+ Responder ao Tópico



  1. 14-09-2005, 16:46 #1
    hiden
    Visitante

    Padrão SSL (443)

    iai karas blz!?

    to com um probleminha... sei q o squid nao tem suporte a https, (443), etc...
    mais ate ontem ele estava funcionando, tipo: entrando no orkut , gmail, etc. tive q desligar o servidor e hj qdo liguei nao estava mais funcionando.
    A mensagem:

    creio q naum seja pelo firewall da maquina pq com um putro servidor proxy funciona normalmente. naum mexi no squid.conf.
    vcs tem ideia de onde pode estar o erro?

    ah, uma outra duvida se ele naum suporta 443 (as https) soh http, pq tem a acl para a porta 443 q soh usada nas https ?(podem corrigir-me se estiver enganado)

    desde ja valeu
    Citação Citação
  2. 14-09-2005, 23:23 #2
    isnard
    Visitante

    Padrão SSL (443)

    hiden,

    o squid suporta ssl sim, mas ele não cacheia esta conexão, até por que ele não tem os dados que estão passando porque é uma conexão segura. Na verdade ele abre um tunel com o servidor que tu queres acessar. Isso quer dizer que não apenas a porta 443, mas praticamente qualquer porta pode fazer uso deste tunel. Sei de situações em que a porta 22 (ssh) é usada através de proxy e muito seguidamente a porta 25 é usada através do método CONNECT para prática de spam.

    Quanto ao teu problema especificamente, tu tens que fornecer mais detalhes, tipo tem certeza que o squid está recebendo estas conexões? Qual o código de erro de negação que apresenta no access.log? No caso de haver negação no access.log uma boa coisa seria habilitar debug_options all,1 33,2 e ver qual a acl está barrando estas conexões.

    Espero ter te elucidado e não te confundido mais.
    Citação Citação
  3. 15-09-2005, 11:58 #3
    hiden
    Visitante

    Padrão SSL (443)

    cara foi mau naum coloquei a mensagem:
    ERROR
    The requested URL could not be retrieved

    While trying to retrieve the URL: www.google.com:443

    The following error was encountered:

    * Connection Failed

    The system returned:

    (110) Connection timed out

    The remote host or network may be down. Please try the request again.

    no access.log soh aparece isso: 1126795807.274 59656 192.168.0.23 TCP_MISS/503 0 CONNECT www.google.com:443 - DIRECT/64.233.161.147 -

    acredito q naum tenha nenhuma acl barrando pq naum adicionei nenhuma e antes estava funcionando. (parece ateh usuario neh tipo ("ah num fiz nda e paro de funcionar...")
    mais kra foi u q aconteceu, num sei mais detalhes, se quiser eu posto o squid.conf
    falow
    Citação Citação
  4. 15-09-2005, 14:34 #4
    isnard
    Visitante

    Padrão SSL (443)

    hiden,

    o teu proxy é transparente ou tu adiciona configuração no browser?
    Posta o teu squid.conf pra mim poder dar uma olhada.

    O erro diz que foi timeout de conexão e teve como resposta o código 503 (Service Unavailable - por isso o timeout) e diz também que o squid não recebeu nenhum dado como resposta (como tu podes constatar no campo destinado ao nro de bites baixados pela requisição).
    Isso me faz pensar em erro de firewall e não squid. Tu falou que tem outro proxy que funciona. Tem certeza que eles passam pelo mesmo firewall? A máquina em que este squid com problema está instalada não tem um firewall tb?

    Pela mensagem de erro o squid está fazendo o trabalho dele, mas está recebendo mensagem que não consegue conectar.

    Posta o squid.conf (só por desencargo de consciência) e se possível a topologia da tua rede e as regras do firewall.

