Bienvenido(a) a Alcance Libre 30/09/2022, 23:30

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Redes y Servidores New Topic Post Reply
 PROXY TRANSPARENTE 443 CON IPTABLES
Tópico anterior Tópico siguiente
   
Damian Borgi
 12/15/14 02:27PM (Leído 9,602 veces)  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/18/10
Mensajes: 52
Buenas amigos.

Tengo el siguiente problema, tengo un Centos 6.6 como firewall, y a la vez es proxy, configuro proxy transparente y no tengo problemas con las páginas con puerto 80, pero cuando hago el DNAT del puerto 443, en el navegador se queda cargando las páginas https y nunca abren, probé muchos metodos y no pude solucionar, si alguien me puede ayudar gracias
 
Profile Email
 Quote
Will Lpz Jimnz
 12/15/14 04:07PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/19/07
Mensajes: 181
Localización:Mexico
Que configuración en tu cortafuegos estas usando? si dieras a ver el código sería una mayor posibilidad de poder ayudarte Smile

Saludos !! Mr. Green

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Profile Email Website
 Quote
Joel Barrios Dueñas
 12/15/14 07:29PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Proxy transparente con squid para HTTPS es imposible. El protocolo HTTPS no lo permite. para HTTPS debes configurar manualmente navegador (o usar wpad) o bien sar salida libre a través de NAT.

http://www.alcancelibre.org/staticpages/index.php/como-wpad
 
Profile Email Website
 Quote
Damian Borgi
 12/16/14 08:23AM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/18/10
Mensajes: 52
Estoy usando iptables

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128

Siendo eth1 la dmz de la red local, y 192.168.1.1 el proxy (que está en el mismo servidor firewall)

Probé agregando en el squid https_port 3127 pero al redirigir por ejemplo

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j DNAT --to 192.168.1.1:3127

Las páginas con https se quedan cargando y no entran nunca.
 
Profile Email
 Quote
Joel Barrios Dueñas
 12/16/14 10:54AM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Eso que estás intentando en realidad no lo permite el protocolo. Nuevamente: HTTPS tiene que pasar por NAT o bien configurar Proxy manualmente. Es lo recomendado para gestionar tráfico HTTPS.

Lo que pretendes es posible, pero:

1) probablemente requiere una versión más reciente de squid (la más reciente)
2) compilar con soporte ssl
3) generar firma digital RSA sin contraseña y certificado de 2048 bits.
4) configurar certificados en squid.conf.

BASH Formatted Code
https_port 3127 intercept cert=/etc/pki/tls/squid/servidor.crt key=/etc/pki/tls/squid/servidor.key


No es una función recomendada. Por favor, lee a detalle http://wiki.squid-cache.org/Features/SslBump antes de proceder.

 
Profile Email Website
 Quote
Will Lpz Jimnz
 12/16/14 03:43PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/19/07
Mensajes: 181
Localización:Mexico
Los puertos de seguridad lo puedes administrar desde el cortafuego, como bien comenta Joel no es recomendado hagas eso sobre todos en sitios importantes como bancos o lugares donde manejen dinero electrónico.

configura tu cortafuego para administrar que sitios https quieres bloquear, por ejemplo Como bloquear los sitios seguros facebook, twitter, imo y meebo con Squid Proxy y Shorewall por asi decirlo.

Saludos!! Mr. Green

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Profile Email Website
 Quote
Damian Borgi
 12/17/14 12:20PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/18/10
Mensajes: 52
Gracias por las respuestas de todos.

En mi caso no quiero bloquear esas páginas, quiero que sea transparente y que pase todo el tráfico por el proxy, tanto las páginas puerto 80 y las 443, tengo reglas para bloquear https de redes sociales, pero tienen que navegar full despúes.
 
Profile Email
 Quote
Edgar Rodolfo
 12/18/14 10:32AM  

Miembro regular

Estado: desconectado
Forum User

Identificado: 05/20/09
Mensajes: 71
Localización:Perú
Quote by: Damian Borgi

Gracias por las respuestas de todos.

En mi caso no quiero bloquear esas páginas, quiero que sea transparente y que pase todo el tráfico por el proxy, tanto las páginas puerto 80 y las 443, tengo reglas para bloquear https de redes sociales, pero tienen que navegar full despúes.



Hola que yo sepa, cuando usas servidor intermediario para que alguna lan salga a internet pues squid hara su trabajo con http y con https es mejor usar iptables, es una regla que recuerde, es mas la regla la puse en este foro, debe estar en los archivos en hilo pasado, buscalo, es simpel que recuerde, tienes que averiguar las ips de algunos sitios que quieras bloquear como facebook, twitter, youtube, todos esos con su protocolo https, iptables te ayudara, squid no lo va hacer.

Ahora que recuerde tambien por defecto todo trafico https saldrá sin problemas, squid ni lo mira a https, todos los sitios que no sean los que bloqueaste por iptables saldran sin problemas, no es necesario añadir nada a squid.conf, solo añade filtros para paginas http de pronografia o similar y ya.

en resumen tus usuarios pasaran por proxy tanto usen http o https, solo las reglas para http squid las va a mirar, las https ni las mira, osea todo deberia funcionar, hará caché de sitios web, osea su trabajo normal, esos parametros de memoria y esas cosas si als debes configurar por lo demas iptables para https lo hace simple, busca aqui en el mismo foro hace tiempo se dijo comos e hacia eso, yo escribi una regla iptables, lo probé y funciona perfecto que recuerde, para centos 6 lo probé, si me animo hago el tutorial, nada mas que por ahora estoy con fedora 21 con mis videitos Smile

Live free or die!
 
Profile Email Website
 Quote
Nik0
 12/18/14 08:49PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 08/20/13
Mensajes: 60
Usa wpad como dice Joel. Nisiquiera esos proxys "embazados"(distros rancias como ClearOS o Endian) funcionan con esa flexibilidad y eficiencia como lo hace un squid compilado o instalado mas wpad.

Te lo dice alguien que en las 4 empresas que tengo firewall, las tengo con squid+iptables y wpad. Con suerte les hago mantención.
 
Profile Email
 Quote
Contenido generado en: 0.22 segundos New Topic Post Reply
 Todas las horas son CDT. Hora actual 11:30 PM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado