Vamos começar os testes.
Primeiro, removi fisicamente os servidores windows da rede, para nenhuma interferência do Active Directory(não fui eu quem configurei, mas sei que há um servidor DNS nele, e poderia ser o problema, sei lá).
Limpei os caches, reiniciei servidor BFW e 2 computadores de teste (um da DMZ outro não). Os demais computadores estavam desligados. Hojé é domingo
Site da CEF
não abriu, ou abriu "porcamente" como já dito. Outros sites conforme as configurações do post anterior faziam efeito: bloqueios, DMZ ok).
Decidi recomeçar as configurações do BFW do menos restritivo ao mais restritivo, assim, vejo se detecto algo como DansGuardian, como Lenobare sugeriu.
Antes de tudo, fiz um backup:
Desliguei o BFW, testei o HD com o Cristal Disk Info, e está "saudável".
O computador é da Lenovo:
CPU: Intel(R) Pentium(R) CPU G2030 @ 3.00GHz
Memória: 2 GiB
HD: 500GiB
Relembrando: Versão do Firewall: 3.0.261.rc4
Liguei-o e comecei as configurações.
As configurações que considero sensíveis são essas, do modo
menos restritivo:
- Código: Selecionar todos
Configurações->Conexões->Lógica:
Internet: IP Fixo, NAT Sim
Configurações->DNS
Ativo, vazio o preferencial e o alternativo, Wpad não, Avançado não.
Configirações->Firewall->NAT
Vazio
Configurações->Cache em Disco->Configurações
Ativo->Não.
No demais, faço algumas reservas de IP para impressoras e alguns computadores.
Não uso rotas, possuo apenas um provedor de acesso à Internet.
Não uso Subredes, Qualidade de Serviço, VPN.
Mapeio algumas portas, nada conflitante com Squid ou SSH.
Tenho um computador na DMZ.
Configurações->Salvar configurações, e reiniciar o BFW, desativar e ativar os conectores de rede dos 2 computadores clientes.
Configurei os navegadores para não usarem proxy (desmarcar nas configurações da lan o "detectar automaticamente as configurações).
Abrir navegadores.
Situação: tudo liberado, todos sites, inclusive o http://www.caixa.gov.br abrindo normalmente, como é de se esperar.Vamos ativar o proxy:
- Código: Selecionar todos
Configurações->Cache em Disco->Configurações
Ativo, diretórios padrões,
Tamanhos:
cache mem: 256MiB;
cache disco: vazio;
máx. obj. mem.:10240KiB;
máx. obj. disco:512000KiB
O resto, tudo "não", relatório nenhum.
Aproveito e executo a limpeza do proxy.
Salvo, reinicio o BFW e após o beep, desativo/ativo as conexões de rede dos comp. cliente.
Situação: tudo liberado, todos sites, inclusive o www.caixa.gov.br abrindo normalmente. Vamos começar a bloquear com o DansGuardian.
Primeiro, bloquear tudo.
Em bannedlist, tiro do comentário o **, **s, *ip, *ips, salvo, recarrego.
Em exceptionsitelist, está tudo comentado, assim como exceptionurllist.
Como era de se esperar, em exceptioniplist, o IP do computador da DMZ está listado.
Nos outros arquivos do dansguardian, deixo o default.
Ativo o Dansguardian.
Paro o Cache de disco, Mudo Interceptar->Sim. Salvo, inicio o Cache em disco.
No computador da DMZ, tudo abre normal.
No outro computador, o DansGuardian está bloqueando.
uol.com.br, terra.com.br, g1.com.br, etc. bloqueado.
Não está bloqueando o https, como é de se esperar.
Mas o site da CEF está abrindo, e não é https!Mas abriu tão rápido, que suspeito ter vindo do cache.
Bora limpar os caches, tanto do navegador quando do squid...
Limpei os caches e, mesmo com tudo bloqueado (exceto o https, é claro) o site http://www.caixa.gov.br
abriu(!).
Dúvida: Pode o site, mesmo mostrando no navegador que é http, usar outra porta diferente de 80?
Usei o Process Explorer para monitorar o chrome, e vai no 200.201.161.223 da CEF na porta 80.
Taí. O Dansguardian não bloqueia o site da CEF na porta 80.
Será então isso a ponta do iceberg para o problema com site da CEF com as configurações originais do início do post?
Mais alguém com esse problema?
Relembrando, o objetivo é carregar o site da caixa(http://www.caixa.gov.br), mas com os bloqueios do primeiro post:
"BrazilFW Firewall & Router 3.0.259RC24 Web Proxy Não Transparente, Bloqueio HTTPS, WPAD"
https://www.youtube.com/watch?x-yt-ts=1422579428&v=P9gTpQWr5Xs&x-yt-cl=85114404