No accedo a una url en particular

Guest

Hola, explico mi problema:

Tengo squid + squidguard de momento, sin filtrar nada, es decir.. en common acl, target rules tengo a default access [all] en allow, el resto con –-.
En el firewall tengo las típicas reglas que permita la navegación (adjunto captura)

El problema es que no puedo acceder a esta url https://www.finconsum.es:451/comercios/

Me dice que internet explorer no puede mostrar la página..

Desde otro sitio sin pasar por el pfsense, entra correctamente.

He probado en abrir el puerto 451, pero ni así..

Gracias!

sanchezluys

:) hola…

te recomiendo primero descartar.

como ya se sabe que es el pfsense el que causa el problema entonces sigue revisando a ver que es lo que dentro de pfsense no te permite accesar a dicha pagina.

1. habilita la regla de acceso total, es decir en la lan permite todo el trafico, de ser posible navegar entonces hace falta una regla para habilitar dicha navegacion aparte de la estandar, o de la de abrir el puerto 451, ya que es muy posible que use otros puertos. si no se puede navegar entonces el problema puede estar en el squid.

2. desinstala el squid, y verificas si puedes navegar, de ser asi entonces es la configuracion del squid que interfiere con esa navegacion, revisa bien luego la configuracion.

luego cuentanos...

Guest

Gracias, en cuanto lo pruebe os escribo. Saludos

bellera

Haz una regla en LAN que autorice como destino el puerto 451. Si quieres acotar más la seguridad, pon como destino la IP de www.finconsum.es (nslookup www.finconsum.es para ver cuál es).

Entiendo que esto no debe pasar por squid. No es un puerto habitual y la configuración de squid por defecto no debería permitirlo.

No dices si tienes squid en modo transparente.

Guest

Hola, gracias a todos:

al proxy no tengo en modo transparente, tengo una regla en nat que obliga a salir por el proxy.
he creado una regla en lan pero asi tampoco logro hacerlo funcionar

TCP * * 81.200.64.183 451 *   www.finconsum.es

arriba en el navegador me sale:

HTTP 403 (Prohibido)

bellera

403 es una respuesta por parte del servidor web de destino, diciendo que no hay permiso para acceder a la página. Es raro en tu caso, pero este es el significado de 403:

http://en.wikipedia.org/wiki/HTTP_403

¿No será que han baneado tu IP por algún motivo? Prueba con un PC colgado directamente del router ADSL.

Yo lo he probado tras pfSense y obtengo, en cada caso.

• El navegador no puede visualizar la página -> Con conexión directa sin autorización al 451 como destino.
• El servidor proxy ha rechazado la conexión -> Pasando por squid dice que mi squid no admite ir al 451.
• Acceso sin problemas cuando hago navegación directa y pongo la regla que has expuesto.

¿Para qué puertos estás haciendo el NAT al proxy?

Guest

Gracias Bellera por las pruebas realizadas..
hago NAT para el puerto 80.. esta es mi regla en NAT:

Port forward:
LAN TCP 80 (HTTP) 192.168.0.253 (ext.: any) 3128
LAN TCP 443 (HTTPS) 192.168.0.253 (ext.: any) 3128

dudo que hayan baneado la IP del cliente, según me comentan, antes de poner el pfsense si funcionaba.. haré una prueba directa cuando me desplace al cliente.

Un saludo!

Guest

Hola bellera,

te comento las pruebas que he realizado, a ver si me puedes ayudar un poco mas..
el problema lo he determinado con el proxy, squid y squidguard.

si lo hago por medio del firewall sin proxy, funciona perfecta dicha url.
mi pregunta es como resolver este problema sin quitar squid y squidguard.
¿hay alguna forma de decirle al squid que para ciertas ip no filtre nada? he probado varias configuraciones pero no logro dar en el clavo.

Gracias!

bellera

¿Puedes explicar tu topología con más detalle?

No es como http://forum.pfsense.org/index.php/topic,21083.msg108436.html#msg108436 por lo que no entiendo para qué haces los NAT, que además no afectan al 451.

¿Qué rangos de redes tienes? ¿Cuantas interfases? …

Guest

te explico bellera:

tengo dos tarjetas de red, la wan con la ip 192.168.1.2/24 y la lan con la ip 192.168.0.1/16

los NAT los hago simplemente por si algun usuario desea quitar la opción de usar proxy, directamente que no navegue.

he realizado una prueba mas, pfsense con firewall… navego en esa url.
pfsense con squid recien instalado, no naveguo...

el squidguard ya no hizo falta instalarlo ya que el fallo ya está identeficado.

