Squid não deixa conetar porta 443

edimar · Novato Registrado em: Dec 27, 2006 Mensagens: 14 Localização: Camaçari/BA

Olá pessoal,

Tenho servidor proxy rodando o squid, funcionando muito bem, no Fedora Core 5,
Porém, todo site que funciona na porta 443 (SSL) bancos e outros o squid da o seguinte
erro:

ERROR
The requested URL could not be retrieved
While trying to retrieve the URL: www.google.com:443
The following error was encountered:

* Connection to 209.85.165.147 Failed

The system returned:
(110) Connection timed out
The remote host or network may be down. Please try the request again.
Your cache administrator is root

Alguém pode me ajudar?

Ah! Ainda não tenho nenhum firewall rodadndo na máquina. [/b]

datano · Entusiasta Registrado em: Jul 25, 2006 Mensagens: 139

crie uma acl mais ou menos assim (essa funciona aqui):
acl SSL_ports port 443
http_access allow Safe_ports
com isso ele vai liberar as portas que voce especificar.

edimar · Enviada: Qua Dez 27, 2006 1:18 pm Assunto:

Já tenho essasa linhas no squid amigo, mas continua dando erro, veja parte do .conf :

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 2001 2100# Jair
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow connect SSL_Ports
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

Onde eu estou errando?

datano · Entusiasta Registrado em: Jul 25, 2006 Mensagens: 139

qual o site que voce esta querendo entrar?
passa o link para mim ver aqui.

edimar · Enviada: Qua Dez 27, 2006 2:25 pm Assunto:

exemplo:
www.gmail.com
www.ford.com.br

datano · Entusiasta Registrado em: Jul 25, 2006 Mensagens: 139

tenta colocar isso aqui no seu squid.conf abaixo da sua acl localhost.

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1864-65535 # unregistered ports
acl Safe_ports port 1025-1862 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

posta o resultado ae.

edimar · Novato Registrado em: Dec 27, 2006 Mensagens: 14 Localização: Camaçari/BA

Cara, será que falta configurar algo no fedora....

Nem com essas linhas abaixo fduncionam:

http_port 3128
visible_hostname maquina
acl all src 0.0.0.0/0.0.0.0
http_access allow all

Consigo acessar todos os sites menos os sites de bancos e os que trabalham com porta 443:

Ex.:
www.google.com:443
www.ford.com.br:443

e outros.

datano · Entusiasta Registrado em: Jul 25, 2006 Mensagens: 139

veja se tem atualização do squid e efetue ela, se não der avise que te mando o meu squid.conf e voce testa com ele blz?

edimar · Enviada: Qui Dez 28, 2006 1:37 pm Assunto:

Atualizei e nada!!!
Vê se consegue mandar o seu .conf aí....

edimar · Enviada: Qui Dez 28, 2006 1:50 pm Assunto:

Amigo... Acho que o problema está na minha conexão com a internet.
Como:

Somos uma sub-rede de uma grande rede;
Recebo internet que vem de um SQUID, porta 3128 na eth0;
Compartilho na minha su-brede via SQUID na eth1;

Como a rede eth0 é 10.0.4.0 e a minha sub-rede é 192.168.20.0
O proxy que me fornece a net é 10.0.4.5:3128,

então, minha sub-rede não está conseguindo acessar sites seguros porque é uma faixa de rede que não está entre a rede 10.0.4.0.

Acho que é esse o problema... Mas também não sei.

Ah! Tenho mais umproblema.

O administrador da grande rede não quer fazer alteração nenhuma no firewall/proxy dele.

de repente vc pode me ajudar de alguma fomra.

datano · Entusiasta Registrado em: Jul 25, 2006 Mensagens: 139

voce consegue acessar os sites do seu servidor?
se conseguir pode fazer roteamento das redes e depois distribuir para sua rede via squid com as suas configurações.

edimar · Enviada: Qui Dez 28, 2006 4:03 pm Assunto:

Consigo sim...
Como posso fazer isso, tem algum exzemplo aí?

Se tiver manda aí.

datano · Entusiasta Registrado em: Jul 25, 2006 Mensagens: 139

usa esse script para compartilhar a conexão com a internet:
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/modprobe iptable_nat
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
com isso a sua maquina passa a ser o gateway da rede, voce configura as maquinas para acessar a net por esse gateway funcionando agente configura o proxy cache do zero pra evitar erros.
copia o script acima e salva com permissão de execução ou coloca ele no arquivo /etc/rc.d/rc.local para iniciar no boot.

edimar · Enviada: Qui Jan 04, 2007 3:27 pm Assunto:

Não consigo gravar no ip_forward com esse comando:

echo 1 > /proc/sys/net/ipv4/ip_forward

Não dá mensagem de erro.

Será que falta instalar algo no fedora?

Pode me ajudar?