entrar denovo da erro, ja criei acls com os dominios do msn que eu conheço mas nada.Nao sei o q fazer, apesar de nao ser um serviço que precisamos com urgencia, eu fico curioso de como isso esta acontecendo.

condealisson
(usa Debian)

Enviado em 19/01/2011 - 09:21h

Olá!

Faz meses que venho sofrendo também, já fazem seis semanas que não tenhos mais problemas depois de liberar as seguintes URLs:

acl msn url_regex -i "/var/squid/msn"

P.S.: Libero essa acl antes de exigir a autenticação.

#Arquivo com urls para liberar o messenger
live-update.net
msgpluslive.net
login.live.com
loginnet.passport.com
login.passport.com
nexus.passport.com
usr.microsoft.com
mscrl.microsoft.com
byrdr.omega.contacts.msn.com
local-bay.contacts.msn.com
.contacts.msn.com
accountservices.msn.com
msgr.dlservice.microsoft.com
sqm.microsoft.com
config.messenger.msn.com
svrsecure-crl.verisign.com
gateway.messenger.hotmail.com
proxy-sn.contacts.msn.com
proxy-bay.contacts.msn.com
relay.data.edge.messenger.live.com
.gateway.messenger.hotmail.com
.usr.microsoft.com
.mscrl.microsoft.com
.contacts.msn.com
.accountservices.msn.com
.msgr.dlservice.microsoft.com
.sqm.microsoft.com
.sqm.microsoft.com/sqm/messenger/sqmserver.dll
.crl.microsoft.com/pki/crl/products/microsoftrootcert.crl
.microsoft.com/pki/certs/MSNContentCA.crt
.crl.microsoft.com/pki/crl/products/MSNContentPCA.crl
.microsoft.com/pki/mscorp/Microsoft%20Secure%20Server%20Authority(8).crt
.corppki.com.br
.corppki/aia/Microsoft%20Secure%20Server%20Authority(8).crt
.crl.microsoft.com/pki/crl/products/CSPCA.crl
.evsecure-crl.verisign.com

A microsoft vem mudando (ou aumentando) constantemente os servidores que liberam acesso ao msn, para nós que bloqueamos tudo e só liberamos o necessário tá sendo horrível de implementar, mas ta aí, por enquanto (19/01/2011) ainda ta funcionando.

Espero ter ajudado.

Forte abraço.

neogorn
(usa CentOS)

Enviado em 31/01/2011 - 10:00h

Bom, Fiz os teste conforme o ultimo post do nosso amigo.
E deu certinho, fiz uma acl liberando acesso a esse links ante da autenticação e funcionou na hora.
Muito obrigado a todos pela ajuda.

diorgny
(usa openSUSE)

Enviado em 24/08/2011 - 19:57h

obrigado a ultima sugestão funcionou perfeitamente