[FUG-BR] TCP_DENIED/407

Rejaine Monteiro rejaine em bhz.jamef.com.br
Quarta Setembro 5 18:18:48 BRT 2012


hmm.  peguei esse problema por aqui também e  geralmente ocorria sempre 
com sites de emissores de certificados ssl (como o cliente não tem 
acesso direto a https , forçando sempre a passar pelo proxy, mas o 
acesso é encriptado, creio que esteja ai o problema para que a 
autenticação funcione enfim.. ) ainda não encontrei solução definitiva, 
mas para contornar o problema  criei uma acl para colocar esses sites la 
e não fazer autenticação para eles.. exemplos:

acl no-auth dstdomain -i "/etc/squid/no-auth.txt"
http_access allow all no-auth
http_reply_access allow all no-auth

  no arquivo no-auth.txt tem dominios do tipo:

.thawte.com
.globalsign.net
.verisign.com.br
.verisign.com
.digicert.com
.certisign.com.br

etc...



Em 05-09-2012 18:07, Welinaldo Lopes Nascimento escreveu:
> Marcus, eu já faço testes com VMs mesmo... as configurações de proxy está
> normal.
> Consigo navegar normalmente...
> O que ocorre é que isto ocorre somente em determinados sites, e verificando
> o access.log, é por falta de autenticação.
>
> Meu access.log é mais ou menos isto:
>
> *
> 1346803944.576      0 10.1.1.10 TCP_DENIED/407 1658 CONNECT
> ssl.gstatic.com:443 - NONE/- text/html
> 1346803944.576      0 10.1.1.10 TCP_DENIED/407 1658 CONNECT
> ssl.gstatic.com:443 - NONE/- text/html
> 1346803944.581      1 10.1.1.10 TCP_DENIED/407 1774 CONNECT
> ssl.gstatic.com:443 - NONE/- text/html
> 1346803944.581      1 10.1.1.10 TCP_DENIED/407 1774 CONNECT
> ssl.gstatic.com:443 - NONE/- text/html
> **
> 1346803946.202    542 10.1.1.10 TCP_MISS/200 26290 GET
> http://platform.twitter.com/widgets/follow_button.1346314371.htmldiasefarias\0050364
> DIRECT/
> 96.6.79.144 text/html
> **
> 1346803946.881    661 10.1.1.10 TCP_MISS/200 622 GET
> http://p.twitter.com/f.gif? xxxxxxxs\0050364 DIRECT/96.6.79.144 image/gif
> 1346803946.881    661 10.1.1.10 TCP_MISS/200 622 GET
> http://p.twitter.com/f.gif? xxxxxxxxx\0050364 DIRECT/96.6.79.144 image/gif
> 1346803946.899    660 10.1.1.10 TCP_MISS/200 1515 GET
> http://cdn.api.twitter.com/1/users/show.json?xxxxxxxxx\0050364 DIRECT/
> 96.6.79.144 application/javascript
> 1346803946.899    660 10.1.1.10 TCP_MISS/200 1515 GET
> http://cdn.api.twitter.com/1/users/show.json? xxxxxxxxx\0050364 DIRECT/
> 96.6.79.144 application/javascript
> 1346803947.295   1056 10.1.1.10 TCP_MISS/200 546 GET http://r.twimg.com/jot?
> xxxxxxxx\0050364 DIRECT/199.59.148.9 image/gif
> 1346803947.295   1056 10.1.1.10 TCP_MISS/200 546 GET http://r.twimg.com/jot?
> xxxxxxxx\0050364 DIRECT/199.59.148.9 image/gif
> 1346803969.553      0 10.1.1.10 TCP_DENIED/407 1775 POST
> http://sn1.gateway.messenger.live.com/gateway/gateway.dll? - NONE/-
> text/html
> 1346803969.553      0 10.1.1.10 TCP_DENIED/407 1775 POST
> http://sn1.gateway.messenger.live.com/gateway/gateway.dll? - NONE/-
> text/html
>
> *
> *A Cada DENIED/407 foi solicitado o pop-up pra informar a autenticação de
> proxy.*
> *
> *
> *
> *