    Isnard
    Citação Citação
  5. 15-09-2005, 16:40 #5
    hiden
    Visitante

    Padrão SSL (443)

    isnard

    kra eu to usando setado no browser. o squid com problema esta na minha maquina (é soh para testes) entao o firewall q ele ta usando eh o da minha maquina (uso fc4), entao, me corrija se estiver errado, mais setando o outro proxy ele tb passaria pelo meu firewall e ai bloquearia.

    segue o squid.conf:

    http_port 192.168.0.23:3128
    icp_port 3130

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    cache_mgr root
    cache_mem 8 MB
    cache_dir ufs /var/spool/squid 100 16 256
    cache_access_log /var/log/squid/access.log
    cache_effective_user squid
    cache_effective_group squid


    visible_hostname squid.teste.com.br

    acl all src 192.168.0.0/255.255.255.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80
    acl Safe_ports port 21
    acl Safe_ports port 443 563
    acl Safe_ports port 70
    acl Safe_ports port 210
    acl Safe_ports port 1025-65535
    acl Safe_ports port 280
    acl Safe_ports port 488
    acl Safe_ports port 591
    acl Safe_ports port 777
    acl Safe_ports port 901 #SWAT

    acl admin src 192.168.0.23
    acl desbloqueados url_regex -i "/etc/squid/listas/desbloqueados"
    acl bloqueados url_regex -i "/etc/squid/listas/bloqueados"

    acl rede_interna src 192.168.0.0/24
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow bloqueados admin
    http_access deny bloqueados !desbloqueados
    http_access allow rede_interna
    http_access allow manager localhost
    http_access deny manager
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access deny all

    logfile_rotate 10
    Citação Citação
  6. 15-09-2005, 17:02 #6
    hiden
    Visitante

    Padrão SSL (443)

    cara esse proxy esta atras de outro proxy tem influencia neh?
    Citação Citação
  7. 16-09-2005, 02:50 #7
    isnard
    Visitante

    Padrão SSL (443)

    hiden,

    vamos por partes:

    "me corrija se estiver errado, mais setando o outro proxy ele tb passaria pelo meu firewall e ai bloquearia"
    Em parte tu estás certo. Todo e qualquer tráfego que sai ou entra na tua máquina vai passar pelo firewall dela. Resta saber o que está setado no teu firewall, porque quando tu faz uma chamada para https e o browser está setado para usar proxy, o que sai sai da tua máquina (e passa pelo teu firewall) é uma requisição CONNECT à porta 3128 do proxy, e quando o proxy não está setado o que sai da tua máquina é uma requisição para a porta 443 do servidor que tu estás tentando acessar. Sacou a diferença? Então... se o no teu firewall tiver algum bloqueio em relação à porta 443 não vai acessar com o proxy da tua máquina setado no browser. Não acredito que este seja tu problema, mas não custa verificar.


    "cara esse proxy esta atras de outro proxy tem influencia neh?"
    Pergunto: O outro proxy é squid também? Ele é transparente ou tu tem que setar no browser?
    Citação Citação
  8. 16-09-2005, 10:02 #8
    hiden
    Visitante

    Padrão SSL (443)

    kra o outro proxy tambem eh squid, e tambem esta setado no browser.

    agora u q eu axu q ta acontecendo eh o seguinte:
    vamos chamar o proxy q esta funcionando corretamente de : proxy1
    e o outro de teste de: proxy2
    o proxy2, esta atras do proxy1. quer dizer q a saida externa desse do proxy2 eh o proxy1.

    entao para o proxy1, q eh por onde vai sair o proxy2, eu estaria usando o transparente,(que foi configurardo) porque eu naum estaria setando o proxy1 no meu browser entao ele soh vai passa pela porta 80. por isso ele nao passa nda pela 443 nem por ftp.

    axu q fico meio complicado neh, mais blz kra eu axu q "efetivando" o proxy2, ele funcionaria corretamente.

    Falow kra Valeu hein manu!!!
    Citação Citação
  9. 16-09-2005, 10:43 #9
    isnard
    Visitante

    Padrão SSL (443)

    É isso aí mesmo.
    Para tu poderes testar o proxy2 corretamente, o ip da tua máquina teria que ser liberado no firewall da empresa, porque da forma que está a porta 443 parece ter um DROP e não um REJECT setado para conexões que não do proxy1.
    Citação Citação



« Tópico Anterior | Próximo Tópico »