Resolvido Squid liberando apenas https



  • Boa tarde, bem não sei o que aconteceu apos realizar um update na versão do squid 0.4.36_* para 0.4.36_3, simplesmente não aceita conexões http, apenas https.

    O sistema retornou: (61) Connection refused

    No log de erro aparece TCP_MISS/503 em todos os sites http

    Alguém ja passou por isso?



  • Olha o cache.log do squid ou um restart no processo.



  • @marcelloc:

    Olha o cache.log do squid ou um restart no processo.

    Já fiz isso, porem o erro continua.



  • Esqueci de mencionar que este pfsense esta em um lab virtualizado com VMWARE e possui apenas uma interface de rede, ate semana passada funcionada normalmente, depois de atualizar a versão do squid que apresentou esse erro.



  • Já tentou desinstalar e instalar novamente?



  • @marcelloc:

    Já tentou desinstalar e instalar novamente?

    Sim, até mesmo atualizei a versão do pfsense.



  • Manda print de suas configurações.



  • @danilosv.03:

    Manda print de suas configurações.

    alguma configuração em especial?



  • Segue alguns prints

    ![Screenshot at 2017-06-28 14:31:51.png](/public/imported_attachments/1/Screenshot at 2017-06-28 14:31:51.png)
    ![Screenshot at 2017-06-28 14:31:51.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-28 14:31:51.png_thumb)
    ![Screenshot at 2017-06-28 14:33:23.png](/public/imported_attachments/1/Screenshot at 2017-06-28 14:33:23.png)
    ![Screenshot at 2017-06-28 14:33:23.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-28 14:33:23.png_thumb)
    ![Screenshot at 2017-06-28 14:38:02.png](/public/imported_attachments/1/Screenshot at 2017-06-28 14:38:02.png)
    ![Screenshot at 2017-06-28 14:38:02.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-28 14:38:02.png_thumb)



  • Cadê o resto?



  • @danilosv.03:

    Cadê o resto?

    Qual configuração você quer ver?



  • O resto das configurações do squid - General



  • Tem alguma regra na aba floating rules?

    Aparece algum erro com o comando squid -k parse?



  • @marcelloc:

    Tem alguma regra na aba floating rules?

    Aparece algum erro com o comando squid -k parse?

    Não possui regra nesta aba, ele está liso, sem configurações de ACLs etc.

    Resultado do squid -k parser

    squid -k parse




  • @danilosv.03:

    O resto das configurações do squid - General

    Segue print da aba general






  • Alguma dica pessoal?



  • @roberto.gualberto:

    Resultado do squid -k parser

    Nenhum erro ou alerta.

    Se o access.log e o cache.log não geram nenhum erro, alerta ou aviso. Não sei como ajudar. Regras e squid aparentemente estão ok.

    Já tentou monitorar com o tcpdump  pra ver se o squid está tentando conexão com os servidores na porta 80?



  • Acredito que só fazendo um teste para ajudar em alguma coisa.



  • Obrigado pelo retorno, fiz uma nova instalação com a versão mais nova 2.3.4 squid 0.4.37 e o mesmo problema acontece. Sera que não é mais possivel ter apenas uma interface rede no pfsense? Obs: O pfsense consegue acessar a internet, consegue instalar componentes etc. Porem bloqueia http, deixando apenas https trafegar.



  • @roberto.gualberto:

    Obrigado pelo retorno, fiz uma nova instalação com a versão mais nova 2.3.4 squid 0.4.37 e o mesmo problema acontece. Sera que não é mais possivel ter apenas uma interface rede no pfsense? Obs: O pfsense consegue acessar a internet, consegue instalar componentes etc. Porem bloqueia http, deixando apenas https trafegar.

    Eu tenho servidores com uma única interface de rede funcionando.



  • @marcelloc:

    @roberto.gualberto:

    Obrigado pelo retorno, fiz uma nova instalação com a versão mais nova 2.3.4 squid 0.4.37 e o mesmo problema acontece. Sera que não é mais possivel ter apenas uma interface rede no pfsense? Obs: O pfsense consegue acessar a internet, consegue instalar componentes etc. Porem bloqueia http, deixando apenas https trafegar.

    Eu tenho servidores com uma única interface de rede funcionando.

    O meu também sempre funcionou, mas não sei o que ocorreu na atualização do squid que esta bloqueando http.



  • Faça o seguinte.
    Desinstale e instale o pacote novamente e faça as configurações do zero.



  • @danilosv.03:

    Faça o seguinte.
    Desinstale e instale o pacote novamente e faça as configurações do zero.

    Já fiz, até mesmo fiz uma nova instalação do pfsense.



  • Acredito que isso seja configuração então.



  • @danilosv.03:

    Acredito que isso seja configuração então.

    Acho estranho ele so negar http, sendo que estava funcionando na versão anterior do squid.

    Que tipo de configuração você acha que pode barrar http e liberar https?

