Problema com sistema web que usa java script, CGI DELPHI e HTML e utiliza a porta 443

[alexandresouzao]

Olá pessoal.

Estou com um grande problema, implementei um conectiva 10 com squid e iptables em nossa empresa para controle da internet, tudo esta funcionando normalmente, exceto um site de uma grande empresa MANNESMANN que precisamos usar com frequencia para inclusão e liberação de nossos funcionários às dependencias desta empresa. www.vmtubes.com.br/acessovmb.
Fica dando erros diversos, no prórpio site exemplo: Erro 2 abrindo arquivo E:Senior Tempsgiweb397217537833344.dat, outra coisa estranha é que ao clicar nas opções do site ele mantém a mesma página anterior, ou seja, vc acessa o site e clica em uma das opções e ele abre, se quero mudar para outra opção ele mantém a primeira página clicada.
Antes tinha um ISA server e funcionava tudo bem.
Entrei em contanto com o cara que fez o site e ele me respondeu que não podia me ajudar em nada só me disse que o sistema web usa java script, CGI DELPHI e HTML e utiliza a porta 443
Ja fiz de tudo liberei e redirecionei a potas no iptable, realmente não sei mais oque fazer, se alguem puder me ajudar.
Existe alguma opção de dizer ao squid para que este site não passe pelo proxy, ou alguma coisa pareceda? Porque como disse anteriormente com o ISA funcionava e se ligo alguma estação diretamente a internet funciona normalemnte
Agradeço desde já.

Abração a todos

[irado]

normalmente esses sites pentelho fazem o redirecionamento para uma outra página, então (no squid) o site principal tá liberado, mas o secundário não, aí mela - a situação é MAIS OU MENOS como o site de "conectividade social" da caixa.

Faça assim: acesse o site e SIGA passo-a-passo toda a ação que usuario faz; quando seu squid mostrar a página "proibido", no rodapé menciona o site para onde vc foi direcionado. Acrescente regra no iptables. Vá de novo, nova regra, vá de novo,nova regra... até que a página que vc busca se abra. É um saco, mas acaba bem.

Ou então vc pega o bloco todo (whois) dêsse maledeto e libera no firewall.

[Frusciante]

Não é querendo ser chato nem intrometido, mas às vezes o problema é no squid.conf, mas especificamente na declaração da porta HTTPS (443).
Verifica aí depois conta pra gente.

abracos

[vioflas]

Já tentou ver tirando o proxy pra testar deixando só o NAT pra vc isolar o problema?

[alexandresouzao]

Oi pessoal,
Antes de qualqueeur coisa obirgado pela atenção.
Já tinha verificado a questão do site ser redirecionado para outro endereço como o irado disse mas ele usa o mesmo endereço. Desculpa a ignorancia mas realmente não entendi quando você disse (Whois).
No squid.conf, já liberei no acl Safe_ports port 443 e acl noblock_ports port 443 e http_acces Safe_ports e noblock_ports, teria mais alguma coisa a fazer?
No iptalbes liberei assim:
iptables -A INPUT -p TCP -i eth1 --sport 443 -J ACCEPT
iptables -A FORWARD -p tcp -s 192.168.2.0/24 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT

Outra dúvida que tenho, consigo fazer com determinado site não passe pelo proxy?

Em relação ao que o vioflas mencionou ainda não testei, farei o teste e posto.

Obrigado pela atenção

[irado]

bão..

o redirecionamento que vc vê ser para o mesmo site, nem sempre é... olhe no log do squid e vc vai ler qualquer coisa como get.. e um outro endereço. É aí que o bicho pega, tendeu? o servidor (lá) mandou um comando para o seu navegador (no caso, via squid) buscar o resto da informação em outro site. O whois vc usa pra saber QUEM é o dono da po*** do site, pra poder liberar.

whois nome_do_dominio.com.br
ou
whois ip_addr_encontrado
ou dig -x ip.addr.do.dominio

Quanto a liberação de sites especificos, eu não costumo usar o fwd, eu uso assim:

$IPT -t nat -A PREROUTING -s $REDE -d $Site_sem_squid -p tcp -m multiport --dport 80,443 -j ACCEPT

IPT=/path/para/iptables
REDE=minha_rede_interna/mascara

se for um site só vc usa a lógica negativa:

$IPT -t nat -A PREROUTING -s $REDE -i $NIC_INTERNA -p tcp -d ! $Site_sem_squid --dport http -j REDIRECT --to-port 3128

mas o primeiro método é melhor, uma linha por site - se forem poucos. Se forem muitos.. err.. aí o bicho pega de veiz.

e, finalmente, não é recomendado passar o 443 pelo squid, portanto a linha de redirecionamento menciona APENAS a porta 80.

[alexandresouzao]

Galera muito obrigado pelo auxílio.
Consegui resolver o problema que já estava me deixando careaca. rsss
Coloquei a bendita da página para não fazer cache:
acl NOCACHE url_regex "/etc/squid/regras/direto"
no_cache deny NOCACHE

Agora ela esta funcionando perfeitamente

grande abraço a todos que me auxiliaram neste post