Squid Proxy Authentication Required



  • Prezados,
    Estou com dificuldades para acessar o site do live.com.
    Utilizo a versão 2.3.2-RELEASE-p1, Squid e Squidguard (proxy autenticado).

    Nos logs do access.log eu vejo estas informações:

    TCP_TUNNEL/200 7917 CONNECT www.live.com:443
    TCP_DENIED/407 4166 CONNECT login.live.com:443
    TCP_DENIED/407 4162 CONNECT mail.live.com:443

    O que chama a atenção é a TAG 407 - Proxy Authentication Required
    Na whitelist do Squid, eu coloquei as URL's abaixo:

    microsoft.com
    live.com

    testei também com:

    login.live.com
    mail.live.com

    Porem, o site não abre.

    Nos logs do Squidguard, quando filtro pelo usuário, nada aparece.
    Mas quando filtro pelo IP da maquina, vejo vários DENIED nos logs, conforme exemplo abaixo:

    Request(default/none/-) browser.pipe.aria.microsoft.com:443 192.168.16.142/192.168.142 - CONNECT REDIRECT
    [96600] Request(default/none/-) http://7.tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/f558b96e-364d-4bf7-97fa-1bb3a426b4ee?P1=1500480877&P2=301&P3=2&P4=rAPipGVMgTFVVh2D6HNQ8Mm6dBxoxi3RHO+pFSFvKPM= 192.168.16.142/192.168.142 - HEAD REDIRECT

    O que me chama a atenção nos logs do Squidguard, seria o:  Request(default/none/-)

    Outros sites abrem normalmente.
    Alguém teria alguma dica sobre este problema?



  • Acredito que você possa liberar o live.com através das target categories no squidguard inserindo o domínio, e talvez um regex. No meu ambiente tive vários bloqueios na categoria none também, resolvi desmarcando a opção Do not allow IP-Addresses in URL em SquidGuard > CommonACL. Se não resolver:

    Seu proxy é autenticado com o AD via NTLM? Se sim, alguns problemas referentes ao erro 407 podem ser solucionados inserindo nas configurações de proxy da maquina local (opções da internet do internet explorer, por exemplo) para não usar proxy nessas URLS e fazendo a liberação do IP/Domínio do live.com no firewall na porta 443 e 80 . Ou via ACL no squid proxy server antes da autenticação.



  • @EltonDavi:

    Acredito que você possa liberar o live.com através das target categories no squidguard inserindo o domínio, e talvez um regex. No meu ambiente tive vários bloqueios na categoria none também, resolvi desmarcando a opção Do not allow IP-Addresses in URL em SquidGuard > CommonACL. Se não resolver:

    Seu proxy é autenticado com o AD via NTLM? Se sim, alguns problemas referentes ao erro 407 podem ser solucionados inserindo nas configurações de proxy da maquina local (opções da internet do internet explorer, por exemplo) para não usar proxy nessas URLS e fazendo a liberação do IP/Domínio do live.com no firewall na porta 443 e 80 . Ou via ACL no squid proxy server antes da autenticação.

    Boa tarde Elton,
    Eu ja tinha incluído estes domínios em uma Target Categories.
    A opção Do not allow IP-Addresses in URL não resolveu o problema.
    O proxy é autenticado via NTLM.

    Você poderia me explicar como fazer esta alteração, conforme seu comentário:  Ou via ACL no squid proxy server antes da autenticação



  • Ricardo,

    Para fazer essas ACLS voce precisa entender o funcionamento delas, segue um link interessante: http://www.dicas-l.com.br/arquivo/conhecendo_as_acls_mais_utilizadas_no_squid.php#.WYCNvhXyvcs

    Vou te dar um exemplo, aqui o banco do brasil precisava ser liberado para as maquinas pois estava com problemas de autenticação no java, entao eu inseri em Services > Squid Proxy Server > Show advanced options > Advanced Features > Custom options (before auth) o seguinte:

    acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7 Java/1.8; acl java_vm browser regexp -i Java; acl java urlpath_regex -i .class$ .jar; http_access allow java; http_access allow java_app; http_access allow java_vm; acl warsaw urlpath_regex -i .warsaw$ .upd; http_access allow caixa.gov.br; acl caixa regexp -i caixa.gov.br