> *
> *
> Em 5 de setembro de 2012 11:21, Marcus Vinicius. <surfinhu em gmail.com>escreveu:
>
>> Eu já apelaria e criaria uma VM, instalaria o squid e usaria essa
>> mesma configuração que você passou. Configuraria só no seu pc o proxy
>> novo e veria o resultado.
>>
>>
>> Em 5 de setembro de 2012 10:49, Welinaldo Lopes Nascimento
>> <welinaldo em bsd.com.br> escreveu:
>>> Não trabalho com scripts não;
>>>
>>>
>>> Em 05/09/12, Guilherme Ferreira
>>> Rosario<guilherme.rosario em abasetelecom.com.br> escreveu:
>>>> Em Qua, 2012-09-05 às 09:28 -0300, Marcus Vinicius. escreveu:
>>>>> Cara, aconteceu ontem lá com uma garota. A configuração "Usar script
>>>>> de configuração automática" estava marcada nas configurações de proxy
>>>>> e, não sei como, ele pegou uma config. Você usa script pra isso? Pode
>>>>> ser isso.
>>>>>
>>>>> Enfim, desmarcamos e ela voltou a navegar normalmente.
>>>>>
>>>>> Abraços e boa sorte.
>>>>>
>>>>>
>>>>> Em 4 de setembro de 2012 20:53, Welinaldo Lopes Nascimento
>>>>> <welinaldo em bsd.com.br> escreveu:
>>>>>> As dicas do João Mancy e do Rejaime, infelizmente não deram certo.
>>>>>>
>>>>>> Percebo isto com mais frequencia no e-mail da hotmail;
>>>>>>
>>>>>> Já alterei as ACLs, deixei tudo liberado, usuário liberado total,
>> mesmo
>>>>>> assim ainda continua pedindo autenticação em determinadas urls;
>>>>>>
>>>>>> Barrando por autenticação mesmo.
>>>>>>
>>>>>>
>>>>>>
>>>>>> Em 4 de setembro de 2012 13:51, Rejaine Monteiro
>>>>>> <rejaine em bhz.jamef.com.br>escreveu:
>>>>>>
>>>>>>> também acho que poder ser alguma coisa em relação a logica e/ou
>>>>>>> posicionamento das regras.
>>>>>>> o problema é que fica dificil avaliar só pela configuração, devido
>>>>>>> quantidade de regras  envolvidas
>>>>>>> tenta por um debug e veja se consegue extrair algo a mais do log
>>>>>>> adicione isso no no seu squid.conf:
>>>>>>> debug_options ALL,1 33,2
>>>>>>> e acompanhe o acesso ao site que está dando o erro em questão no
>>>>>>> cache.log
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> Em 04-09-2012 13:43, Welinaldo Lopes Nascimento escreveu:
>>>>>>>> 10 pratas Saul? :p
>>>>>>>> Vou rever isto;
>>>>>>>> Guilherme, se puder enviar o trecho das ACLs do seu squid.conf
>> pra eu
>>>>>>>> ter
>>>>>>>> idéia como está, agradeço!
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Em 4 de setembro de 2012 13:32, Saul Figueiredo
>>>>>>>> <saulfelipecf em gmail.com>escreveu:
>>>>>>>>
>>>>>>>>> Em 4 de setembro de 2012 13:27, Guilherme Ferreira Rosario <
>>>>>>>>> guilherme.rosario em abasetelecom.com.br> escreveu:
>>>>>>>>>
>>>>>>>>>> Em Seg, 2012-09-03 às 23:52 -0300, Welinaldo Lopes Nascimento
>>>>>>>>>> escreveu:
>>>>>>>>>>> Olá pessoal,
>>>>>>>>>>>
>>>>>>>>>>> Tenho servidores com squid autenticando ao AD, mas
>> frequentemente,
>>>>>>>>>>> dependendo do site, abre-se a caixinha de login para
>> autenticação;
>>>>>>>>>>> Verificando o access.log, mesmo com usuário tendo permissões de
>>>>>>>>>>> acesso
>>>>>>>>>>> total ainda ocorre o erro TCP_DENIED/407, que se refere a
