+ Responder ao Tópico



  1. #1

    Padrão Squid X Sites de Bancos

    Pessoal, tenho um servidor rodando squid e nele configurei algumas ACLs, que são da seguinte forma:

    Os sites de interesse da firma estão liberados para todos na rede, demais sites somente para pessoas que tem senha.

    Até ai tudo bem, está funcionando corretamente.
    Minha dúvida é a seguinte: O site do banco do brasil está na lista dos que estão liberados a todos (ou seja, os usuários que ñ possuem senha devem ter acesso também a este site), mas logo depois que entram na tela principal e são redirecionados pra alguma url do próprio site do banco mas que rodam em https o squid volta pedindo senha, e os usuários que não tem senha ñ conseguem usar os serviços do site.

    Alguém sabe porque isso está acontecendo?

  2. #2
    felco
    Visitante

    Padrão Squid X Sites de Bancos

    Isso e falta de configuracao, voce pode criar uma acl pra porta tipo segura 443 e deixar passar ou pro dominio do site que voce quer



  3. #3

    Padrão Squid X Sites de Bancos

    como eu faria uma acl por porta?

    desde já obrigado!

  4. #4

    Padrão Squid X Sites de Bancos

    alguém sabe como eu criaria uma regra dessas?



  5. #5
    felco
    Visitante

    Padrão Squid X Sites de Bancos

    Código :
    acl SSL port 443
    http_access deny CONNECT !SSL

    Existe um exemplo de uso no proprio arquivo de exemplo de configuracao do Squid. Normalmente squid.conf.exemple ou squid.conf.default

    Veja bem, antes de mexer no seu Squid voce deve verificar se ha necessidade de tratar esse tipo de trafego no Proxy...
    Do meu ponto de vista cachear conexoes seguras nao e muito bom ja que normalmente se trata de sites de Bancos ou sistemas em tempo real.

    Na minha opniao voce deveria liberar o acesso dessa porta(443) no seu firewall e permitir que o acesso seja livre nessa porta.

    Ha menos que voce tenha um motivo para bloquear.

  6. #6
    felco
    Visitante

    Padrão Squid X Sites de Bancos

    HUmmmmmmmm

    Entendo... antes de mais nada, voce esta redirecionando o trafego, via iptables, da porta 443 para a porta 3128 do Squid?
    Quais porta voce redireciona para o Squid?

    Qual o tipo de auth que voce esta usando?
    Distribuicao e versao?



  7. #7

    Padrão Squid X Sites de Bancos

    to usando slackware 9.1, fazendo autenticação ncsa_auth, na máquina do gerente to fazendo nat geral, pra todas portas, e mesmo assim pede senha, nas outras máquinas não faço nat, só permito navegação pelo proxy, por isso penso que a melhor solução seria pelo squid mesmo...

  8. #8
    felco
    Visitante

    Padrão Squid X Sites de Bancos

    Entao voce deve ter regras de MASQ ou SNAT para portas? E uma para o IP do Squid? Voce esta com todas as maquinas com proxy configurado no browser? Manda o seu ruleset



  9. #9

    Padrão Squid X Sites de Bancos

    Esse é meu arquivo de firewall/redir:

    Código :
    #!/bin/bash
    /etc/rc.d/rc.squid start
    #libera acesso somente a ip/mac específicos
    /usr/sbin/iptables -t filter -A FORWARD -d 0/0 -s 10.1.1.10 -m mac --mac-source 00-11-D8-5B-B9-EF -j ACCEPT
    /usr/sbin/iptables -t filter -A FORWARD -d 10.1.1.10 -s 0/0 -j ACCEPT
    /usr/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.10 -o eth1 -j MASQUERADE
    /usr/sbin/iptables -t filter -A INPUT -s 10.1.1.10 -d 0/0 -m mac --mac-source 00-11-D8-5B-B9-EF -j ACCEPT
    /usr/sbin/iptables -t filter -A OUTPUT -s 10.1.1.10 -d 0/0 -j ACCEPT
     
     
    /usr/sbin/iptables -t filter -A FORWARD -d 0/0 -s 10.1.1.20 -m mac --mac-source 00-07-95-08-32-EB -j ACCEPT
    /usr/sbin/iptables -t filter -A FORWARD -d 10.1.1.20 -s 0/0 -j ACCEPT
    /usr/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.20 -o eth1 -j MASQUERADE
    /usr/sbin/iptables -t filter -A INPUT -s 10.1.1.20 -d 0/0 -m mac --mac-source 00-07-95-08-32-EB -j ACCEPT
    /usr/sbin/iptables -t filter -A OUTPUT -s 10.1.1.20 -d 0/0 -j ACCEPT
     
     
    /usr/sbin/iptables -t filter -A FORWARD -j DROP
    #/usr/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
     
    #faz proxy transparente
    /usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
     
    #redireciona portas
    /usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to-dest 10.1.1.10
     
     
    #ativa o repasse de pacotes
    echo 1 > /proc/sys/net/ipv4/ip_forward
     
    #iptables -A FORWARD -s 10.1.1.20 -j ACCEPT
    #iptables -A FORWARD -s 10.1.1.0/24 -j DROP
     
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #/etc/rc.d/rc.squid start
    /noip/noip-2.1.1/binaries/noip2-Linux &

    Deixo o proxy configurado em cada máquina sim, por causa da autenticação + proxy transparente pois ambos não funcionam em conjunto, dai se o cara tira a config. do browser não navega.

  10. #10
    Fabio_Laé
    Visitante

    Padrão siga o felco

    Na minha opinião vc deveria seguir a dica do felco.

    Deixa o navegador configurado pra 3128 somente o http proxy e o restante deixa vazio.

    Qto aos forwards, faça os por ip já que nao quer liberar pra todos.

    Abraços,

    Fabio Laé