Squid transparente no funciona

Odubrab

Buenas, he seguido los tutoriales de Squid y no logro que funcione en modo transparente.

Sin modo transparente y configurando posteriormente el navegador con la IP del PfSense funciona perfectamente. Pero en cuanto tildo el checkbox de modo transparente, deja de funcionar (quitando también la configuración del navegador).

Os dejo captura de configuración:

¿Hay que configurar algo a parte? ¿Tal como redirigir todo el tráfico al puerto 3128 o algo parecido?

Gracias de antemano, un saludo.

dementekuatiko

no hay ninguna imagen, podrias colocarla para ver las reglas que configuraste y las opciones en el proxy

Odubrab

Perdona, ya las he añadido, gracias.

periko

Y que dice el logs de pfsense? y el de squid?

Odubrab

Dejo también las webs que he puesto como blacklist simplemente para probar, y lo que decía anteriormente, sin modo transparente me deniega el acceso y funciona, pero en modo transparente no:

access.log de squid:

1369251083.011     28 192.168.220.12 TCP_MISS/403 721 GET http://es.pornhub.com/ - DIRECT/192.168.220.220 text/html
1369324458.851    310 192.168.220.11 TCP_MISS/403 712 GET http://facebook/ - DIRECT/192.168.220.220 text/html
1369324459.219      5 192.168.220.11 TCP_MISS/403 723 GET http://facebook/favicon.ico - DIRECT/192.168.220.220 text/html
1369324534.113    159 192.168.220.11 TCP_MISS/403 721 POST http://ocsp.verisign.com/ - DIRECT/192.168.220.220 text/html
1369324534.114     90 192.168.220.11 TCP_MISS/403 721 POST http://ocsp.verisign.com/ - DIRECT/192.168.220.220 text/html
1369324590.279    137 192.168.220.11 TCP_MISS/403 784 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/192.168.220.220 text/html
1369324650.394     11 192.168.220.11 TCP_MISS/403 784 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/192.168.220.220 text/html
1369324653.920      9 192.168.220.11 TCP_MISS/403 721 POST http://ocsp.verisign.com/ - DIRECT/192.168.220.220 text/html
1369324654.036     26 192.168.220.11 TCP_MISS/403 730 POST http://evsecure-ocsp.verisign.com/ - DIRECT/192.168.220.220 text/html
1369324654.073      7 192.168.220.11 TCP_MISS/403 740 GET http://evsecure-crl.verisign.com/pca3-g5.crl - DIRECT/192.168.220.220 text/html
1369327573.390     42 192.168.220.11 TCP_MISS/504 1506 GET http://facebook/ - DIRECT/facebook text/html
1369327577.379      1 192.168.220.11 TCP_MISS/504 1506 GET http://facebook/ - DIRECT/facebook text/html
1369327596.294     81 192.168.220.11 TCP_MISS/200 740 GET http://www.google.es/url? - DIRECT/173.194.34.223 text/html
1369327596.431      1 192.168.220.11 TCP_DENIED/403 1320 GET http://es-es.facebook.com/ - NONE/- text/html
1369327596.524      0 192.168.220.11 TCP_DENIED/403 1342 GET http://es-es.facebook.com/favicon.ico - NONE/- text/html
1369327596.652      0 192.168.220.11 TCP_DENIED/403 1342 GET http://es-es.facebook.com/favicon.ico - NONE/- text/html

El log de pfsense no consigo localizarlo.

periko

Quiero entender algo.

En tu configuracion veo que aparte de squid, estas metiendo squidguard?

Si estoy correcto, deshabilita squidguard y trabaja sobre squid solamente, ya que lo logres configurar le pones el 2do.

Bien, si mal no recuerdo, facebook por ejemplo se paso de http hacia https, en Modo-Transparente estas perdido, este no filtra el protocolo https, cuando entran a facebook pues tienen la via libre.

Esto es lo ultimo que tengo en mi cerebro, si estoy mal me avisan.

Esos logs son cuando esta en modo-transparente y no?

Lo de que tienes que meter el IP manual a el navegador lo puedes atacar con WPAD, en los manuales de pfsense viene esto, si te vas a google lo vas a localizar, pero esto tocalo en otro tema.

Saludos.

Odubrab

@periko:

Quiero entender algo.

En tu configuracion veo que aparte de squid, estas metiendo squidguard?
 
