Problemas Con Squid

[sC+].B@rt.Oc3

[sC+].B@rt.Oc3

Lanero Reconocido
13 Abr 2007
4,194
Bueno amigos sin tanto cuanto, tengo un problemas son el squid en mi empresa resulta q tengo la siguiente el .conf

Squid.conf
Código: 
# Default: http_port 3128

http_port 3128


#los cgi-bin no se cachearán.

hierarchy_stoplist cgi-bin \?
acl QUERY urlpath_regex cgi-bin \?

#APACHE

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

# POLITICAS DE REFRESCAR EL CACHE WWW

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopther: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Cache Men

cache_mem 16 MB


#Cache Dir¿Cuanto desea almacenar de Internet en el disco #duro? De modo predefinido Squid #utilizará un caché de 300 MB

cache_dir ufs /var/spool/squid 300 16 256 
#cache_access_log /var/log/squid/access.log




#CONFIGURACION MINIMA RECOMENDADA

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

#SE CREAN LOS PUERTOS


acl SSL_ports port 443 563 8074
acl Safe_ports port 8002
acl Safe_ports port 21  # ftp
[color=#BF0000]acl Safe_ports port 80 8074 # http[/color]
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
#acl Safe_ports port 8074 # Registro de Pcientes
acl CONNECT method CONNECT


# Bloquear MSN
# acl msn_messenger req_mine

#Listas de control de acceso.

acl sistemas src "/etc/squid/sistemas"
acl paginas  url_regex -i "/etc/squid/prohibidos"
acl descargas urlpath_regex -i "/etc/squid/solositios"
acl autorizados src "/etc/squid/autorizados"
acl paginasweb url_regex -i "/etc/squid/paginasweb"
acl descargas urlpath_regex -i "/etc/squid/solositios"
acl restringidos src "/etc/squid/restringidos"
acl mediodia time MTWHF 12:00-14:00
cache deny QUERY


#Reglas de Control de Acceso.

http_access allow sistemas
http_access deny  paginas
http_access allow autorizados
http_access deny descargas
http_access allow  paginasweb
http_access allow mediodia restringidos 
http_access deny all

#Parámetro chache_mgr(webmaster)

cache_mgr llorente@comfamiliar.org

#PERMITE SOLO EL ACCESO A LOCALHOST

http_access allow manager localhost

#NIEGA LAS PETICIONES DE PUERTOS DESCONOCIDOS

http_access deny !Safe_ports

# PROXY ACCELERAD

http_port 3128 transparent

y en los iptables tengo esto

PHP: 
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp -i eth2 --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.6.0/24 -o eth0 -j SNAT --to 192.168.6.0
-A POSTROUTING -s 192.168.6.0/24 -o eth0 -j SNAT --to 192.168.6.0
#-A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 28 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 10000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3389 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 3389 -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
--insert FORWARD --destination 192.168.6.0/255.255.255.0 --out-interface virbr0 --match state --state ESTABLISHED,RELATED --jump ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

as maquinas tienen q entrar a esta pagina ( http://nd.ruaf.gov.co:8074/websitende/) por la cual se comunica por el puerto 8074, yo cree en el squid el puerto ese como esta en rojo pero la pagina no me sale en las dmas maquinas q estan detras del proxy q estoy haciendo mal o que??

alguna idea
 
No sale nada o sale algun error por ejem:

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: http://nd.ruaf.gov.co:8074/websitende/

Access Denied.

Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.

Your cache administrator is webmaster.

Generated Mon, 01 Feb 2010 18:14:51 GMT by fbsd.local.net (squid/3.0.STABLE18)
 
Men pero es q en los iptables tengo esto


-A PREROUTING -p tcp -m tcp -i eth2 --dport 80 -j REDIRECT --to-ports 3128

si los desabilito no les doy internet a los demas pc...

aclaro en el servidor de internet si sale la pagina sin problemas el problemas es para los q estan detras del linux
 
mmm, es que de iptables mas bien poco. Si navega desde el servidor lo hace directamente y funciona o usa tambien el proxy?
 
