[FUG-BR] Lusca_head no FreeBSD que não abre site mec.gov.br nem Vunesp

EnioRM eniorm em gmail.com
Quarta Agosto 28 13:42:00 BRT 2013 

2013/8/28 Lucas Dias <lucasmcz em gmail.com>

> Em 28 de agosto de 2013 11:14, EnioRM <eniorm em gmail.com> escreveu:
>
> > Pessoal tenho enfrentado um problema estranho, que já até enviei algumas
> > mensagens para a lista, mas por fim resolvi refazer todos os meus testes.
> >
> > Meu cenário
> > servidor com FreeBSD 9.2-prerelease (sources atualizado via csup e
> > recompilado)
> > O lusca_head instalado via ports (Squid Cache: Version LUSCA_HEAD-r14809)
> > utilizando as configurações padrão do ports.
> >
> > Logo de cara dois sites que não abrem nem com reza são:
> > www.mec.gov.br
> > www.vunesp.com.br
> >
> >
> > E por incrível que pareça tenho um outro lusca rodando num FreeBSD
> > 7.3-stable que também não abre.
> >
> > Quando eu digo que não abre, o lusca não exibe erro algum, nem denied nem
> > nada, simplesmente o navegador fica esperando resposta até dar timeout,
> no
> > caso da vunesp simplesmente o navegador para e a página fica em branco
> sem
> > carregar nada... só consta assim nos logs
> >
> > *access.log*
> > 1377698692.982  16856 192.168.0.42 TCP_MISS/000 0 GET
> > http://www.mec.gov.br/stiadministrador DIRECT/
> > 200.130.2.135 -
> > 1377698692.982  16856 192.168.0.42 TCP_MISS/000 0 GET
> > http://www.mec.gov.br/stiadministrador DIRECT/
> > 200.130.2.135 -
> >
> > *cache.log*
> > 2013/08/28 11:05:13| The request GET http://www.mec.gov.br/ is DENIED,
> > because it matched 'PASSWORD'
> > 2013/08/28 11:05:13| The reply for GET http://www.mec.gov.br/ is
> ALLOWED,
> > because it matched 'PASSWORD'
> > 2013/08/28 11:05:19| The request GET http://www.mec.gov.br/ is ALLOWED,
> > because it matched 'liberados_sites'
> > 2013/08/28 11:05:19| clientBeginForwarding: 0x80f21ea18: begin forwarding
> > request
> >
> > *access.log*
> > 1377699084.399      2 192.168.0.42 TCP_MEM_HIT/200 249 GET
> > http://www.vunesp.com.br/ stiadministrador NONE/- -
> > 1377699084.399      2 192.168.0.42 TCP_MEM_HIT/200 249 GET
> > http://www.vunesp.com.br/ stiadministrador NONE/- -
> > 1377699084.440      0 192.168.0.42 TCP_DENIED/407 1859 GET
> > http://www.vunesp.com.br/favicon.ico - NONE/- text/html
> > 1377699084.440      0 192.168.0.42 TCP_DENIED/407 1859 GET
> > http://www.vunesp.com.br/favicon.ico - NONE/- text/html
> >
> > *cache.log*
> > 2013/08/28 11:11:24| The reply for GET http://www.vunesp.com.br/ is
> > ALLOWED, because it matched 'facebook_sites'
> > 2013/08/28 11:11:24| The request GET
> > http://www.vunesp.com.br/favicon.icois DENIED, because it matched
> > 'PASSWORD'
> > 2013/08/28 11:11:24| The reply for GET
> > http://www.vunesp.com.br/favicon.icois ALLOWED, because it matched
> > 'PASSWORD'
> >
> >
> >
> > Só consigo abrir estes dois sites quando eu faço um nat e permito que meu
> > pc(navegador) abra os sites sem passar pelo lusca.
> > Navegadores testados, chrome, ie, firefox
> >
> > aguém sabe sobre isso ou percebeu algo parecido?
> > Detalhe: as regras do squid.conf não possui bloqueios para .gov.br
> >
> > abraços
> >
> >
> Enio,
>
> Não sei os outros, mas quando sempre tive problemas com o site da Vunesp e
> Cache, no meu caso, antes era o Squid.
> Acredito que seja a melhor solução você deixar by-passando o Vunesp.
>
> Já o do MEC, no meu caso, sempre dava match na regra que permite tudo que é
> GOV.BR e não tinha problemas com sites do genero.
>
> Também fiquei procurando o motivo de dar essas zicas na época. Acabei
> aceitando que as vezes, o problema é que o próprio site não se dá muito bem
> com o Proxy.
>
> Essas dicas encontradas sobre squid/lusca deixarão mais rica nossa lista =)
>
> Se possível, deixa aqui também a fonte dessas dicas
>
> Abraços
>
>
> --
> .:: Lucas Dias
> .:: (82) 8813-1494 / 8111-2288
> .:: Antes de imprimir, veja se realmente é necessário!!!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


caro Lucas,
não tenho mais as fontes de onde tirei as dicas, pois foram coletadas mais
ou menos em 2009 e uso-as até hoje...

sobre o caso de bypass era o que eu fazia, criava um proxy.pac que dava
instruções ao navegador para passar direto sites do mec, vunesp e alguns
outros, mas agora que identifiquei o causador do problema, é mais fácil
ajustar o forwarded_for para on do que continuar com bypass.

Outro detalhe, estes sites já constavam nas acls de liberações, estavam
inclusive autorizados a passar seu requerer autenticação do usuário.

abraço


-- 
*ENIO R M*
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m*

Mais detalhes sobre a lista de discussão freebsd