EFW gerando muitos TCP_DENIED/407

Este tópico contém respostas, possui 2 vozes e foi atualizado pela última vez por  Luciano Donato 3 meses, 3 semanas atrás.

  • Autor
    Posts
  • #22294

    Luciano Donato
    Participante

    Olá, tenho um Endian 3.2.4, integrado com Samba 4, o mesmo foi adicionado ao dominio, e funcionava perfeitamente, porém a pouco tempo começou apresentar uns problemas.
    Comecei a ter vários TCP_DENIED/407

    0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3138 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3325 CONNECT www.donato.inf.br:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    131 192.168.254.8 TCP_DENIED/407 3123 CONNECT cdn.ywxi.net:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:03
    0 192.168.254.8 TCP_DENIED/407 3310 CONNECT cdn.ywxi.net:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:04
    75 192.168.254.8 TCP_DENIED/407 3126 CONNECT embed.tawk.to:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:04
    0 192.168.254.8 TCP_DENIED/407 3313 CONNECT embed.tawk.to:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:04
    73 192.168.254.8 TCP_DENIED/407 3126 CONNECT jigsaw.w3.org:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:04
    0 192.168.254.8 TCP_DENIED/407 3313 CONNECT jigsaw.w3.org:443 - HIER_NONE/- text/html
    Proxy HT..
    2018-01-25 11:01:04
    72 192.168.254.8 TCP_DENIED/407 3117 CONNECT va.tawk.to:443 - HIER_NONE/- text/html

    Algumas máquinas navegam, outras ficam pedindo autenticação.

    Alguém já passou por isso?

    Obs.:
    O Proxy lista todos os usuários e grupos do dominio, ele ingressa no dominio sem problemas.

    root@vest-fw-01:/var/log # wbinfo -t
    checking the trust secret for domain VESTSUL via RPC calls succeeded

    Se eu fizer uma regra liberando tudo funciona bem, se eu remover regras que utilizam grupo ou usuario, também funciona bem.

  • #22295

    Luciano Donato
    Participante

    Completando:
    root@vest-fw-01:/var/log # wbinfo -u
    camila
    maria
    user.comercial
    user.producao
    edgar
    lucianodonato
    roberto
    maycon
    administrator
    krbtgt
    guest
    efw

    root@vest-fw-01:/var/log # wbinfo -g
    allowed rodc password replication group
    enterprise read-only domain controllers
    denied rodc password replication group
    read-only domain controllers
    group policy creator owners
    almoxarifado
    int_liberado
    faturamento
    int_parcial
    comercial
    ras and ias servers
    gerencia
    producao
    domain controllers
    enterprise admins
    domain computers
    cert publishers
    dnsupdateproxy
    domain admins
    domain guests
    schema admins
    ti
    domain users
    dnsadmins

  • #22296

    Luciano Donato
    Participante

    Mais uma coisa, parece que o problema só acontece quando se acessa: sites https

  • #22298

    Luciano Donato
    Participante

    Se vocês executarem o comando pelo console do Endian:
    ntlm_auth --username=administrator
    Funciona ou reclama que não encontrou o arquivo smb.conf?
    Troque o administrator por um usuário do AD.

  • #22306

    Luciano Donato
    Participante

    Olá pessoal, ainda estou tentando resolver o problema, parece que o problema é com NTLM mesmo, pois eu comentei as seguintes linhas no squid.conf

    auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --configfile=/etc/samba/winbind.conf
    auth_param ntlm children 20
    auth_param ntlm keep_alive off

    Ao abrir o navegador o mesmo, pediu usuário e senha, os mesmo foram aceitos e a navegação funcionou normal, sem levantar os erro 407.

    O estranho que se utilizo o comando:
    ntlm_auth --username=administrator funciona corretamente, executei no AD e no FW. Ambos ok.

    Estou aceitando sugestões. rs…

  • #22307

    Eduardo Jonck
    Participante

    Luciano,

    Mesmo dando erros 407 os sites estão acessando normalmente? Temos de observar que vários acessos são feitos HTTP pelos serviços do Windows, como Windows Update, Updates dos navegadores, etc.

    Já usei o Endian Firewall com SAMBA 4, tenho relatos de outras pessoas que usam e não tem problemas algum no modo NTLM. Revise suas configurações. Para integrar com o SAMBA 4 é a mesma forma que com Active Directory.

    Todas as informações que você passou não dá de ter parametros para lhe ajudar. O que tem de fazer e garimpar os logs e ver se encontra algo.

    Quando você fala que pede usuário e senha autentica, isso são com máquinas fora do domínio em no domínio?

    O NTLM HELPER usa o winbind.conf para seu funcionamento e não o SMB.CONF. O Endian é todo customizado, muitas coisas que são feitas nos SOs como Centos Debian etc não da certo no Endian. É necessário passar parâmetros quando executa alguns comandos.

  • #22312

    Luciano Donato
    Participante

    Mesmo dando erros 407 os sites estão acessando normalmente? Temos de observar que vários acessos são feitos HTTP pelos serviços do Windows, como Windows Update, Updates dos navegadores, etc.

    Algumas maquinas, navegam normal, mas geram o 407, outras pedem usuario e senha, e navega, outras pedem usuario e senha e não navega.
    E estamos falando de sites: tipo google.com, globo.com, terra.com.br, uol.com…..

    Já usei o Endian Firewall com SAMBA 4, tenho relatos de outras pessoas que usam e não tem problemas algum no modo NTLM. Revise suas configurações. Para integrar com o SAMBA 4 é a mesma forma que com Active Directory.

    Este servidor funcionava normalmente com samba 4, já revisei e refiz toda a configuração, não achei nenhum erro na interface do Endian.

    Quando você fala que pede usuário e senha autentica, isso são com máquinas fora do domínio em no domínio?

    Todos os teste forma feitos com maquinas no dominio.

    O NTLM HELPER usa o winbind.conf para seu funcionamento e não o SMB.CONF. O Endian é todo customizado, muitas coisas que são feitas nos SOs como Centos Debian etc não da certo no Endian. É necessário passar parâmetros quando executa alguns comandos.

    SObre o NTLM eu execute: ntlm_auth –configfile=/etc/samba/winbind.conf –username=lucianodonato fiz o apontamento para o arquivo correto.

    Agradeço a ajuda, estou procurando nos logs, para tentar achar algo errado….

    Eu desativei o ntlm no squid.conf, conforme avisei acima, a tela de login e senha no navegador passou a funcionar, então o problema é realmente algo com ntlm, ou um dos recursos que ele usa.

    Mais uma vez obrigado.

O tópico ‘EFW gerando muitos TCP_DENIED/407’ está fechado para novas respostas.