Time out no Banco do Brasil e Facebook

maicoabreu
(usa Debian)

Enviado em 26/03/2012 - 11:46h

Pessoal sou novato no Debian, Firewall e Proxy. Estou gerenciando uma rede onde existe um Proxy Squid e um Firewall em um Debian.
A autenticação desses usuários no Proxy acho que é transparente.
Não sei onde achar a configuração do Firewall, ex: redirecionamento de Porta/IP
Mas o problema que estou tende é o seguinte:
Os usuários da rede entram no site (pagina inicial) do Banco do Brasil e FaceBook normalmente. Porém ao tentar fazer o login estes 2 sites, fica carregando... e não abre.. tipo dá time out.

Segue a descrição no meu Squid.conf

http_port 3128 transparent
cache_dir ufs /cache/squid001 25000 64 256
cache_dir ufs /cache/squid002 25000 64 256
error_directory /usr/share/squid/errors/Portuguese
### ACLS
acl all src all
acl redeNOME src 10.10.1.0/255.255.255.0
acl liberadosgeral src 10.10.1.15 10.10.1.20 10.10.1.25 10.10.1.33 10.10.1.34 10.10.1.39 10.10.1.52 10.10.1.53 10.10.1.54 10.10.1.60 10.10.1.105 10.10.1.100
#acl hr_manha time MTWHF 0:00-11:59
#acl hr_tarde time MTWHF 14:00-17:59
#acl hr_almoco time MTWHF 12:00-13:59
#acl hr_noite time MTWHF 18:00-23:59
acl sitesliberados url_regex -i "/etc/squid/sitesliberados.txt"
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow liberadosgeral
http_access allow sitesliberados
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localhost
http_access deny redejomax
http_access deny all
icp_access allow localnet
icp_access deny all
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid


Já criei uma lista de sites liberados, mas não funciona
Gostaria dessa ajuda.
Como disse sou novato e não sei muito de Proxy/Firewall

Obrigado

renato_pacheco
(usa Debian)

Enviado em 26/03/2012 - 13:38h

Se tá dando timed out, significa q pode existir algum tipo d bloqueio no seu firewall. Verifique isto e, se não souber, poste aki suas regras.

phrich
(usa Slackware)

Enviado em 26/03/2012 - 15:36h

Cara, o seu squid está como transparente, sendo assim, ele não funciona com https, por isso que seu BB e facebook estão dando timeout.

Retire as regras de transparente e "sete" o proxy manualmente no navegador, caso vc tenha um AD ai, vc pode criar uma GPO para isso, caso contrário, vc pode utilizar o Wpad...

Quanto as suas regras, veja o que está dentro de /etc/init.d/ pois tudo o que está ai dentro "teoricamente" está inicializando junto com o S.O., outros locais onde vc pode ver são:

/etc/init.d/rc.local

/etc/rc.local


Para lhe ajudar com o firewall e proxy, veja o artigo abaixo:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel

maicoabreu
(usa Debian)

Enviado em 26/03/2012 - 17:55h

#iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:www redir ports 3128
DNAT tcp -- anywhere anywhere tcp dpt:at-nbp to:10.10.1.5:22
ACCEPT tcp -- anywhere 200.201.166.0/24
ACCEPT tcp -- anywhere 200.201.173.0/24
ACCEPT tcp -- anywhere 200.201.174.0/24


Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- 10.10.1.0/24 200.201.166.0/24
MASQUERADE all -- 10.10.1.0/24 200.201.173.0/24
MASQUERADE all -- 10.10.1.0/24 200.201.174.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



#####################################

# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination


###################################

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT tcp -- anywhere anywhere tcp dpt:3128
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:322
ACCEPT tcp -- anywhere anywhere tcp dpt:http-alt
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:submission state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:submission
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT udp -- anywhere anywhere udp dpt:submission
ACCEPT udp -- anywhere anywhere udp dpt:25
ACCEPT udp -- anywhere anywhere udp dpt:pop3
ACCEPT tcp -- 10.10.1.0/24 anywhere multiport dports ssmtp,pop3s,https
ACCEPT tcp -- anywhere anywhere tcp dpt:at-nbp state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere 200.201.174.207
ACCEPT all -- 200.201.174.207 anywhere
ACCEPT all -- 200.201.174.204 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:5017 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:8017 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp spt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:4201
ACCEPT tcp -- anywhere anywhere tcp spt:4201
ACCEPT tcp -- anywhere anywhere tcp dpt:4202
ACCEPT tcp -- anywhere anywhere tcp spt:4202
ACCEPT tcp -- anywhere anywhere tcp dpt:4203
ACCEPT tcp -- anywhere anywhere tcp spt:4203
ACCEPT tcp -- anywhere anywhere tcp dpt:4204
ACCEPT tcp -- anywhere anywhere tcp spt:4204
ACCEPT tcp -- anywhere anywhere tcp dpt:4205
ACCEPT tcp -- anywhere anywhere tcp spt:4205
ACCEPT tcp -- anywhere anywhere tcp dpt:4206
ACCEPT tcp -- anywhere anywhere tcp spt:4206
ACCEPT tcp -- anywhere anywhere tcp dpt:4207
ACCEPT tcp -- anywhere anywhere tcp spt:4207
ACCEPT tcp -- anywhere anywhere tcp dpt:4208
ACCEPT tcp -- anywhere anywhere tcp spt:4208
ACCEPT tcp -- anywhere anywhere tcp dpt:4209
ACCEPT tcp -- anywhere anywhere tcp spt:4209
ACCEPT tcp -- anywhere anywhere tcp dpt:4210
ACCEPT tcp -- anywhere anywhere tcp spt:4210
ACCEPT tcp -- anywhere anywhere tcp dpt:4211
ACCEPT tcp -- anywhere anywhere tcp spt:4211
ACCEPT tcp -- anywhere anywhere tcp dpt:4212
ACCEPT tcp -- anywhere anywhere tcp spt:4212
ACCEPT tcp -- anywhere anywhere tcp dpt:4213
ACCEPT tcp -- anywhere anywhere tcp spt:4213

