Somente o Squid pode liberar acesso ao msn? (Resolvido)

[Estefânio Brunhara]

Estou com uma configuração básica do squid, porém não acesso o
msn, tem como liberar o msn somente na configuração do squid?

Configuração de teste, estou navegando mas msn não funciona.

http_port 3128
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
shutdown_lifetime 5 seconds
cache_effective_user squid
cache_effective_group squid

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl msn url_regex -i gateway.dll

http_access allow msn
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet

não coloquei o  http_access deny all  

log
1326509122.256    963 192.168.1.1 TCP_MISS/200 6468 POST http://sn1.gateway.messenger.live.com/gateway/gateway.dll? - DIRECT/65.54.52.62 application/x-msn-messenger
1326509122.612    338 192.168.1.1 TCP_MISS/200 408 POST http://65.54.48.167/gateway/gateway.dll? - DIRECT/65.54.48.167 application/x-msn-messenger
1326509124.605    338 192.168.1.1 TCP_MISS/200 409 POST http://65.54.48.167/gateway/gateway.dll? - DIRECT/65.54.48.167 application/x-msn-messenger
....
....

[Estefânio Brunhara]

Só consigo conectar se colocar regras no firewall

$FORWARD -s $All -d $All -p tcp --dport 443 -j ACCEPT
$POSTROUTING -s $All -d $All -p tcp --dport 443 -o eth0 -j MASQUERADE

É  possivel fazer isto sem ter que mecher como firewall?

[kidsoeiro]

Creio que não. Ainda que você fizesse um proxy transparente com o Squid, o iptables ainda teria que redirecionar as requisições para o proxy e para fora, se você quiser, é claro, que essas conexões passem pelo Squid.
Fique com Deus.

[Estefânio Brunhara]

É o que estou percebendo, parece que o squid não consegue entregar a conexao da porta 443 para o usuário do msn, site de banco usando https funciona.

Não gostaria de fazer uma regra para cada usuário no firewall.

Procurei no google, tem muita coisa, mas vejo que o msn ficou com 2 controles um no firewall e outro no squid.

Eu gostaria de ter uma única regra no firewall que permitisse o squid trabalhar com o msn, desta forma  o controle dos usuários que podem ter acesso ao msn através do squid ficaria mais simples.

[kidsoeiro]

É o que estou percebendo, parece que o squid não consegue entregar a conexao da porta 443 para o usuário do msn, site de banco usando https funciona.

Não gostaria de fazer uma regra para cada usuário no firewall.

Procurei no google, tem muita coisa, mas vejo que o msn ficou com 2 controles um no firewall e outro no squid.

Talvez uma única regra no firewall que permitisse o squid trabalhar com o msn, e aparti dai
eu faria as regras dos usuários que pode ter acesso ao msn no squid.

Mas, as regras por usuário seriam no Squid, certo?!?! Mas, você não pode fazer o que deseja porque, bom, como tem um firewall no meio, bom, o mínimo que se espera é que ele faça o trabalho dele, então, se o proxy tenta abrir uma porta não listada especificamente no firewall, vai ser bloqueado. Eu creio que você deveria fazer o firewall redirecionar as requisições de MSN para o Squid, para autenticação e liberar as saídas do Squid para a porta do MSN. Então, creio que seriam duas regras, uma da rede interna para o Squid e outra do Squid para fora.
Fique com Deus.

[Estefânio Brunhara]

Resumo da opera! Squid por si só não permite conexão do msn.

Tive que fazer regras no firewall para o msn funcionar.


$FORWARD -p tcp -s $ALL -d $Ips $MPORT 443,1867 -j ACCEPT
$POSTROUTING -p tcp -s $REDE -d $Ips $MPORT 443,1867 -o $DevGW1 -j MASQUERADE


$Ips =
msn.com
live.com
rad.msn.com
sup.live.com
login.live.com
secure.wlxrs.com
urs.microsoft.com
crl.microsoft.com
mscrl.microsoft.com
loginnet.passport.com
messenger.hotmail.com
local-bay.contacts.msn.com
byrdr.omega.contacts.msn.com
gateway.messenger.hotmail.com