Dak dijo:
mmm, es que de iptables mas bien poco. Si navega desde el servidor lo hace directamente y funciona o usa tambien el proxy?
Haz clic para expandir...

si lo hago directamente sin problemas el problemas son las demas maquinas q el q les da el inter es el linux..

internet ----------->internet sin proxy-Servidor Linux--------Squid--->pc clientes
 
Es proxy transparente? si lo usa de forma "no transparente" pasa igual? pregunto porque por lo del iptables parece ser transparente pero en las directivas del squid no veo esa parte.

De todas formas no descarte hacer la prueba asi sea rapidita de deshabilitar iptables, lo quita 10 minutos prueba y lo vuelve a poner quien quita que sea eso porque veo que por el error es que el squid no alcanza el sitio web y de alguna parte sale ese "Access Denied"
 
si he ello la prueba ponerlo no transparente y pasa lo mismo

tambien intente esto

iptables -A FORWARD -p tcp -s 192.168.6.0/24 -i eth2 -d cda.ruaf.gov.co:8074/SecurityWeb2 -j ACCEPT
 
Solo por probar lo del iptables que le coloque arriba. Yo se lo del internet pero es mejor descartar.
 
Dak dijo:
Solo por probar lo del iptables que le coloque arriba. Yo se lo del internet pero es mejor descartar.
Haz clic para expandir...
nada probe como me dijo y tampoco dio resultado...:S

aqui encontre este en el cache.log del squid


2010/02/01 15:21:34| Ready to serve requests.
2010/02/01 15:21:34| Store rebuilding is 27.0% complete
2010/02/01 15:21:34| Done reading /var/spool/squid swaplog (15177 entries)
2010/02/01 15:21:34| Finished rebuilding storage from disk.
2010/02/01 15:21:34| 15177 Entries scanned
2010/02/01 15:21:34| 0 Invalid entries.
2010/02/01 15:21:34| 0 With invalid flags.
2010/02/01 15:21:34| 15177 Objects loaded.
2010/02/01 15:21:34| 0 Objects expired.
2010/02/01 15:21:34| 0 Objects cancelled.
2010/02/01 15:21:34| 0 Duplicate URLs purged.
2010/02/01 15:21:34| 0 Swapfile clashes avoided.
2010/02/01 15:21:34| Took 0.4 seconds (42885.8 objects/sec).
2010/02/01 15:21:34| Beginning Validation Procedure
2010/02/01 15:21:34| Completed Validation Procedure
2010/02/01 15:21:34| Validated 15177 Entries
2010/02/01 15:21:34| store_swap_size = 276468k
2010/02/01 15:21:34| storeLateRelease: released 0 objects
Haz clic para expandir...

no se si tenga algo q ver eso donde dise "2010/02/01 15:21:34| Done reading /var/spool/squid swaplog (15177 entries)"
 
mmm, hermano en la regla de SAFE_Ports quitelo de donde lo tiene y cree una exclusiva para el. que version de Squid?
acl SAFE_Ports port 8074

Lo del log no creo. no le veo nada raro. usa SELinux por curiosidad?
 
Dak dijo:
mmm, hermano en la regla de SAFE_Ports quitelo de donde lo tiene y cree una exclusiva para el. que version de Squid?
acl SAFE_Ports port 8074

Lo del log no creo. no le veo nada raro. usa SELinux por curiosidad?
Haz clic para expandir...

squid/2.6.STABLE21

Dame un segundo y lo cambio pór lo q me dijiste....:calma::calma:

tengo centos 5.3
 
Dak dijo:
mmm, hermano en la regla de SAFE_Ports quitelo de donde lo tiene y cree una exclusiva para el. que version de Squid?
acl SAFE_Ports port 8074

Lo del log no creo. no le veo nada raro. usa SELinux por curiosidad?
Haz clic para expandir...



no nada lo mismo no se si depronto el linux estara molestando o nop voy a probar montando en otro pc un server linux haber si funciona bien y luego comento si puede resolver el problemas

si alguien tiene otro dado bienvenido sea..:calma:

