Pq autenticacao do hotmail nao passa pelo squid? sem regra

fala manows =]


Mais uma vez venho recorrer ao forum para sanar uma duvida.


Tenho aqui na Lan o squid transparente para repassar a conexao.
O problema eh:
ele nao autentica no hotmail.
supondo que o usuario tenho uma conta no hotmail , ele entra na pagina do hotmail mas quando tenta entrar em sua conta de email nao abre , e acaba caindo como pagina nao encontrada.
Nao estou usando nat , estou usando apenas o squid.

e quando abilito a regra de Nat vai que eh uma beleza , o problema eh, que quando libero nat tambem libero icq, messenger , kazaa entre muitas outras desgracas que os usuarios teimam em usar.
Isso nao acontece apenas com a pagina do hotmail , acontece tambem com um link especifico da pagina do BAnco do Brasil.
Fora essas duas paginas todas outras funcionam , o problema eh que realmente aqui na Lan tem que ter acesso a pagina do Hotmail.
Tenho como fazer uma regra de nat apenas do ip do hot mail para entrar na minha lan?

Vcs que tem Squid como proxy , testem isso para verem.
Coisa estranha.
deve ser provavel que ele abra uma outra porta para fazer conexao segura , e meu squid nao esta deixando passar.
tenho como criar essa regra no iptables??
Ja tentei Fazer uma acl no squid para liberar a pagina do hotmail.
+ infelizmente nao adiantou.
desde Ja.
Obrigado.

Abracos a todos e bom final de semana.
:wink:

Olha como a microsoft eh escrota!

para entrar no hotmail e acessar os email , tenho que far forward na porta 443 ssl com o iptables.

+ se eu faco isso o filha da p*** do menseenger tambem entra na internet , pois ele vai na porta fdp 443 que ta aberta.

eu nao posso repassar essa porta pro squid pois ele nao entende.


alguem tem uma solucao?

abracos :cry:

Estou com este probleminha em minha empresa, mas curiosamente com o Opera abre tanto o site do Hotmail quanto em qualquer conta deste.

Com relação ao MSN você pode usar as seguintes regras:

IF_EXT= interface externa - internet

$IPTABLES -A OUTPUT -s 192.168.0.22 $IF_EXT -d 207.46.96.0/19 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.22 -o $IF_EXT -d 207.46.96.0/19 -j ACCEPT
$IPTABLES -A OUTPUT -d 207.46.96.0/19 -j DROP
$IPTABLES -A FORWARD -d 207.46.96.0/19 -j DROP

Nestas regras você bloqueia para a toda rede e libera somente para o IP 192.168.0.22

Com relação à porta 443, farei um teste liberando esta e ver se resolve.

Abraços e boa sorte.

Mauro Garcia Jr.
Administrador de Rede
Câmara Municipal de Volta Redonda - RJ

Valew pela Resposta garcia, porem solucionei esse problema utilizando o squid, e bloqueando a palavra messenger.


Valew

abracos =]

Sabe o que é mais engraçado.

Pelo Internet Explorer o site do Hotmail só abre a página principal, porém pelo Opera consigo acessar a conta normalmente.

Abraços.

Citação:

---

Postado originalmente por MAJOR

Olha como a microsoft eh escrota!

para entrar no hotmail e acessar os email , tenho que far forward na porta 443 ssl com o iptables.

+ se eu faco isso o filha da p*** do menseenger tambem entra na internet , pois ele vai na porta fdp 443 que ta aberta.

eu nao posso repassar essa porta pro squid pois ele nao entende.


alguem tem uma solucao?

---

Major..

O SQUID nao suporta Transparent Proxy na porta 443 e em qualquer uma diferente da 80.. o problema nao é da MS e sim do squid..

Não entendi pq vc fala que a MS é escrota.. o fato deles redirecionarem o serviço de autenticacao para um certificado HTTPS faz deles isso ?

No meu ver.. isso é o minimo que se espera.. em termos de login seguro...

isso iria acontecer em qualquer site HTTPS com o squid + proxy transparent.. Seja da MS ou NAO... entao nao culpe.. quem nao tem culpa..

PS.: Nao estou aqui na posição de defender a MS.. apenas detalhando pq isso acontece.. vamos ficar bem claros..

[]'s

Danilo,

Você faz idéia de onde possa ser este erro no Squid.

Atualizei meu Squid para 2.5STABLE7, porém o mesmo continua. Não consigo abrir as contas de email do Hotmail.

Abraços e obrigado.

Citação:

---

Postado originalmente por Garcia

Danilo,

Você faz idéia de onde possa ser este erro no Squid.

