problemas squid transparente + shorewall

Imagen de jazs

Forums: 

muy buenos dias.....

bueno escribo en este foro por que me ha ocurrido un inconveniente con mi servidor centos,

la situación es la siguiente, en mi empresa tenemos dos servidores uno que trabaja con centos en el cual esta configurado el servicio de squid en modo transparente + shorewall como firewall, y otro win server 2012 que funciona como AD.

hace algunos días se me presento el inconveniente que los clientes no podían navegar en chrome ni IEplorer, este percance lo solucione instalando firefox y configurando el servidor proxy en el navegador, el día de ayer que modifique un acl para prohibir un sito pornográfico y después de recargar el squid no me permite navegar en ningún navegador,
para solucionar momentáneamente el inconveniente y que los clientes puedan navegar le di acceso total a mi rango ip en el firewall, obviamente que no tiene ninguna restricción en navegar,
a continuación muestro los mensajes que me arroja el squid al recargar. si alguien tiene una idea de que pudo haber pasado le agradecería que me ayude le adjunto mi archivo de configuración para que me ayuden

visible_hostname srvproxy01
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#Active Directory
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl red_portonov src 192.168.1.0/24
external_acl_type nt_group %LOGIN /usr/lib64/squid/wbinfo_group.pl
acl ntlm proxy_auth REQUIRED
acl nivel1 external nt_group nivel1
acl nivel2 external nt_group nivel2
acl userallow proxy_auth REQUIRED
acl nivel3 external nt_group nivel3

#ACL
acl ads dstdomain "/etc/squid/Listas/squid-ads.acl"
acl malicious dstdomain "/etc/squid/Listas/squid-malicious.acl"
acl piracy dstdomain "/etc/squid/Listas/squid-piracy.acl"
acl porn dstdomain "/etc/squid/Listas/squid-porn.acl"
acl prime dstdomain "/etc/squid/Listas/squid-prime.acl"
acl proxies dstdomain "/etc/squid/Listas/squid-proxies.acl"
acl regex dstdomain "/etc/squid/Listas/squid-regex.acl"
acl usg dstdomain "/etc/squid/Listas/squid-usg.acl"
acl redes dstdomain "/etc/squid/redes"
acl peliculas dstdomain "/etc/squid/peliculas"
acl workpages dstdomain "/etc/squid/workpages"
acl workpages2 dstdomain "/etc/squid/workpages2"
acl celulares arp "/etc/squid/Listas/dispositivo_moviles"
acl windows url_regex "/etc/squid/windows"
acl red_acierto src 192.168.3.0/24
acl Sap port 30000

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

http_access allow windows
http_access deny porn
http_access allow nivel1
http_access deny redes
http_access deny ads
http_access deny malicious
http_access deny piracy
http_access deny prime
http_access deny proxies
http_access deny regex
http_access deny usg
http_access allow nivel2
http_access deny peliculas
http_access allow nivel3
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
http_access allow celulares
http_access allow red_acierto
#http_access allow localnet
http_access allow Sap
#http_access deny all
http_access deny all

http_port 3128
hierarchy_stoplist cgi-bin ?
#cache_dir ufs /var/spool/squid 100 16 256
cache_mem 10240 MB
cache_dir ufs /var/spool/squid 100000 16 256
coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

2013/11/26 15:11:19| WARNING:

Imagen de jazs

2013/11/26 15:11:19| WARNING: '.noesotrobloggay.blogspot.com' is a subdomain of '.blogspot.com'
2013/11/26 15:11:19| WARNING: because of this '.blogspot.com' is ignored to keep splay tree searching predictable
2013/11/26 15:11:19| WARNING: You should probably remove '.noesotrobloggay.blogspot.com' from the ACL named 'peliculas'
2013/11/26 15:11:19| WARNING: '.edu.ec' is a subdomain of '.ec'
2013/11/26 15:11:19| WARNING: because of this '.ec' is ignored to keep splay tree searching predictable
2013/11/26 15:11:19| WARNING: You should probably remove '.edu.ec' from the ACL named 'workpages2'
2013/11/26 15:11:19| WARNING: '.edu.ec' is a subdomain of '.ec'
2013/11/26 15:11:19| WARNING: because of this '.ec' is ignored to keep splay tree searching predictable
2013/11/26 15:11:19| WARNING: You should probably remove '.edu.ec' from the ACL named 'workpages2'

estos warring me aparecen pero no creo que sen la causa del inconveniente

Pues tampoco creo que sea ese

Imagen de deathUser

Pues tampoco creo que sea ese el problema, en tal caso no estaría filtrando esos dominios ...

Con todo, comentaría las líneas que reporta para quitarme esa duda y monitorearía todos los logs del SQUID a ver si encuentras algo raro, en estos casos lo mejor es sacar un backup de los logs, borrarlos y reiniciar el servicio para mirar solo los logs de ese momento y poder identificar cualquier comportamiento extraño ...

El log de acceso te muestra algo ...???

bye
;)

efectivamente comente las

Imagen de jazs

efectivamente comente las lineas y funciona pero solo para iexplorere y firefox , en cambio en chrome no puedo navegar y cuando recargo el squid no me presenta ningún mensaje

no no me muestra nada eso es

Imagen de jazs

no no me muestra nada eso es lo rarro, y por lo menos tengo bloqueado facebook en squid pero con chrome si puedo entrar a facebook y a twitter que son redes restringidas en mi squid .conf

bueno te cuento que en teoría

Imagen de jazs

bueno te cuento que en teoría cuando me entregaron el manejo del server me dijeron que era transparente pero en al archivo de configuración por ningún lado dice que lo es, para que sea trasparente debe de decir transparente al lado del puerto que le asigne pero no lo veo puesto, lo raro es que si funcionaba bien así sin el transparent ahora no lo modifique por que todo estaba bien hasta ahora que me esta dando problemas

Adicionalmente de la

Imagen de deathUser

Adicionalmente de la configuración de SQUID deberías tener redireccionado el puerto 80 de las peticiones que salen de tu red hacia el puerto 3128 del SQUID, esto deberías tenerlo en el firewall shorewall en tu caso, no se de shorewall así que no te puedo guiar en la directiva de configuración que debes buscar ...

En tal caso, mira que tienes en las tablas de iptables


iptables -L -n
iptables -t nat -L -n

A ver si encuentras redireccionado el puerto 80 al 3128 ...

bye
;)

para tener un proxy

Imagen de falcom

para tener un proxy transparente ademas de la configuracion en iptables, recuerda q debes agregar la linea en squid.conf
http_port 3128 transparent