[RISOLTO]Squid non mi fa accedere al sito della regioneLazio

[fbcyborg]

Ciao a tutti,

molto tempo fa ho installato squid+squidGuard su un server gentoo e non ho messo alcuna restrizione per quel che riguarda il sito in oggetto.
Se vado su http://www.regione.lazio.it/ tramite uno dei client che utilizza il server con squid come proxy, non ottengo risposta, e va in timeout. Dai log di squid ottengo sempre solo un TCP_MISS, il che vuol dire che non è in cache. Fin qui mi va anche bene, ma sembra che il suddetto sito non sia raggiungibile se passo tramite squid.
Se provo ad accedere a http://www.regione.toscana.it/ non ci sono problemi e il sito viene caricato immediatamente.

Altrimenti, l'unico modo che ho è quello di disabilitare la regola di iptables che mi forwarda tutte le request dalla 80 alla 3128, in modo che funzioni il transparent proxy e lasciare attivo solo il NAT.

Dai log in generale non sono riuscito a reperire alcuna informazione, ma credo che il blocco sia su squid (3.1.16 - e ora non posso aggiornare).

Qualcuno ha idea di quale possa essere il problema?

[doom555]

Ciao, mi vien da pensare che sia a cuasa del doppio redirect:

Code: Select all

$ wget www.regione.lazio.it
--2013-05-09 18:59:21--  http://www.regione.lazio.it/
Risoluzione di www.regione.lazio.it... 89.97.235.40
Connessione a www.regione.lazio.it|89.97.235.40|:80... connesso.
Richiesta HTTP inviata, in attesa di risposta... 302 Found
Posizione: http://www.regione.lazio.it/rl_main [segue]
--2013-05-09 18:59:21--  http://www.regione.lazio.it/rl_main
Connessione a www.regione.lazio.it|89.97.235.40|:80... connesso.
Richiesta HTTP inviata, in attesa di risposta... 301 Moved Permanently
Posizione: http://www.regione.lazio.it/rl_main/ [segue]
--2013-05-09 18:59:21--  http://www.regione.lazio.it/rl_main/
Connessione a www.regione.lazio.it|89.97.235.40|:80... connesso.
Richiesta HTTP inviata, in attesa di risposta... 200 OK
Lunghezza: non specificato [text/html]
Salvataggio in: "index.html"

    [   <=>                                                                                                                                     ] 23.122      44,6KB/s   in 0,5s   

2013-05-09 18:59:23 (44,6 KB/s) - "index.html" salvato [23122]

http://en.wikipedia.org/wiki/HTTP_302
http://en.wikipedia.org/wiki/HTTP_301

Probabilmente c'è qualcosa da configirare in squid a riguardo, ma non so cosa e dove!

[fbcyborg]

Grazie!

Sicuramente è un buon punto di partenza!
Provo ad indagare!

[fbcyborg]

Dunque, sembra che con squid 3.x sia tutto molto complicato, in quanto il redirect non sembra sia possibile.
Inoltre io utilizzo squidGuard quindi non posso usare un altro redirect program (quindi uno script ad esempio).

Ho provato ad utilizzare squidGuard in modo che se viene digitato l'url della regione lazio, si venga reindirizzati su http://www.regione.lazio.it/rl_main/
ma poi facendo delle prove ho visto che se da un client della rete che usa il proxy digito quell'URL, comunque non riesco a visitare il sito.

Quindi credo che anche se riuscissi a fare questa cosa del redirect, sarebbe tutta fatica sprecata.

Inoltre ho già fatto qualcosa di simile (es. se vuoi accedere a twitter, vieni reindirizzato su una pagina che dice che l'accesso è stato negato).

A questo punto mi viene in mente solo una cosa: una regola di iptables(?)...

[fbcyborg]

OK,

ho risolto bypassando squid solo per quel sito:

Code: Select all

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d www.regione.lazio.it -j RETURN

La regola però va messa prima del redirect verso la porta 3128 di squid quindi le prime righe di /var/lib/iptables/rules-save sono così:

Code: Select all

[0:0] -A PREROUTING -d 89.97.235.40/32 -i eth0 -p tcp -m tcp --dport 80 -j RETURN
[19399:989808] -A PREROUTING ! -d 10.0.0.0/24 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Quindi così si può definire una regola per ogni sito.

Riferimento.