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:https state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:322
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:submission state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- 10.10.1.0/24 anywhere tcp dpts:ssmtp:1995
ACCEPT tcp -- anywhere anywhere tcp dpt:submission
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:at-nbp state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- 10.10.1.0/24 200.201.174.207 tcp dpt:www
ACCEPT tcp -- 10.10.1.0/24 200.201.174.204 tcp dpt:www
ACCEPT tcp -- 10.10.1.0/24 200.201.174.204 tcp dpt:2631
ACCEPT tcp -- anywhere anywhere tcp dpt:2631
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere 200.201.166.0/24
ACCEPT tcp -- anywhere 200.201.173.0/24
ACCEPT tcp -- anywhere 200.201.174.0/24
ACCEPT tcp -- 10.10.1.0/24 anywhere tcp dpt:5017
ACCEPT tcp -- 10.10.1.0/24 anywhere tcp dpt:8017
ACCEPT tcp -- anywhere anywhere tcp spt:3389
ACCEPT tcp -- anywhere anywhere tcp dpt:3389
ACCEPT tcp -- anywhere anywhere tcp spt:4201
ACCEPT tcp -- anywhere anywhere tcp dpt:4201
ACCEPT tcp -- anywhere anywhere tcp spt:4202
ACCEPT tcp -- anywhere anywhere tcp dpt:4202
ACCEPT tcp -- anywhere anywhere tcp spt:4203
ACCEPT tcp -- anywhere anywhere tcp dpt:4203
ACCEPT tcp -- anywhere anywhere tcp spt:4204
ACCEPT tcp -- anywhere anywhere tcp dpt:4204
ACCEPT tcp -- anywhere anywhere tcp spt:4205
ACCEPT tcp -- anywhere anywhere tcp dpt:4205
ACCEPT tcp -- anywhere anywhere tcp spt:4206
ACCEPT tcp -- anywhere anywhere tcp dpt:4206
ACCEPT tcp -- anywhere anywhere tcp spt:4207
ACCEPT tcp -- anywhere anywhere tcp dpt:4207
ACCEPT tcp -- anywhere anywhere tcp spt:4208
ACCEPT tcp -- anywhere anywhere tcp dpt:4208
ACCEPT tcp -- anywhere anywhere tcp spt:4209
ACCEPT tcp -- anywhere anywhere tcp dpt:4209
ACCEPT tcp -- anywhere anywhere tcp spt:4210
ACCEPT tcp -- anywhere anywhere tcp dpt:4210
ACCEPT tcp -- anywhere anywhere tcp spt:4211
ACCEPT tcp -- anywhere anywhere tcp dpt:4211
ACCEPT tcp -- anywhere anywhere tcp spt:4212
ACCEPT tcp -- anywhere anywhere tcp dpt:4212
ACCEPT tcp -- anywhere anywhere tcp spt:4213
ACCEPT tcp -- anywhere anywhere tcp dpt:4213

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

renato_pacheco
(usa Debian)

Enviado em 27/03/2012 - 08:39h

Nas suas regras, insira a seguinte regra:

iptables -A FORWARD -p tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j LOG --log-prefix "análise porta 443" --log-level alert

 

Coloque esse linha ANTES da regra de FORWARD da porta 443.

maicoabreu
(usa Debian)

Enviado em 27/03/2012 - 09:32h

Renato,
O que isso faz?
Quem usa essa porta 443?
Eu queria, se possível, uma solução tipo assim... quando o site for tipo, banco do Brasil, etc.. ambiente seguro (que normalmente dá esses problemas, esse acesso não passasse por proxy ou firewall.

Grato pela ajuda

renato_pacheco
(usa Debian)

Enviado em 27/03/2012 - 09:34h

Então, eu quero saber se o tráfego tá passando pela regra, entende? Depois d aplicar a regra, olhe no /var/log/messages o relatório.

maicoabreu
(usa Debian)

Enviado em 27/03/2012 - 11:00h

Srs,
Não estou achando o Arquivo para editar as instruções.
como posso localiza-lo?
Dentro da pasta etc/init.d encontrei vários arquivos, mas nenhum tipo: firewall ou iptables...

Aqui na rede eu tenho um AD, mas acontece que algumas pessoas (DIRETORES) chegam, conectam à rede sem fio... dou um "IP liberado", e eles não fazem login no Domínio... e nem querem ficar ativando/desativando proxy no Mozilla ou IE. E outros usam MAC OS. Então eu preciso de uma solução pra determinados IPs fiquem fora de qualquer restrição.

Obrigado

phrich
(usa Slackware)

Enviado em 27/03/2012 - 11:35h

Veja se dentro de /etc/rc.local tem algum script sendo chamado.


Pelo DHCP, configure os notebooks para pegar sempre o mesmo IP, isso pode ser feito através do MAC address.

Então no iptables (quando vc achar o script), insira a regra:

iptables -A FORWARD -s ip_do_notebook -j ACCEPT

Para os demais host que estejam no domínio, crie uma GPO, para utilizar o proxy.

Demais regras vc pode dar uma olhada no artigo q lhe enviei.