Squid com Proxy não transparente - erro em https

arasouza
(usa Debian)

Enviado em 14/04/2013 - 10:47h

Pessoal é o seguinte devido a gama de pcs que tenho na rede, estou implantando o proxy não transparente, devido a mudança de politica de acesso, e bloqueio de sites como facebook, depois de pesquisar muito vi q o proxy não transparente é a forma mais simples de realizar estes bloqueios, obrigando a passagem pelo squid, o problema é que quando eu ativo o cache full, sites como gmail e mesmo o facebook, não abre, simplesmente ela tenta carregar e não abre, avisando que não conseguiu abrir o site, caso eu desative o proxy no navegador ele abre tranquilamente, então supunho que seja alguma configuração no squid.conf, já que sem proxy ele navega normal. segue o meu squid.conf, e peço a ajuda de vcs para q possamos identificarmos esse problema:

http_port 3128 transparent
visible_hostname servidor
cache_mgr webmaster@localhost
error_directory /usr/share/squid3/errors/Portuguese

#hierarchy_stoplist cgi-bin ?

acl localhost src 127.0.0.1/32
acl localnet src 10.0.0.0/8
acl localnet src 192.168.2.0/24
acl manager proto cache object

#################### Inicio do Cache ###########################################

#Quantidade de Memoria Ram dedicada ao cache
cache_mem 1024 MB
maximum_object_size_in_memory 64 MB
maximum_object_size 512 MB
minimum_object_size 0 KB

#Tamanho Minimo eaximo para cocar a limpar os files antigos
cache_swap_low 90
cache_swap_high 95

# Tamanho do Cache, tamanho de pastas, e tamanho de subpastas
cache_dir ufs /var/spool/squid3 2048 16 256
access_log /var/log/squid3/access.log

#Verifica os arquivos baixados
# Define o periodo de tempo que o squid vai guardar que o ftp gopher e o htpp, ficam no cache, o primeiro valor é o tempo que ele verifica a atualização do arquivo 15, 15 minutos
# o ultimo valor seria o dia no caso de 2280 2 dias o arquivo ficara no cache
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 0 20% 2280


refresh_pattern -i (/cgi/bin/|\?) 0 0% 0



#################### Fim do Cache ###############################################

http_access allow manager localhost
http_access deny manager

dns_nameservers 10.10.20.253 10.10.20.252

#redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
#redirect_children 8

acl purge method PURGE
http_access allow purge localhost
http_access deny purge

acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 563 # nntps
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # swat
#acl Safe_ports port 1025-65535 # unregistered ports
http_access deny !Safe_ports

acl connect method CONNECT
acl SSL_ports port 443 # https
acl SSL_ports port 563 # nntps
acl SSL_ports port 873 # rsync
http_access deny connect !SSL_ports


#bloqueando o dominio inteiro
#acl bloqueados dstdomain "/etc/squid3/domains

#Bloquando por palavras
#acl words dstdom_regex -i "/etc/squid3/words"

#http_access deny ips-bloqueados
#http_access deny bloqueados
#http_access deny words
http_access allow localnet
http_access allow localhost
http_access deny all

stefaniobrunhara
(usa CentOS)

Enviado em 14/04/2013 - 11:13h

Se você precisa conectar nas porta seguras, não seria o caso de retirar o http_access deny !Safe_ports?

E deixar apenas http_access deny connect !SSL_ports !!

arasouza
(usa Debian)

Enviado em 14/04/2013 - 11:41h

Blz estefanio, mas só uma pergunta, (confirmando uma dúvida), nesse caso estarei liberando conexões para todas as outras portas correto?? só uma coisinha q não mencionei eu utilizo o dansguardian na porta 8080, e estou redirecionando no iptables, todas das 80 e 3128 para a 8080. Bem irei fazer o teste e posto assim q possível.