Gracias vijeo dak por todo si tiene otra cosa para decirme bienvenido sea.:cool:
 
Lo unico que se me ocurre asi googleando es lo del SElinux. si la maquina tiene algun hardening por ahi puede ser el asunto. Porque ese mensaje no es directamente del proxy.
La otra y esa la considero clave es la del snniffer a ver que es lo que hacen y si los paquetes salen de la maquina o no y a donde van
 
El problema es que ud tiene su proxy transparente, y en el iptables, tiene la redireccion UNICAMENTE para el puerto 80, yo le recomendaria que le seteara de manera manual el proxy al equipo que necesita el acceso en cuestion y vuelva a ensayar.
 
Venga... Esta línea generaría error, no se:
Código: 
[COLOR=#bf0000]acl Safe_ports port 80 8074 # http[/COLOR]

Lo correcto es:

Código: 
[COLOR=royalblue]acl Safe_ports port 80 # http[/COLOR]
[COLOR=royalblue]acl Safe_ports port 8074 # Pagina MinProteccion Social[/COLOR]
 
@ndres dijo:
Venga... Esta línea generaría error, no se:
Código: 
[COLOR=#bf0000]acl Safe_ports port 80 8074 # http[/COLOR]

Lo correcto es:

Código: 
[COLOR=royalblue]acl Safe_ports port 80 # http[/COLOR]
[COLOR=royalblue]acl Safe_ports port 8074 # Pagina MinProteccion Social[/COLOR]
Haz clic para expandir...

no esa linea no me genera error x si las moscas lo cambie por el q puso abajo.
 
Con que trabajando en un hospital he?.... Yo tambien trabajo en uno.

Yo mi tambien me montaron squib como servidor proxy, y me montaron un administrador muy conocido que se llama webmin.

Toes como hace 3 años que montaron ese servidor, se creo un usuario unico para todo el hospital para que solo pudiera entrar a ciertas paginas, que son todas las de salud, eps y demas. Lo que hice fue crear una regla o acl, y agregar las paginas

Cuando se implemento lo del ruaf que fue hace poquito, lo que yo hice fue agregar las paginas a la acl. Yo lo hice en webmin:

nd.ruaf.gov.co
nd.ruaf.gov.co/websitende
nd.ruaf.gov.co:8074
nd.ruaf.gov.co:8074/websitende/

