Squid 2.6+Iptables problemas con paginas correo yahoo nuevo, y otras en cetnos 5.4

Forums: 

Buenos dias.

Escribo nuevamente para solicitarles ayuda con lo siguiente.

En mi implementacion de squid 2.6+iptables he visto que algunas páginas con las que trabajo no funcionan bien con esta configuración.
Por ejemplo en la pagina del correo nuevo de yahoo me aparece: Esta pagina no es compatible con tu navegador.
He probado en IE, Firefox,Chrome, etc.. con el mismo error
Además en una pagina que se utiliza habitualmente hecha en aspx no me funcionan algunas cosas.

Las configuraciones de mi squid 2.6 son las siguientes.

acl red src 192.100.100.0/255.255.255.0
# Sitios permitidos son los sitios que unicamente se pueden acceder todo lo demas esta bloqueado(Proxy restricitvo)
acl sitios_permitidos url_regex -i "/etc/squid/sitiospermitidos.txt"
#acl IPpermitidas src "/etc/squid/permitidos.txt"

http_access allow localhost
#http_access allow IPpermitidas
http_access allow red sitios_permitidos
http_access deny all

Y las configuraciones de mi iptables en el script firewall.sh son:

#!/bin/sh
#eth0 ->va al router salida a Internet
#eth1-> va al switch de la LAN

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.100.100.0/24 -i eth1 -j ACCEPT

# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

## Abrimos el acceso a puertos de correo

# Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
# Abrimos el pop3
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT

## Ahora con regla FORWARD filtramos el acceso de la red local
## al exterior. Como se explica antes, a los paquetes que no van dirigidos al
## propio firewall se les aplican reglas de FORWARD

# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT

# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
# Aceptamos que vayanb puertos informix
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 1525 -j ACCEPT
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 1526 -j ACCEPT
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 1530 -j ACCEPT

# Todo lo demas denegamos.
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -j DROP

# Enmascaramos la red local
iptables -t nat -A POSTROUTING -s 192.100.100.0/24 -o eth0 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

echo " Verificamos las reglas con iptables -L -n"

# Fin del script

He estado viendo en en access.log las paginas DENIED con el fin de agregarles a los sitios permitidos con el fin de solucionar algunos inconvenientes (ejemplo hotmail) con buenos resultados.

Pero en otros sitios no me a dado buenos resultados en especial sitios hechos en aspx y javascript.
Para ponerles un ejemplo en un sitio en el que toca realizar clic sobre una celda de un campo de una tabla el cual activa un boton para mandar a imprimir un reporte, este evento con el proxy funcionando no sirve. No se que estará pasando.

Para otras paginas si funciona, este es un caso especial el cual he querido solucionar sin resultados.

Ademas para pruebas he agregado un acl para dar acceso libre a todas las paginas a una IP en particular "acl IPpermitidas " y el resultado es que se puede acceder a todas las paginas como deberia ser pero la accion del activar el boton para imprimir sigue sin funcionar, por lo que presume que es algo de squid".

Alguna sugerencia........ Gracias

sí, usa la versión de squid

Imagen de Epe

sí, usa la versión de squid que viene con centos, la mantendrán durante todo el periodo de vida de ellos, no respondes a lo que te indiqué de ver la configuración para determinar si estás modificando el navegador en él.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Respuesta

Hola te respondo y gracias por tu tiempo. No no estoy poniendo las configuraciones de los navegadores, estoy colocando como gateway la direccion del equipo proxy squid y los dns del ISP.

yahoo se queja de vez en

Imagen de Epe

yahoo se queja de vez en cuando del navegador, por favor, yum update
actualiza el sistema, puede que ahi tengas la solucion, al menos no tendrás problemas de otro tipo.

centos mantiene la misma versión de sus paquetes pero las mantiene actualizándolas por 7 años.

uso centos-5 hace tiempo y no he visto este incoveniennte, bueno,el de yahoo diciendo eso le veo de vez en cuando, le acepto y continúo...
de que no se vean algunas páginas en asp, supongo sea porque tienen algún sistema propio para internet explorer (por ejemplo la página del banco del pichincha para empresas no se vé si no es en ie)... realmente no noto problemas con el squid propiamente

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre