+ Responder ao Tópico



  1. #1

    Padrão timeout em https no squid

    Olá pessoal,

    Estou usando um debian sarge 3.1 e usei o squid.conf de proxy que eu tinha pro CL10. O que esta ocorrendo é que as páginas https (por ex. login do hotmail) dão timeout e não entram.
    O firewall não está bloqueando as portas 443 e 563.

    OBS: O cliente usa uma conexão com a internet com ip dinâmico em ppp0.

    ###########################################
    O squid.conf esta assim:
    ###########################################
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_dir ufs /var/cache/squid 100 16 256
    cache_access_log /var/log/squid/access.log
    auth_param basic children 5
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    #Recommended minimum configuration:
    acl all src 10.10.10.0/24
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 510 # CAT
    acl Safe_ports port 2631 # Conectividade social
    acl Safe_ports port 8017 # Conectividade programa
    acl Safe_ports port 1080 # TED
    acl CONNECT method CONNECT

    acl sities url_regex -i "/toc/blacklist.dat"
    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    acl PRIVILEGIADO src 10.10.10.14
    http_access allow PRIVILEGIADO
    http_access deny sities
    deny_info Under-Linux.Org sities
    http_reply_access allow all


    httpd_accel_host virtual
    httpd_accel_port 80

    httpd_accel_with_proxy on
    coredump_dir /var/cache/squid
    httpd_accel_uses_host_header on

    ############################################

    Alguém tem alguma sugestão do que está errado? Valews....
    Última edição por netuno; 03-01-2007 às 13:54. Razão: lembrei do IP dinâmico

  2. #2

    Padrão

    Você tem regras de MASQUERADE no seu firewall também? Lembre-se que HTTPS não passa por proxy transparente, caso você esteja utilizando.



  3. #3

    Padrão

    Olá,

    Sim estou com proxy transparente, eu li sobre o https mão funcionar em proxy transparente. Mas também tenho clientes que rodam proxy transparente no conectiva 10 e nunca tiveram problemas com https. Mas apenas esse servidor (meu primeiro em Debian) está acontecendo isso.
    Ontem eu fiz alterações e configurei uma maquina para acessar pelo proxy e funcionou. Porém gostaria que ficasse como no conectiva, proxy transparente e https funcionando sem configuração no navegador.
    No Debian mesmo redirecionando a 443 e 563 para o squid não funciona. Pensei em impedir cache com paginas https para evitar erro do servidor, o que vc acha?

  4. #4

    Padrão

    Mas tu tem regra de MASQUERADE aí no seu servidor?



  5. #5

    Padrão

    sim,

    iptables -t nat -A POSTROUTING -o $DEVEXT -j MASQUERADE

  6. #6

    Padrão

    Nunca trombei problema de módulo do iptables no Debian, mas talvez você precise carregar alguns... Dê uma olhada nos scripts de firewall que existem postados que você vai encontrar os quê você precisa carregar.