Código: 
acl autenticados proxy_auth REQUIRED
#acl fileupload req_mime_type -i ^multipart/form-data$
#acl javascript rep_mime_type -i ^application/x-javascript$
#
#Recommended minimum configuration:
acl all src 10.0.0.0-10.10.61.255/255.255.255.255
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 85 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 10000 # webmin
acl SSL_ports port 3000 # ntop
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 3000 # ntop
acl Safe_ports port 85 # ntop
acl purge method PURGE
acl CONNECT method CONNECT
acl intranet src 10.0.0.0-10.10.61.255/255.255.255.255
acl facturacion_rad dstdomain //nd.ruaf.gov.co:8074/websitende //web.invima.gov.co 10.10.15.2 10.10.15.6 10.10.15.80 10.10.60.42 10.10.9.130 190.25.230.148 190.27.223.154 190.27.223.155 200.75.49.126 200.75.58.74 app.dapd.gov.co app.saludcapital.gov.co app.saludcapital.gov.co/comprobadordederechos/wpconsulta.aspx biblioteca.fucsalud.edu.co cda.ruaf.gov.co dev.saludcapital.gov.co dynamed101.ebscohost.com highwire.stanford.edu http://app.saludcapital.gov.co/comprobadordederechos/wpconsulta.aspx http://dev.saludcapital.gov.co http://nd.ruaf.gov.co:8074/ http://nd.ruaf.gov.co:8074/websitende http://web.invima.gov.co/ invima.gov.co/ mail.google.com mail.live.com mail.talentum.coop nd.ruaf.gov.co nd.ruaf.gov.co/websitende nd.ruaf.gov.co:8074 nd.ruaf.gov.co:8074/websitende/ observatorio.sena.edu.co ofertaeducativa.sena.edu.co saludcapital.gov.co sena.blackboard.com sigregio.cundinamarca.gov.co:8087/SisbenOnline/iniciopub.jsp sis.senavirtual.edu.co ta.html transac.compensar.com web.invima.gov.co web.invima.gov.co/Invima/index.jsp websvr.sispro.gov.co/RUAF/Cliente/Web www.avvillas.com.co www.biomedcentral.com www.bogota.gov.co www.campus.virtual.unal.edu.co www.colmedica.com www.colsanitas.com www.colsubsidio.com www.compensar.com www.cpo.com.co www.cruzblanca.com.co www.cundinamarca.gov.co www.dapd.gov.co www.dnp.gov.co www.ecoopsos.com.co www.eltiempo.com www.epssanitas.com www.famisanar.com.co www.fne.gov.co www.fosyga.gov.co www.freebooks4doctors.com www.freemedicaljournals.com www.fucsalud.edu.co www.gimnasio-britanico.edu.co www.gmail.com www.google.com www.google.com.co www.hotmail.com www.invima.gov.co www.latinmail.com www.libertycolombia.com.co www.minproteccionsocial.gov.co www.miplanilla.com www.mutualser.org www.ncbi.nlm.nih.gov www.nuevaeps.com.co www.planeacion.cundinamarca.gov.co www.porvenir.com.co www.proasecal.com www.saludcapital.gov.co www.saludcoop.coop www.saludtotal.com.co www.scielo.org www.sdp.gov.co www.segurosycapitalizacion.colpatria.com www.sena.edu.co www.senavirtual.edu.co www.sinab.unal.edu.co www.sisben.gov.co www.sispro.gov.co www.suratep.com www.talentum.coop www.terra.com www.transfiriendocenter.com www.unad.edu.co www.unadvirtual.org www.unal.edu.co www.urosario.edu.co www.virtual.unal.edu.co www.yahoo.com www2.sispro.gov.co www2.sispro.gov.co/default.aspx
acl usuarios_admin proxy_auth anibaldurango deisycontreras juancarlos_acosta delbert_benitez hernando_barbosa c_rojas p_ruiz tharsis symantec ligiaw carolina_wilches sandraburgos pacho alejandro_bocanegra jaime_rodriguez diana_camargo jenny_baron clara_toro mariag cal_pilarh lucerow tatiana_jimenez yadir_carrizosa nancy_cardenas cony_rojas mauricio_moreno alex_alarcon carmenza_alfonso ramirom diana_gonzalez germanl f_bolanos silvia_blanco javier_godoy marlen_mora sandra_bernal tiana_arrunategui dayana_lagos nicolas_wilches isabel_fuerte miguel_hernandez sonia_mora rafael_barrera alexis amanda_lopez nelly_pastor yenny_gomez edilberto_rodriguez abbottl israel_potes fredy_lizarazo danilo_quiroz lissete_ruiz lorena_mendez
acl Facturacion proxy_auth dianacamargo sandralatorre andreaparra yamilemican josehernandez angelica_pinilla nataliaarias silviablanco carlos_vega daniel_sandoval rodrigo_garcia yamile_mican usuario_unico
acl usuario_unico proxy_auth app.saludcapital.gov.co/comprobadordederechos/wpconsulta.aspx nd.ruaf.gov.co/websitende
# acl pantallas arp 10.10.15.6
# acl pantallas2 url_regex http://10.10.15.6/pantallas
 
  • Me gusta
Reacciones: 2 personas
men muchas gracias pero tengo una preguntas?

acl intranet src 10.0.0.0-10.10.61.255/255.255.255.255 es la red interna osea las ip q le da internet el proxy me imagino

acl facturacion_rad dstdomain //nd.ruaf.gov.co:8074/websitende .......

me imagino q es la pagina del ruaf

acl usuarios_admin proxy_auth........

no se q es?? me puede xplicar

acl Facturacion proxy_au........

tampoco tengo idea??

acl usuario_unico proxy_auth .....

y esto como??

le agradeceria. con mucho gusto
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás