Buenas amigos.

Tengo el siguiente problema, tengo un Centos 6.6 como firewall, y a la vez es proxy, configuro proxy transparente y no tengo problemas con las páginas con puerto 80, pero cuando hago el DNAT del puerto 443, en el navegador se queda cargando las páginas https y nunca abren, probé muchos metodos y no pude solucionar, si alguien me puede ayudar gracias

Que configuración en tu cortafuegos estas usando? si dieras a ver el código sería una mayor posibilidad de poder ayudarte

Saludos !!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]

Proxy transparente con squid para HTTPS es imposible. El protocolo HTTPS no lo permite. para HTTPS debes configurar manualmente navegador (o usar wpad) o bien sar salida libre a través de NAT.

http://www.alcancelibre.org/staticpages/index.php/como-wpad

Estoy usando iptables

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128

Siendo eth1 la dmz de la red local, y 192.168.1.1 el proxy (que está en el mismo servidor firewall)

Probé agregando en el squid https_port 3127 pero al redirigir por ejemplo

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j DNAT --to 192.168.1.1:3127

Las páginas con https se quedan cargando y no entran nunca.

Eso que estás intentando en realidad no lo permite el protocolo. Nuevamente: HTTPS tiene que pasar por NAT o bien configurar Proxy manualmente. Es lo recomendado para gestionar tráfico HTTPS.

Lo que pretendes es posible, pero:

1) probablemente requiere una versión más reciente de squid (la más reciente)
2) compilar con soporte ssl
3) generar firma digital RSA sin contraseña y certificado de 2048 bits.
4) configurar certificados en squid.conf.



No es una función recomendada. Por favor, lee a detalle http://wiki.squid-cache.org/Features/SslBump antes de proceder.

Los puertos de seguridad lo puedes administrar desde el cortafuego, como bien comenta Joel no es recomendado hagas eso sobre todos en sitios importantes como bancos o lugares donde manejen dinero electrónico.

configura tu cortafuego para administrar que sitios https quieres bloquear, por ejemplo Como bloquear los sitios seguros facebook, twitter, imo y meebo con Squid Proxy y Shorewall por asi decirlo.

Saludos!!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]

Gracias por las respuestas de todos.

En mi caso no quiero bloquear esas páginas, quiero que sea transparente y que pase todo el tráfico por el proxy, tanto las páginas puerto 80 y las 443, tengo reglas para bloquear https de redes sociales, pero tienen que navegar full despúes.

Hola que yo sepa, cuando usas servidor intermediario para que alguna lan salga a internet pues squid hara su trabajo con http y con https es mejor usar iptables, es una regla que recuerde, es mas la regla la puse en este foro, debe estar en los archivos en hilo pasado, buscalo, es simpel que recuerde, tienes que averiguar las ips de algunos sitios que quieras bloquear como facebook, twitter, youtube, todos esos con su protocolo https, iptables te ayudara, squid no lo va hacer.

Ahora que recuerde tambien por defecto todo trafico https saldrá sin problemas, squid ni lo mira a https, todos los sitios que no sean los que bloqueaste por iptables saldran sin problemas, no es necesario añadir nada a squid.conf, solo añade filtros para paginas http de pronografia o similar y ya.

en resumen tus usuarios pasaran por proxy tanto usen http o https, solo las reglas para http squid las va a mirar, las https ni las mira, osea todo deberia funcionar, hará caché de sitios web, osea su trabajo normal, esos parametros de memoria y esas cosas si als debes configurar por lo demas iptables para https lo hace simple, busca aqui en el mismo foro hace tiempo se dijo comos e hacia eso, yo escribi una regla iptables, lo probé y funciona perfecto que recuerde, para centos 6 lo probé, si me animo hago el tutorial, nada mas que por ahora estoy con fedora 21 con mis videitos

---

Live free or die!

Usa wpad como dice Joel. Nisiquiera esos proxys "embazados"(distros rancias como ClearOS o Endian) funcionan con esa flexibilidad y eficiencia como lo hace un squid compilado o instalado mas wpad.

Te lo dice alguien que en las 4 empresas que tengo firewall, las tengo con squid+iptables y wpad. Con suerte les hago mantención.