Squid X Sites de Bancos

**gustavo_marcon** · 08-12-2005, 15:28

Pessoal, tenho um servidor rodando squid e nele configurei algumas ACLs, que são da seguinte forma:

Os sites de interesse da firma estão liberados para todos na rede, demais sites somente para pessoas que tem senha.

Até ai tudo bem, está funcionando corretamente.
Minha dúvida é a seguinte: O site do banco do brasil está na lista dos que estão liberados a todos (ou seja, os usuários que ñ possuem senha devem ter acesso também a este site), mas logo depois que entram na tela principal e são redirecionados pra alguma url do próprio site do banco mas que rodam em https o squid volta pedindo senha, e os usuários que não tem senha ñ conseguem usar os serviços do site.

Alguém sabe porque isso está acontecendo?

felco · 08-12-2005, 16:19

Isso e falta de configuracao, voce pode criar uma acl pra porta tipo segura 443 e deixar passar ou pro dominio do site que voce quer

**gustavo_marcon** · 08-12-2005, 17:19

como eu faria uma acl por porta?

desde já obrigado!

**gustavo_marcon** · 09-12-2005, 15:56

alguém sabe como eu criaria uma regra dessas?

felco · 09-12-2005, 16:18

Código :

acl SSL port 443
http_access deny CONNECT !SSL

Existe um exemplo de uso no proprio arquivo de exemplo de configuracao do Squid. Normalmente squid.conf.exemple ou squid.conf.default

Veja bem, antes de mexer no seu Squid voce deve verificar se ha necessidade de tratar esse tipo de trafego no Proxy...
Do meu ponto de vista cachear conexoes seguras nao e muito bom ja que normalmente se trata de sites de Bancos ou sistemas em tempo real.

Na minha opniao voce deveria liberar o acesso dessa porta(443) no seu firewall e permitir que o acesso seja livre nessa porta.

Ha menos que voce tenha um motivo para bloquear.

felco · 09-12-2005, 16:22

HUmmmmmmmm

Entendo... antes de mais nada, voce esta redirecionando o trafego, via iptables, da porta 443 para a porta 3128 do Squid?
Quais porta voce redireciona para o Squid?

Qual o tipo de auth que voce esta usando?
Distribuicao e versao?

**gustavo_marcon** · 09-12-2005, 16:38

to usando slackware 9.1, fazendo autenticação ncsa_auth, na máquina do gerente to fazendo nat geral, pra todas portas, e mesmo assim pede senha, nas outras máquinas não faço nat, só permito navegação pelo proxy, por isso penso que a melhor solução seria pelo squid mesmo...

felco · 09-12-2005, 16:45

Entao voce deve ter regras de MASQ ou SNAT para portas? E uma para o IP do Squid? Voce esta com todas as maquinas com proxy configurado no browser? Manda o seu ruleset

**gustavo_marcon** · 09-12-2005, 17:25

Esse é meu arquivo de firewall/redir:

Código :

#!/bin/bash
/etc/rc.d/rc.squid start
#libera acesso somente a ip/mac específicos
/usr/sbin/iptables -t filter -A FORWARD -d 0/0 -s 10.1.1.10 -m mac --mac-source 00-11-D8-5B-B9-EF -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -d 10.1.1.10 -s 0/0 -j ACCEPT
/usr/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.10 -o eth1 -j MASQUERADE
/usr/sbin/iptables -t filter -A INPUT -s 10.1.1.10 -d 0/0 -m mac --mac-source 00-11-D8-5B-B9-EF -j ACCEPT
/usr/sbin/iptables -t filter -A OUTPUT -s 10.1.1.10 -d 0/0 -j ACCEPT
 
 
/usr/sbin/iptables -t filter -A FORWARD -d 0/0 -s 10.1.1.20 -m mac --mac-source 00-07-95-08-32-EB -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -d 10.1.1.20 -s 0/0 -j ACCEPT
/usr/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.20 -o eth1 -j MASQUERADE
/usr/sbin/iptables -t filter -A INPUT -s 10.1.1.20 -d 0/0 -m mac --mac-source 00-07-95-08-32-EB -j ACCEPT
/usr/sbin/iptables -t filter -A OUTPUT -s 10.1.1.20 -d 0/0 -j ACCEPT
 
 
/usr/sbin/iptables -t filter -A FORWARD -j DROP
#/usr/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
 
#faz proxy transparente
/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
 
 
#redireciona portas
/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to-dest 10.1.1.10
 
 
#ativa o repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
 
#iptables -A FORWARD -s 10.1.1.20 -j ACCEPT
#iptables -A FORWARD -s 10.1.1.0/24 -j DROP
 
echo 1 > /proc/sys/net/ipv4/ip_forward
#/etc/rc.d/rc.squid start
/noip/noip-2.1.1/binaries/noip2-Linux &

Deixo o proxy configurado em cada máquina sim, por causa da autenticação + proxy transparente pois ambos não funcionam em conjunto, dai se o cara tira a config. do browser não navega.

Fabio_Laé · 13-12-2005, 20:44

Na minha opinião vc deveria seguir a dica do felco.

Deixa o navegador configurado pra 3128 somente o http proxy e o restante deixa vazio.

Qto aos forwards, faça os por ip já que nao quer liberar pra todos.

Abraços,

Fabio Laé

Squid X Sites de Bancos

Ferramentas de Tópicos