Gracias!

bellera

Tengo dos tarjetas de red, la wan con la ip 192.168.1.2/24 y la lan con la ip 192.168.0.1/16

¡Horror!

LAN -> 192.168.0.0 - 192.168.255.255
WAN -> 192.168.1.0 - 192.168.1.255

No son subredes distintas. ¡LAN engloba WAN y esto no puede ser!

http://www.subnet-calculator.com/cidr.php

Tienes que corregir esto. Puede pasar cualquier cosa… Estás con un router y sus propias rutas (automáticas) no están bien.

Los NAT los hago simplemente por si algun usuario desea quitar la opción de usar proxy, directamente que no navegue.

Esta no es la forma de prohibir la navegación directa. Esto sirve para redirigir las peticiones a un proxy externo, que no es tu caso.

Con NO tener (en LAN) una regla que permita salir por TCP 80, 443 ya es suficiente para que no puedan navegar directamente. También se puede hacer con una regla que deniegue (Block) como destino TCP 80, 443…

Prueba sin los NAT porque me temo que son los que están liando el tema.

Guest

Gracias nuevamente,

En realidad en el cliente lo tengo montado asi:

ROUTER 10.0.0.1/16
WAN 10.0.0.2/16
LAN 192.168.0.253/24

lo anterior expuesto ha sido una prueba mía en otro equipo.
En el cliente también he probado sin nat y nada..

Tal como te he expuesto en la configuración del cliente esta bien verdad?
Caso contrario, me podrías poner un ejemplo con esos datos de como serían?
gracias, un saludo

bellera

Ok, no veo problema alguno con estos rangos de IP.

A ver, suponiendo que tienes indicado en los navegadores el uso de proxy para http y https yo probaría dos cosas:

1. Ver si el configurador web de squid en pfSense admite tocar los puertos de destino "confiables". Me temo que el 451 no debe estar en la lista. De hecho, en un squid este puerto no está autorizado por defecto como salida para navegar. En un FreeBSD con squid:

cat /usr/local/etc/squid/squid.conf.default | grep _ports

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Creo que te falta acl SSL_ports port 451 en tu squid.conf

2. Utilización de un archivo proxy.pac para indicar si se usa o no proxy. Ejemplo:

function FindProxyForURL(url, host) {
  if (shExpMatch(url,"www.finconsum.c")) {return "DIRECT";}
  if (shExpMatch(url,"//finconsum.c")) {return "DIRECT";}
  return "PROXY 192.168.XXX.YYY:3128; DIRECT";
}

Esto es muy útil porque permite parametrar el uso del proxy en determinados casos. Donde estoy accedemos a una aplicación web que no permite el paso por proxy. No sé porque pero no lo admite.

En este caso tendrás que emplear una regla en LAN para autorizar como destino el puerto TCP 451.

Guest

Puf, bellera.. no tengo palabras por el tiempo que pierdes en ayudar..

tengo http y https en los navegadores y no navego, yo se que es el squid, por lo que voy a probar con lo que dices, de introducir ese puerto en el squid.
Por otro lado, ese proxy.pac que hablas, si no me funciona lo del puerto, ¿donde lo creo?

Gracias!!!

bellera

Por otro lado, ese proxy.pac que hablas, si no me funciona lo del puerto, ¿donde lo creo?

Tiene que estar en un servidor web accesible sin el proxy. Lo ideal es que ser interno.

Guest

Hola Bellera,

he logrado acceder a la url editando/guardando el ficher de configuración /usr/local/etc/squid/squid.conf
al reiniciar el pfsense se pierde la configuración.
He leido que para guardarlo y que no se pierda, tengo que tocar el fichero squid.inc
¿tienes idea de esto?

bellera

No tengo a squid en pfSense pero…

http://forum.pfsense.org/index.php?topic=31216.0

parece ser que sí, que modificando el archivo INC para PHP que afecta a squid puede modificarse/añadir valores por defecto.

¡Suerte!

Guest

Gracias bellera,

te comento como lo he solucionado, he agregado en Custom Options del Proxy server en General settings estos dos parametros:

acl safeports port 451;acl sslports port 451

Muchisimas gracias, un saludo!

bellera

¡Fantástico!

Esto quiere decir que con Custom options se pueden hacer muchas cosas.

¡De nada!