Si estoy correcto, deshabilita squidguard y trabaja sobre squid solamente, ya que lo logres configurar le pones el 2do.

Así es, ya lo he deshabilitado.

@periko:

Bien, si mal no recuerdo, facebook por ejemplo se paso de http hacia https, en Modo-Transparente estas perdido, este no filtra el protocolo https, cuando entran a facebook pues tienen la via libre.

Esto es lo ultimo que tengo en mi cerebro, si estoy mal me avisan.

Esos logs son cuando esta en modo-transparente y no?

He borrado todo el contenido del access.log, y estando en modo transparente (recuerda que no funciona y no me bloquea nada) no registra nada en el log, sigue en blanco.

@periko:

Lo de que tienes que meter el IP manual a el navegador lo puedes atacar con WPAD, en los manuales de pfsense viene esto, si te vas a google lo vas a localizar, pero esto tocalo en otro tema.

Saludos.

Aquí me he perdido, lo de poner la IP al navegador lo he hecho para probar sin el modo transparente, y así sí funciona, pero en modo transparente la gracia es no tener la obligación de poner la IP, y ahí es donde no funciona.

Gracias periko.

periko

A ver como dijo jack el destripador, vamonos por partes:

Tu squid esta en modo-transparente.

Vamos viendo:

1; Si sigues problemas, dejalo en modo-transparente, si puedes reinicia el equipo.

2; Si no puedes reiniciar o si, no hay problema has esto.

3; Abre tu consola.

4; Esta el servicio arriba?

ps -ax | grep squid
42577  ??  INs    0:00.00 /usr/local/sbin/squid -D
44561  ??  SN    8:30.58 (squid) -D (squid)
46929  0  R+    0:00.00 grep squid

Resultado, el mio si, el tuyo?

NOTA: Si tienes los mismos resultados no necesitas poner lo que te sale.

5; Esta escuchando peticiones?

netstat -na | grep .3128 | grep LISTEN
tcp4      0      0 192.168.4.1.3128      .                    LISTEN

Ok el mio tiene el puerto abierto listo para recibir peticiones.

6; Puede tu cliente llegar a su puerto? desde tu cliente abre ya sea cmd de windows o la consola de linux.

telnet 192.168.1.2 3128
Trying 192.168.1.2…
Connected to 192.168.1.2.
Escape character is '^]'.

El mio si.

Ahora ahi mismo sin salir de esa conexion establecida con tu proxy, solicitale que se traiga la pagina de google asi:

GET http://www.google.com/ HTTP/1.1

<<<tienes que="" darle="" doble="" enter="">>>

HTTP/1.0 407 Proxy Authentication Required
Server: squid/2.X.Y
Date: Thu, 23 May 2013 19:41:15 GMT
Content-Type: text/html
Content-Length: 1299
X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0
Proxy-Authenticate: Basic realm="Squid proxy-caching web server"
X-Cache: MISS from firewall
X-Cache-Lookup: NONE from firewall:3128
Via: 1.0 firewall:3128 (squid/2.X.Y)
Connection: close

<title>ERROR: Cache Access Denied</title>

ERROR

Cache Access Denied

---

While trying to retrieve the URL:
http://www.google.com/

The following error was encountered:

• Cache Access Denied.

Sorry, you are not currently allowed to request:

    http://www.google.com/

from this cache until you have authenticated yourself.

You need to use Netscape version 2.0 or greater, or Microsoft Internet
Explorer 3.0, or an HTTP/1.1 compliant browser for this to work.  Please
contact the [cache administrator](mailto:root@mi dominio punto com) if you have
difficulties authenticating yourself or
change your default password.

---

<address>
Generated Thu, 23 May 2013 19:41:15 GMT by firewall (squid/2.X.Y)
</address></tienes>

Como podras ver, mi squid respondio y esta respondiendo peticiones, claro que me bateo por que requiere autentificacion, pero esta operando, si me voy  a mi log tengo esto:

1369338513.599      0 192.168.2.66 TCP_DENIED/407 1697 GET http://www.google.com/ - NONE/- text/html

Si todo funciono, si estas bajo windows ejecuta ccleaner para que limpie toda la basusa del navegador, y ahora si pruebas y nos cuentas como te fue, si puedes con 2 clientes mejor, saludos.!!!

Odubrab

1:

2:

3: Telnet desde windows con putty no funciona.

