Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › EFW gerando muitos TCP_DENIED/407
Marcado: TCP_DENIED/407 proxy samba
- Este tópico contém 6 respostas, 2 vozes e foi atualizado pela última vez 6 anos, 2 meses atrás por Luciano Donato.
-
AutorPosts
-
-
janeiro 25, 2018 às 11:08 am #22294Luciano DonatoParticipante
Olá, tenho um Endian 3.2.4, integrado com Samba 4, o mesmo foi adicionado ao dominio, e funcionava perfeitamente, porém a pouco tempo começou apresentar uns problemas.
Comecei a ter vários TCP_DENIED/4070 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
131 192.168.254.8 TCP_DENIED/407 3123 CONNECT cdn.ywxi.net:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:03
0 192.168.254.8 TCP_DENIED/407 3310 CONNECT cdn.ywxi.net:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:04
75 192.168.254.8 TCP_DENIED/407 3126 CONNECT embed.tawk.to:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:04
0 192.168.254.8 TCP_DENIED/407 3313 CONNECT embed.tawk.to:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:04
73 192.168.254.8 TCP_DENIED/407 3126 CONNECT jigsaw.w3.org:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:04
0 192.168.254.8 TCP_DENIED/407 3313 CONNECT jigsaw.w3.org:443 - HIER_NONE/- text/html
Proxy HT..
2018-01-25 11:01:04
72 192.168.254.8 TCP_DENIED/407 3117 CONNECT va.tawk.to:443 - HIER_NONE/- text/htmlAlgumas máquinas navegam, outras ficam pedindo autenticação.
Alguém já passou por isso?
Obs.:
O Proxy lista todos os usuários e grupos do dominio, ele ingressa no dominio sem problemas.root@vest-fw-01:/var/log # wbinfo -t
checking the trust secret for domain VESTSUL via RPC calls succeeded
Se eu fizer uma regra liberando tudo funciona bem, se eu remover regras que utilizam grupo ou usuario, também funciona bem.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
janeiro 25, 2018 às 11:10 am #22295Luciano DonatoParticipante
Completando:
root@vest-fw-01:/var/log # wbinfo -u
camila
maria
user.comercial
user.producao
edgar
lucianodonato
roberto
maycon
administrator
krbtgt
guest
efw
root@vest-fw-01:/var/log # wbinfo -g
allowed rodc password replication group
enterprise read-only domain controllers
denied rodc password replication group
read-only domain controllers
group policy creator owners
almoxarifado
int_liberado
faturamento
int_parcial
comercial
ras and ias servers
gerencia
producao
domain controllers
enterprise admins
domain computers
cert publishers
dnsupdateproxy
domain admins
domain guests
schema admins
ti
domain users
dnsadmins
-
janeiro 25, 2018 às 11:11 am #22296Luciano DonatoParticipante
Mais uma coisa, parece que o problema só acontece quando se acessa: sites https
-
janeiro 25, 2018 às 4:37 pm #22298Luciano DonatoParticipante
Se vocês executarem o comando pelo console do Endian:
ntlm_auth --username=administrator
Funciona ou reclama que não encontrou o arquivo smb.conf?
Troque o administrator por um usuário do AD. -
janeiro 28, 2018 às 9:25 pm #22306Luciano DonatoParticipante
Olá pessoal, ainda estou tentando resolver o problema, parece que o problema é com NTLM mesmo, pois eu comentei as seguintes linhas no squid.conf
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --configfile=/etc/samba/winbind.conf
auth_param ntlm children 20
auth_param ntlm keep_alive offAo abrir o navegador o mesmo, pediu usuário e senha, os mesmo foram aceitos e a navegação funcionou normal, sem levantar os erro 407.
O estranho que se utilizo o comando:
ntlm_auth --username=administrator
funciona corretamente, executei no AD e no FW. Ambos ok.Estou aceitando sugestões. rs…
-
janeiro 28, 2018 às 9:55 pm #22307Eduardo JonckParticipante
Luciano,
Mesmo dando erros 407 os sites estão acessando normalmente? Temos de observar que vários acessos são feitos HTTP pelos serviços do Windows, como Windows Update, Updates dos navegadores, etc.
Já usei o Endian Firewall com SAMBA 4, tenho relatos de outras pessoas que usam e não tem problemas algum no modo NTLM. Revise suas configurações. Para integrar com o SAMBA 4 é a mesma forma que com Active Directory.
Todas as informações que você passou não dá de ter parametros para lhe ajudar. O que tem de fazer e garimpar os logs e ver se encontra algo.
Quando você fala que pede usuário e senha autentica, isso são com máquinas fora do domínio em no domínio?
O NTLM HELPER usa o winbind.conf para seu funcionamento e não o SMB.CONF. O Endian é todo customizado, muitas coisas que são feitas nos SOs como Centos Debian etc não da certo no Endian. É necessário passar parâmetros quando executa alguns comandos.
-
janeiro 29, 2018 às 12:05 am #22312Luciano DonatoParticipante
Mesmo dando erros 407 os sites estão acessando normalmente? Temos de observar que vários acessos são feitos HTTP pelos serviços do Windows, como Windows Update, Updates dos navegadores, etc.
Algumas maquinas, navegam normal, mas geram o 407, outras pedem usuario e senha, e navega, outras pedem usuario e senha e não navega.
E estamos falando de sites: tipo google.com, globo.com, terra.com.br, uol.com…..Já usei o Endian Firewall com SAMBA 4, tenho relatos de outras pessoas que usam e não tem problemas algum no modo NTLM. Revise suas configurações. Para integrar com o SAMBA 4 é a mesma forma que com Active Directory.
Este servidor funcionava normalmente com samba 4, já revisei e refiz toda a configuração, não achei nenhum erro na interface do Endian.
Quando você fala que pede usuário e senha autentica, isso são com máquinas fora do domínio em no domínio?
Todos os teste forma feitos com maquinas no dominio.
O NTLM HELPER usa o winbind.conf para seu funcionamento e não o SMB.CONF. O Endian é todo customizado, muitas coisas que são feitas nos SOs como Centos Debian etc não da certo no Endian. É necessário passar parâmetros quando executa alguns comandos.
SObre o NTLM eu execute: ntlm_auth –configfile=/etc/samba/winbind.conf –username=lucianodonato fiz o apontamento para o arquivo correto.
Agradeço a ajuda, estou procurando nos logs, para tentar achar algo errado….
Eu desativei o ntlm no squid.conf, conforme avisei acima, a tela de login e senha no navegador passou a funcionar, então o problema é realmente algo com ntlm, ou um dos recursos que ele usa.
Mais uma vez obrigado.
-
-
AutorPosts
- O tópico ‘EFW gerando muitos TCP_DENIED/407’ está fechado para novas respostas.