    ![Screenshot at 2017-06-29 13:43:08.png](/public/imported_attachments/1/Screenshot at 2017-06-29 13:43:08.png)
    ![Screenshot at 2017-06-29 13:43:08.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-29 13:43:08.png_thumb)



  • Cara, me chama no skype.



  • @danilosv.03:

    Cara, me chama no skype.

    Ok, verificando no console de desenvolvedor do Firefox achei essas informações.

    ![Screenshot at 2017-06-29 13:53:16.png](/public/imported_attachments/1/Screenshot at 2017-06-29 13:53:16.png)
    ![Screenshot at 2017-06-29 13:53:16.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-29 13:53:16.png_thumb)



  • @roberto.gualberto:

    Ok, verificando no console de desenvolvedor do Firefox achei essas informações.

    Por mais improvável que possa parecer, tenta configurar o campo visible host name no squid com alguma informação da empresa ou aleatória.

    e monitora também pelo tcpdump se o squid está conseguindo enviar pacotes na porta 80 para a sua wan.



  • @marcelloc:

    @roberto.gualberto:

    Ok, verificando no console de desenvolvedor do Firefox achei essas informações.

    Por mais improvável que possa parecer, tenta configurar o campo visible host name no squid com alguma informação da empresa ou aleatória.

    e monitora também pelo tcpdump se o squid está conseguindo enviar pacotes na porta 80 para a sua wan.

    Boa noite, fiz a modificao, mesmo assim o problema continua. Fiz o tcpdump e aparentemente esta ok

    Talvez se alguem fizer um lab com essas novas versoes podemos conseguir entender o erro.

    ![Captura de tela de 2017-06-29 20-02-22.png](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-02-22.png)
    ![Captura de tela de 2017-06-29 20-02-22.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-02-22.png_thumb)
    ![Captura de tela de 2017-06-29 20-04-25.png](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-04-25.png)
    ![Captura de tela de 2017-06-29 20-04-25.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-04-25.png_thumb)



  • O tcpdump não está normal. Tem um monte de tentativa de conexão e um reject no final.



  • @marcelloc:

    O tcpdump não está normal. Tem um monte de tentativa de conexão e um reject no final.

    Realmente… qual seria um possivel erro?



  • Opa, bom dia. Acho que encontrei uma possivel causa, mas gostaria de uma ajuda da comunidade.

    Fiz uma instalação em nossa DMZ, diretamente de "cara pra internet" e funcionou 100%, então me passaram que esse pfsense que esta dando o erro na verdade esta saindo por um outro pfsense "Pai". Minha duvida. Sera que o porta 80 esta dando bloqueio por causa que o Pfsense (Pai) ja esta utilizando tal porta?



  • Mostra o dump para quem administra o pfSense da borda.



  • Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.



  • @roberto.gualberto:

    Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.

    Coloca o ip do seu pfSense na mesma regra/alias que esses debians



  • @marcelloc:

    @roberto.gualberto:

    Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.

    Coloca o ip do seu pfSense na mesma regra/alias que esses debians

    Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.



  • @roberto.gualberto:

    @marcelloc:

    @roberto.gualberto:

    Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.

    Coloca o ip do seu pfSense na mesma regra/alias que esses debians

    Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.

    Se o Debian não for Gateway, vai dar o mesmo problema.

    O tcpdump mostra claramente que o pacote sai do proxy para o firewall e como a 443 conecta, seu problema é claramente regra no fw da ponta.

    Repete os tcpdumps ouvindo na lan e na wan, cada um em uma console pra você ver em tempo real o tráfego.



  • Desculpa se estiver falando besteira, mas fiz alguns teste.

    Fui na opcao de Proxy suporte e configurei o IP de um proxy que temos na rede 10.78.4.98
    Entao acessei o proxy 10.78.4.98 e fiquei verificando o log do squid filtrando o ip do pfsense que tem apenas uma interface ip 10.78.4.189
    Ex: tail -f /var/log/squid/access.log | grep 10.78.4.189
    E nao aparece nada.
    Entao acessei o pfsense via terminal e dei um tail -f no access.log do squid e a saida nao esta apontando para o 10.78.4.98 e sim diretamente para os ip dos sites acessados.

    So aparece no log do squid 10.78.4.98 os dados acessados pelo proprio pfsense, exemplo quando ele baixa algum complemento.

    Ai ficou a pergunta, porque ele nao esta roteando?

    ![Captura de tela de 2017-07-01 17-14-29.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png)
    ![Captura de tela de 2017-07-01 17-14-29.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png_thumb)
    ![Captura de tela de 2017-07-01 17-13-38.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png)
    ![Captura de tela de 2017-07-01 17-13-38.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png_thumb)
    ![Captura de tela de 2017-07-01 17-14-09.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png)
    ![Captura de tela de 2017-07-01 17-14-09.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png_thumb)
    ![Captura de tela de 2017-07-01 17-15-28.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png)
    ![Captura de tela de 2017-07-01 17-15-28.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png_thumb)



  • Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?



  • Muito obrigado a todos. Foi resolvido, acontece que não sei porque o remote cache estava vazio. E esse pfsense deveria apontar para "parent".