Atualizei meu Squid para 2.5STABLE7, porém o mesmo continua. Não consigo abrir as contas de email do Hotmail.

Abraços e obrigado.

---

O fato do SQUID nao suportar proxy transparent em outras portas que nao seja a 80 nao é um ERRO é uma feature não suportada do serviço atualmente..

Nossa Danilo, me desculpe mas acho que me entendeu mal =]

Sei que você não está defendendo a microsoft nem nada, porem a data desse meu post é de abril, e graças a deus já estudei bastante o squid de abril para dezembro e felizmente consegui solucionar esse problema, e por incrivel que pareça é simples.

Sem duvida é o minimo que uma conexão segura ssl requer , prem muitos outros serivdores de email como GMAIL, YAHOO, entre outras grandes não requisitam, o forward da porta 443, e foi exatamente com isso que me estressei.
Sou radicalmente pro LINUX, sei que isso é um defeito meu, e fiquei FUDIDO mesmo quando SÓ a mer... do HOTMAIL não entrava na minha rede.

Porem como já disse esse problema foi solucionado.

E agradeço pelas pessoas que tiverem o mesmo problema poderem recorrer a este post posteriormente.


Grandes Abraços

Garcia, repasse com iptables sua porta 443.


iptables -A FORWARD -p tcp --dport 443 -j ACCEPT


pronto amigo, todos acessaram seus HOTMAIL's =]



abracos =]

á caso tenha problemas de acessos a msn,como eu tive, pois o msn busca a porta 443 crie uma acl no squid que bloquei a palavra msn e messenger.

Isso resolve seu problema



abracos

:wink:

rsrs..

blz Major..

nem tinha visto que o post era tao antigo.. é que ele estava no TOP da lista da UNDER.. por isso respondi.. nem vi a data..

[]'s

Garcia você tem razão!!!!!!!!!


meus clientes com explorer não estão mais conseguindo logar no hotmail.


apenas firefox está autenticando no hotmail.
isso está acontecendo des de sexta feira quando saiu a versão nova do messenger 6.2.

ai pessoal, venho apelar junto ao meu amigo Garcia...

alguem está conseguindo ver seus email no hotmail atravez do explorer, passando pelo proxy squid??????


quem tiver a oportunidade teste.


aguardo respostas....


:wink:

testei o firefox nas estações e funciona perfeitamente, consigo acessar a conta de hotmail, porem o Iexplorer para apos me logar no hotmail....

não tenho como migrar todos os navegadores da instituição...


sugestões seram muito bem vindas.

para mim esta funcionando normal aqui..

IE 6.0 + Messenger 6.2

hum.....

sua estação está passando por proxy transparente?

você tem regra de forward ????

nao uso Proxy Transparent..

regras de FORWARD apenas para a porta 25 e 110

[]'s

vix...

caracas....

vou testar retirar a transparencia do proxy, vamos ver...

Exato, isso só acontece quando o squid está trabalhando em modo transparente.
erro sinistro.

soluções????

bom.. nao sei se isso te deixa mais feliz ou mais triste..

mais mesmo estando em modo transparent.. o meu funciona..

fiz agora so para efeito de teste..

claro que com essa config.. tem que liberar a porta 443 (HTTPS) no Firewall ok.. pois o squid nao suporta proxy transparent na porta 443.

o loko.
não fala isso não que vocÊ me deixa triste....

ok, como o jack estripador diria, vamos por partes.


como esta suas regras de iptables, no caso FORWARD...

DROP? e depois ACCEPT certo?

qual regra no iptables esta usando para tornar o proxy transparente?


agradeço des de já.

iptables -A PREROUTING -t nat -p tcp -i ethx -s rede_internet --dport 80 -j REDIRECT --to-port 3128

sim.. meu forward esta em DROP

[]'s

Tenho exatamente a mesma regra que você.

passo em FORWARD minha porta 443 para as estações...



porem ainda não consegui. continua travando o login.

vc esta fazendo o POSTROUTING para a porta 443?

isso é necessario..

Prezados,

tb estou passando o mesmo perrengue ... Alguém tem dicas????????????

POST na porta ssl ???


não estou fazendo não...


vou testar....


443 para a propria 443?????


abracos

Citação:

---

Postado originalmente por MAJOR

POST na porta ssl ???


não estou fazendo não...


vou testar....