Muchas gracias por tu ayuda, sin embargo esto no tiene buena pinta… ¿Alguna idea mas? Gracias de nuevo.
Un saludo!!

periko

A ver veo que tu servicio esta arriba, es "LISTEN" no "listen", recuerda que Unix si es sensible a las mayusculas y minusculas.
Bien has la prueba del telnet a el puerto 3128 desde la consola de pfsense, estoy seguro que debe responderte.
Si es asi, y ninguno de tus clientes responde bien, algo debe estar bloqueando la llegada.
reglas del firewall o algo, cuando hagas las pruebas revisa los logs de tu firewall y checa si hay bloqueos a el puerto 3128 de tu pfsense.
Nos platicas, saludos!!!

Odubrab

Lo del LISTEN con mayúsculas ha funcionado correctamente, el pfsense escucha el puerto 3128.

Luego cuando hago el telnet desde un cliente con Windows me aparece lo siguiente. También he probado desde la consola del pfsense, y el resultado es el mismo:

HTTP/1.0 302 Moved Temporarily
Location: http://www.google.es/
Cache-Control: private
Content-Type: text/html; charset=UTF-8
Set-Cookie: PREF=ID=b4d19a88e64e7264:FF=0:TM=1369662295:LM=1369662295:S=RFw13YtN
tj0q93H7; expires=Wed, 27-May-2015 13:44:55 GMT; path=/; domain=.google.com
Set-Cookie: NID=67=wc7TXBUGW_y4zJI560eiE79CU89yvlChnQaHlCDQaCvEm_2J7KUwuAHEwQojk
DndtauvHMmHymbT_dEfk97j0Cd-CEuOxVKolaNs8kUHqMrFigfOA1cYS3YdXA8CNmgF; expires=Tue
, 26-Nov-2013 13:44:55 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bi
n/answer.py?hl=en&answer=151657 for more info."
Date: Mon, 27 May 2013 13:44:55 GMT
Server: gws
Content-Length: 218
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
X-Cache: MISS from localhost
X-Cache-Lookup: MISS from localhost:3128
Via: 1.0 localhost:3128 (squid/2.7.STABLE9)
Connection: close

                                                                              <t<br>ITLE>302 Moved

# 302 Moved

                                                     The document has moved
                                                                           [here](http://www.google.es/).

Se ha perdido la conexión con el host.</t<br>

¿Qué puedo hacer?

Gracias de antemano.

periko

Hola, hasta aqui creo que si esta recibiendo peticiones tu squid, ya no hay nada de squidguard por el momento verdad?

Si esta configurado el cache, recrealo de nuevo.

Sigue este link:
http://pheriko.blogspot.com/2012/05/pfsense-2-como-borrar-y-crear-el-cache.html

A tu cliente correle el ccleaner para limpiar registros y toda la basura de los navegadores.

Limpia el access.log

rm -rf access.log
touch access.log
chown proxy:proxy access.log

Reinicias squid.

Ya que hagas pruebas, revisa access.log a ver que tiene.

A ver como te va, saludos.

bellera

**Perdonen la intromisión… Por favor:

• No insertar imágenes ubicadas en sitios externos. Tienen Additional Options… para esto. Abajo, a la izquierda.

• No repetir el mensaje anterior mediante el uso de Quote. Alarga innecesariamente las intervenciones.

Moderador**

ncolunga

Apostaria a que la puerta de enlace de tu red no es el pfsense…

periko

ncolunga, ojala y este en lo correcto  :)
a ver amigo Odubrab.
Su pfsense es el que lleva la batuta en tu red?
saludos.

Odubrab

@periko
Buenas periko, he realizado los últimos pasos que me dijiste y sigue sin funcionar.

@ncolunga
La puerta de enlace está correctamente configurada.

Entre hoy y mañana postearé un documento con toda la configuración actual, a parte de un diagrama con la red que tengo montada, a ver si lográis ver el fallo.

Un saludo.

periko

A ver, te mande un mensaje privado, ya me enoje  ;D

Odubrab

Ya he conseguido que funcione, he reinstalado PfSense, volviendo a realizar toda la configuración que tenía anteriormente, y ya funciona. Gracias a todos los que se han interesado ;).

Aprovecho y pregunto en éste mismo hilo, ¿conocéis alguna buena configuración para SARG?

periko

jajajajaja te iba a sugerir eso jajajajaja, saludos!!!