+ Responder ao Tópico



  1. #1

    Question Acl dstdomain

    Galera, boa noite a todos. Estou com um problema que sinceramente, não consegui resolver. Estou instalando um servidor com firewall e proxy squid, utilizando a distribuição CentOS. Instalei e está funcionando legalzinho. Só que surgiu um problema que não estou conseguindo solucionar. A pedido do usuário, eu estou usando no Squid a ACL dstdomain. Fica mais fácil ele controlar a empresa, direcionando apenas para sites que a empresa necessita. Acontece que hoje uma funcionária foi acessar o citibank e esse banco faz um redirecionamento para um outro endereço que começa com https://latam.citibank.com/xxx.
    No arquivo onde eu coloquei os sites para a acl dstdomain tem o www.citibank.com.br, escrito .citibank.com.br, sem o www, que é como define o dstdomain. Tentei colocar o https://latam.citibank.com/xxx também na mesma forma. Ou seja .latam.citibank.etc. Mas dá erro Squid. Acesso Negado. Como se define na acl dstdomain esse tipo de acesso que começa com https e que não tem o www no início ? Já andei pesquisando no google, já entrei no site do Squid, mas não tem nenhum exemplo mostrando isso. Como faço para resolver isso galera. Fico desde já agradecido, a quem possa passar a solução. Um abraço a todos.

  2. #2

    Padrão

    Para mim, eu crio uma ACL para as portas SSL, tipo

    acl SSL_ports port 443 563

    e ele aceita o dominio, normalmente.

  3. #3

    Padrão

    squid transparente? não funciona o https nessa condição e isso é comum nos sites de bancos iniciarem com um endereço e terminarem com outro. Alguns detran são assim também.

    bem, o que vc pode fazer: usar o iptables para NÃO passar o ip-addr desse banco (ou outro) pelo squid ou criar uma acl para não passar o dominio pelo squid mas sim sair diretamente (eu nunca consegui esse feito - rs) ou então, como já fiz várias vezes, bloquear via iptables, assim:

    $IPT -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset

    o que isto faz: TUDO o que vier de sua lan terá de passar pelo squid que então, já não é transparente (o usuário terá que indicar o proxy no navegador)

    com isso, só sai para a net aquilo que tiver a assinatura (UID) do squid

    eu achei mais fácil, mas enfim..

    divirta-se.

  4. #4

    Padrão

    estranho, eu uso squid transparente a anos, instalos nos clientes, e nunca precisei de uma regra no iptables para acessar site de bancos.

  5. #5

    Padrão

    Irado, eu estou usando Squid autenticado. E está autenticando corretamente, ou seja pedindo usuário e senha, e no firewall estou redirecionando a porta 80 e 443 para a 3128 e nos navegadores, estou configurando para passar pelo proxy no ip 192.168.1.250 porta 3128. Isso está correto ???

  6. #6

    Padrão

    443 nao faz nao, senao vai ter problemas nos acessos a banco. O resto esta correto, e isso mesmo.