443 para a propria 443?????


abracos

---

o que vc chama de 443 para a proprio 443??

uma vez que o squid nao suporta Transparent Proxy para HTTPS.. vc tem que fazer a liberação da porta via NAT.. e isso envolve de acordo com o fluxo do iptables que seja liberado a passagem dos pacotes com saida da porta 443 pela chain FORWARD e apos sofrer roteamento por essa chain.. os mesmos pacotes precisam sofrer NAT para a internet. alterando o cabeçalho IP desse pacotes pelo IP do firewall na porta 443..

isso indica que que se tiver alguma regra de PREROUTING na porta 443 para o squid.. retire..

iptables -t nat -A POSTROUTING -o ethX -p tcp --dport 443 ??????


não funcionou ainda não....

Citação:

---

Postado originalmente por MAJOR

iptables -t nat -A POSTROUTING -o ethX -p tcp --dport 443 ??????


não funcionou ainda não....

---

se a regra estivesse certa.. funcionaria... :D

vc nao esta fazendo nat nenhum ae..

O problema é específico na autenticação do hotmail. No meu caso, qualquer outra conexão segura está funcionando (https) como por ex. sites de bancos e autenticação segura do yahoo ...

Flavio-RJ

No seu caso pode ser algum problema de resolucao DNS para a UTL segura do hotmail ou Webdav method utilizado pelo site do hotmail que o seu squid nao esta suportando..

Não tenho nenhuma regra PREROUTING da ssl para o squid.

tenho apenas uma regra de forward para a 443.

Citação:

---

Postado originalmente por MAJOR

Não tenho nenhuma regra PREROUTING da ssl para o squid.

tenho apenas uma regra de forward para a 443.

---

quando vc faz algum FORWARD .. o mesmo sempre ira depender de um NAT.. se isso for para a internet..

poe isso aqui..


iptables -A POSTROUTING -t nat -p tcp -o ethx_externa -s rede_interna --dport 443 -j SNAT --to IP_EXTERNO_DO_FIREWALL

Poe essa regra ae tudo na mesma linha ok..

seria interessante vc dar uma estudada no IPTABLES..

To com o mesmo problema do Major.
Ih eh o seguinte so nao funciona no Internet Explorer entao nao eh problema no Squid, no Firefox funciona sem problema

Danilo, valew pela ajuda, não sou nenhum especialista em iptables, porem me viro bem....

=]

olha só Danilo, a regra ainda não tornou possivel o acesso ao hotmail, talvez não estejamos nos entendendo....
vou tentar mostrar como são minhas regras.


vamos lá.

inicialmente executo DROP em input e forward ,


depois faço um MASQUERADE na minha rede externa eth0


depois executo o PREROUTING para meu proxy transp..

então oq eu fazia até semana passada que funcionava era um FORWARD accept na minha porta 443, porem isso parou de funcionar agora, 6 feira .


estou tentando entender pq tenho que fazer um POSTROUTING na minha porta 443, dinovo, pois isso já estaria sendo feito no meu POSTROUTING MASQUERADE não???


valew pela paciencia =]



:wink:

Citação:

---

Postado originalmente por MAJOR

estou tentando entender pq tenho que fazer um POSTROUTING na minha porta 443, dinovo, pois isso já estaria sendo feito no meu POSTROUTING MASQUERADE não???

---

Sim.. ja tem uam regra fazendo um NAT FULL claro que nao precisa de uma segunda regra..

eu disse para vc adicionar apenas para garantir que o nat estava sendo executado para esse fim..

Felco,

Da uma conferida ae.. pois para mim esta funcionando normal.. seja com firefox.. seja com IE.. seja com qualquer navegador..

[]'s

Sim Felco, tá bem estranha a situação...

não estou entendendo como o Danilo está conseguindo acessar o hotmail.


eu consigo acessar com firefox, mozilla etc... todos brownsers, menos o IE.

se eu retiro meu proxy transparente, tambem consigo acessar.
Se eu faço um repasse de pacotes direto, tambem consigo acessar, porem se coloco meu proxy transp ele para.

Tá foda.

tenho certeza que está acontecendo com muito gente isso, e é por isso que estou tentando entender pq isso ocorreu.

Detalhe... no Opera tambem funciona.
Conspiracao Anti-IE pela propria MS?! "Vamos evitar maiores spyware"
kkkkkkkkkk
Eu em um poste castelhano, espanhol algo-do-tipo que parece que contas antigas bem antigas do Hotmail conseguem acessar algo envolvendo o cache nao entendi muito ai vai o link:
http://www.linuxparatodos.net/geeklo...&fromblock=yes
Por enquanto eu mandei meu Squid down ate solucionar o problema

Estou usando o squid 2.4STABLE7...

impossivel eu dar down no meu squid.


ele faz meu DENY a sites pornos e msn icq etc...

apenas para efeito de informacao.

minha conta do hotmail é aquelas de usa @msn.com ainda.. umas das primeiras que surgiram..

é isso.

tenta pegar uma conta de alguem que tenha [email protected]


ai você entendera, oq estou falando Danilo =]


Abracos manowww..

:roll: É, tá brabo...

bom.. se era para testar eu testei..

usei a conta da minha noiva.. que é @hotmail.com

e ta funcionando tb..

[]'s

Cara isso, sem ironia, nao me surpreende porque o Internet Explorer eh um browser totalmente MS-Like eles fazem do jeito que eles querem sites MS-Like fufam no IE eh abrem torto nos outros browsers, por algum motivo eles fizeram alguma alteracao no hotmail eh o IE ainda "nao entende" pq a gambiarra ali eh grande =PPPPPP
Major fica tranquilo nao somos os unicos to vendo os posts sugindo nos forums por ai
Ainda bem que por aqui na preciso bloquea nada! :lol:

de repente é algum problema com contas do hotmail que estao em um determinado servidor da microsoft.. e que por coincidencia vcs devem estar no mesmo barco..

porem.. a autenticacao é feita e um Front-End deles.. que tem varios servidores em cluster...

Muito estranho isso.

Aqui na empresa com o Opera abre que é uma beleza.

Cheguei até a atualizar o Squid para a última versão disponível, mas de nada adiantou.

Em minhas pesquisas sem fim pelo Google, relacionei algo que talvez ajude a todos os colegas que estejam com o mesmo problema.

Pelo menos para que possam testar. Aqui seguem estas:

https://under-linux.org/forum8-22637.html
http://ftp.pop-mg.rnp.br/squid/mail-...9910/0095.html

Outra coisa, e, alguns micros que possuem o IE6, em suas opções de Internet, na guia Avançadas, eu desabilitei a opção Usar HTTP 1.1 e funcionou, sem mexer nas regras do Squid e/ou Firewall.

Vamos ver se conseguimos resolver o mais rápido possível.

Abraços e obrigado pela ajuda que tenho recebido.

Mauro Garcia Jr.
Administrador de Rede
Câmara Municipal de Volta Redonda - RJ

Segundo o link do Garcia..

"Hotmail & MS OutLook use PROPFIND method from HTTP1.1"

é exatamente aquela situacao que eu comentei antes dos Metodos Webdav HTTP 1.1 que o Hotmail usa..

coloquem isso aqui no squid.conf de vc's..

##########################
# TAG: extension_methods #
##########################
extension_methods SEARCH BMOVE MOVE BDELETE DELETE BPROPFIND REPORT MERGE MKACTIVITY CHECKOUT SUBSCRIBE UNSUBSCRIBE MKCOL POLL BCOPY CHECKOUT GNUTELLA GET POST HEAD PUT

Cara aqui sempre funciono, paro de funciona esses dias talvez no mesmo dia que o Major mas so me chamaram a atencao ontem pensei q era uma maquina com problema resolvi com uh firefox mas hoje ja vieram 2 pessoas me dizer que tbm nao estavam conseguindo acessar entao eu vi fui ver eh realmente o IE nao esta abrindo o Hotmail passando pelo Squid

Valeu Danilo, mas tb ñ funcionou ...

Citação:

---

Postado originalmente por Danilo_Montagna

Segundo o link do Garcia..

"Hotmail & MS OutLook use PROPFIND method from HTTP1.1"

é exatamente aquela situacao que eu comentei antes dos Metodos Webdav HTTP 1.1 que o Hotmail usa..

coloquem isso aqui no squid.conf de vc's..

##########################
# TAG: extension_methods #
##########################
extension_methods SEARCH BMOVE MOVE BDELETE DELETE BPROPFIND REPORT MERGE MKACTIVITY CHECKOUT SUBSCRIBE UNSUBSCRIBE MKCOL POLL BCOPY CHECKOUT GNUTELLA GET POST HEAD PUT

---

Seguinte pessoal no bugzilla do squid achei uma dica que já testei e agora o acesso está ok no hotmail com IE e proxy transparente, basta adicionar as seguintes linhas no squid.conf.

Código :

---

acl hotmail_domains dstdomain .hotmail.msn.com 
header_access Accept-Encoding deny hotmail_domains

---

Depois que eu adicionei essas linhas no meu squid foi só dar uma /usr/sbin/squid -k reconfigure e funcionou na hora, testem ai e digam se deu certo, até mais.[/code]