>>>>>>> autenticação;
>>>>>>>>>>> Inclusive, até na regra que bloqueia tudo o que não for
>>>>>>>>>>> autenticado,
>>>>>>>>>>> informei também exceções para  !Safe_ports !SSL_ports mas o
>>>>>>>>>>> problema
>>>>>>>>>>> persiste.
>>>>>>>>>>> O que estou fazendo de errado?
>>>>>>>>>>>
>>>>>>>>>> Ja enfrentei esse tipo de problema, a questao e' a posicao das
>> ACLS
>>>>>>>>>> e
>>>>>>>>>> das permissoes http_access.
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> --
>>>>>>>>>> --
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Atenciosamente:
>>>>>>>>>>
>>>>>>>>>> - Guilherme Ferreira Rosario
>>>>>>>>>> * Supervisor de Servidores
>>>>>>>>>> * www.abasetelecom.com.br
>>>>>>>>>> * Ramal: 2849
>>>>>>>>>> * Telefone (14)-34022849
>>>>>>>>>>
>>>>>>>>>> -------------------------
>>>>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>>>>>
>>>>>>>>> Foi por isso que destaquei aquele trecho de código. Aposto 10
>> pratas
>>>>>>>>> que
>>>>>>>>> está ali :p
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> "Deve-se aprender sempre, até mesmo com um inimigo."
>>>>>>>>> (Isaac Newton)
>>>>>>>>>
>>>>>>>>> Atenciosamente,
>>>>>>>>> Saul Figueiredo
>>>>>>>>> Analista FreeBSD/Linux
>>>>>>>>> Linux Professional Institute Certification Level 2
>>>>>>>>> Linux User: #554651
>>>>>>>>> saulfelipecf em gmail.com
>>>>>>>>> <saul-felipe em hotmail.com>
>>>>>>>>> -------------------------
>>>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Rejaine da Silveira Monteiro
>>>>>>> Suporte-TI
>>>>>>> Jamef Encomendas Urgentes
>>>>>>> Matriz - Contagem/MG
>>>>>>> Tel: (31) 2102-8854
>>>>>>> www.jamef.com.br
>>>>>>>
>>>>>>> -------------------------
>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>>
>>>>>>
>>>>>> .ılı..ılı.
>>>>>> *Welinaldo Lopes Nascimento*
>>>>>> Estudante de Desenvolvimento de Sistemas
>>>>>> FreeBSD Community Member #BSD/OS
>>>>>> *P Antes de imprimir pense em seu compromisso com o Meio Ambiente.*
>>>>>> -------------------------
>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>>
>>>> Ja trabalhei com scripts WPAD porem ele e' acionado apenas quando o
>>>> navegador tem sua solicitacao na porta 80 negada ele busca o "script" de
>>>> configuracao automatica.
>>>>
>>>>
>>>> --
>>>> --
>>>>
>>>>
>>>> Atenciosamente:
>>>>
>>>> - Guilherme Ferreira Rosario
>>>> * Supervisor de Servidores
>>>> * www.abasetelecom.com.br
>>>> * Ramal: 2849
>>>> * Telefone (14)-34022849
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>> --
>>>
>>>
>>> .ılı..ılı.
>>> *Welinaldo Lopes Nascimento*
>>> Estudante de Desenvolvimento de Sistemas
>>> FreeBSD Community Member #BSD/OS
>>> *P Antes de imprimir pense em seu compromisso com o Meio Ambiente.*
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>> --
>> Att,
>> Marcus Vinicius.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>


-- 
Rejaine da Silveira Monteiro
Suporte-TI
Jamef Encomendas Urgentes
Matriz - Contagem/MG
Tel: (31) 2102-8854
www.jamef.com.br



Mais detalhes sobre a lista de discussão freebsd