proxy transparente (squid) [RESOLVIDO]

eltonhbm
(usa Ubuntu)

Enviado em 30/12/2009 - 23:15h

pessoal, estou com um problema. Tenho um server rodando legal, utilizo proxy squid em modo transparente e tambem esta rodando legal, ou quase. O problema é que os terminais nao acessam paginas de seguraça https (porta 443) em modo transparente, mas quando eu vou na maquina e configuro o navegador manualmente ele funciona!

1° - Pelo que eu sei nao tem como redirecionar a porta 443 para o squid porque ele nao trabalha com https certo ?

2° - Existe alguma maneira para que a rede interna acesse essas paginas sem ter que passar pelo proxy, porém utilizando o serviço para as demais portas ?

-----------------------------------
eth0 = dhcp - rede externa
eth1 = 192.168.0.1 - rede interna
-----------------------------------

desde já, grato!

Diede
(usa Debian)

Enviado em 31/12/2009 - 01:07h

É isso mesmo!
Se seu squid estiver no meio no modo transparent, uma conexão https efetiva constituiria um Man-in-the-middle attack.

1º Na verdade o squid trabalha com https, mas só quando o browser sabe que lá há um proxy, e envia os comandos (GET, etc), de modo que o squid saiba o que fazer.
2º Existe sim! Você pode jogar um masquerade na porta 443 (ou seja, acessar por fora do proxy), e manter a 80 redirecionada para a 3128 como está agora.
Ficaria mais ou menos assim:
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -p tcp --dport 443 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Essa regra aqui você já tem:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

riesdra
(usa Debian)

Enviado em 31/12/2009 - 12:08h

eu usava aqui o squid tranparent e nunca tive problemas em sites com protocolos https.

eltonhbm
(usa Ubuntu)

Enviado em 31/12/2009 - 14:27h

vou realizar as mudanças que o amigo Diede indicou e volto a postar pra dizer no que deu!
e riesdra sera que tu nao utilizou outra versao do squid ou distro?
Meu server esta rodando com o Debian lenny + squid 2.7 stable3

abracs!

eltonhbm
(usa Ubuntu)

Enviado em 31/12/2009 - 14:32h

agora surgiu outra duvida.

se eu fazer esse masquerade quer dizer que todas as paginas que utilizam o protocolo https e porta 443 nao passaram mais pelo proxy ?

quer dizer entao que minha rede nao vai estar 100% segura, ou seja, os usuarios poderam acessar sites restritos que utilizam esse protocolo?

no aguardo..

riesdra
(usa Debian)

Enviado em 31/12/2009 - 16:53h

como postado acima

#Essa regra aqui você já tem:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

esta regra diz que a única coisa que passa pelo proxy são conexões da porta 80 que neste caso é re-direcionada para porta 3128 do proxy.

eltonhbm
(usa Ubuntu)

Enviado em 31/12/2009 - 17:15h

mas pelo que eu entendi isso nao vai funcionar:

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

entao como eu bloqueio por palavras na url sites indevidos que utilizam o https e/ou porta 443 ?

grato!

e feliz ano novo!!!

Diede
(usa Debian)

Enviado em 31/12/2009 - 17:50h

Quanto a proxy e controle http/https, você tem basicamente 2 escolhas:

Deixar o proxy em forced (o usuário coloca o endereço e porta do proxy em tudo que for usar) ou deixar em transparent e perder o controle sob https.

Há também uma sub-opção da primeira, que é deixar em modo forced, atribuir os IP's dos clientes por DHCP, e configurar um wpad.dat com os valores certo...

eltonhbm
(usa Ubuntu)

Enviado em 31/12/2009 - 18:04h

entao se eu utilizar o wpad.dat para cada maquina da rede via dhcp fixo, eu posso forçar um proxy aos ips da rede e assim nao precisar nem mexer nas maquinas dos usuarios e nao terei problema com o bloqueio a sites https ?

Diede
(usa Debian)

Enviado em 31/12/2009 - 18:14h

Exato. Só tem que ficas na mão da compatibilidade do wpad.dat...