Saludos cordiales tengo instalado Squid en un servidor CentOS 6.3, el problema es que me restringe ciertas paginas sin estar registradas, espero me puedan ayudar con el inconveniente, a continuaciòn muestro mi configuraciòn:

Squid:

#Recommended minimum configuration:
#
acl manager proto cache_object
#acl localhost src 127.0.0.1/32 ::1
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl manager proto cache_object
#acl localhost src 127.0.0.1/8
acl localhost src 127.0.0.1/32
acl redlocal src 192.168.0.0/24
#estas lineas son para denegar acceso a ciertos lugares

acl expresionesdenegadas url_regex "/etc/squid/listas/expresionesdenegadas"
acl dominiosdenegados dstdomain "/etc/squid/listas/dominiosdenegados"
acl dominios-inocentes dstdomain "/etc/squid/listas/dominios-inocentes"
acl extensiones urlpath_regex "/etc/squid/listas/extensiones"
acl macs arp "/etc/squid/listas/macs"

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow macs
http_access allow dominios-inocentes
http_access allow redlocal all !dominiosdenegados !expresionesdenegadas
http_access allow localhost
http_access deny all

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
#http_port 3128
#http_port 192.168.0.3:8080 intercept
http_port 192.168.0.3:8080
# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
cache_dir aufs /var/spool/squid 1048 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
################################
Archivo dominiosdenegados:

#Este archivo sirve para bloquear dominios

.facebook.com
.youtube.com
####################

Archivo expresionesdenegadas

#Este arquivo sirve para denegar acceso a sitios que contengan estas expresiones
adult
celebri
playstation
porn
sex
torrent
warez
wii
facebook
############

Archivo dominios-inocentes

#Este archivo sirve para excluir dominios accidentalmente bloqueados

.edu.ec
.eluniversal.com.mx
.gob.mx
.gob.ec
www.firmadigital.informatica.gov.ec/
.milenio.com
.org
.org.mx
.unam.mx
https://181.112.150.101:8443/cas/login?service=https%3A%2F%2F181.112.150.101%3A8443%2Fwebsysgar%2F
www.google.com
www.google.com.ec
.pichincha.com
.patiotuerca.com
.chevrolet.com.ec
.hotmail.com
.tutorial-es.com
.toyota.com.ec
dropbox.com

en la cual
este enlace con negrita que le incluyo en dominios-inocentes es el que se bloquea
https://181.112.150.101:8443/cas/login?service=https%3A%2F%2F181.112.150.101%3A8443%2Fwebsysgar%2F

mi servicio iptables es el siguiente.

# Generated by iptables-save v1.4.7 on Mon Sep 9 20:24:06 2013
*nat
REROUTING ACCEPT [1092:72921]
OSTROUTING ACCEPT [6:1968]
:OUTPUT ACCEPT [143:10538]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Sep 9 20:24:06 2013
# Generated by iptables-save v1.4.7 on Mon Sep 9 20:24:06 2013
*filter
:INPUT ACCEPT [34:2686]
:FORWARD ACCEPT [1:77]
:OUTPUT ACCEPT [24:2304]
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 30300:30309 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2013 -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
COMMIT
# Completed on Mon Sep 9 20:24:06 2013

por favor si alguien se toma la molestia de revisar y me pueda ayudar muchas gracias ya no se que hacer
debo mencionar que ya probe con el puerto intercept y no intercept como muestro en el archivo, y solamente tengo bloqueadas paginas facebook y youtube

Hola

No es que Squid no permita la página es que no funciona con https y en tu firewall solo reenvias las peticiones del puero 80 y no las del 443 (pto default de https) y en tu caso el 8443 (pto https de tu página)

para poder permitir tu página

1.- lo puedes hacer directamente en tu firewall

a) tienes que permitirle el acceso a la ip 181.112.150.101 al puerto 8443
b) debes de decirle al firewall que cualquier petición al puerto 8443 la mande al 8080 EXCEPTO la ip 181.112.150.101

* Si haces este método para el puerto 443 podrás bloquear o permitir cualquier https y funciona para cualquier puerto.

2.- o bien configura WPAD

http://www.alcancelibre.org/staticpages/index.php/como-wpad


Saludos y espero que te sirva.

Gracias por la pronta respuesta daom11

si m epudieras orientar como lo aria con la primera opción que haces mensión sobre mi firewall(cual seria la regla de iptables) en tu respuesta debido a que en WPAD me pide configurar DNS y lo tengo configurado en el servidor es solamente DHCP y Squid y quisiera resolverlo lo más pronto, pues el tiempo me apremia.

gracias

Desde hace bastante tiempo uso Shorewall y he perdido un poco de habilidad con iptables puro, así que según yo tu problema se resuelve con esto:

Desde hace bastante tiempo uso Shorewall y he perdido un poco de habilidad con iptables puro, así que según yo tu problema se resuelve ejecutando estoo:


lo pruebas y si te funciona ejecutas




Saludos.

Gracias por tu ayuda, intente hacer lo que me sugeriste mas el segundo comando no me funciono, pero te debo comentar que ya lo solucione gracias a algo que Joel Barrios lo hace muy sencillo y lo hace en este foro

http://www.alcancelibre.org/forum/viewtopic.php?showtopic=2575

tan facil como eso jeje

Gracias por tu ayuda