Acesso a https

eduardo_jst
(usa Slackware)

Enviado em 18/03/2011 - 18:16h

Boa tarde, tenho iptables e squid autenticado rodando legal, mas descobri usuarios estão burlando o squid nos relatorios do sarg, e fazendo teste descobri que ao logar no squid e eu colocar nao, ele me traz uma mensagem de erro e não possibilita navegar, mas se eu for la no browser e digitar exemplo: http://www.meebo.com me traz a tela de login se eu logar bloqueia (o que é o certo), mas se ao inves do digitado eu colocar o s no http, ficando https://www.meebo.com, navega normalmente sem logar.

Alguem pode me dar uma dica, e forçar a autenticar no squid estas paginas seguras?

fico no aguardo

renato_pacheco
(usa Debian)

Enviado em 18/03/2011 - 23:34h

Seu squid deve ser transparente. Pra barrar isso, vc tem q bloquear o FORWARD para a porta 443 e deixar d usar o proxy transparente de vez.

eduardo_jst
(usa Slackware)

Enviado em 21/03/2011 - 11:42h

Meu squid é autenticado, e minhas politicas estão como DROP, liberando conforme a necessidade, mas mesmo assim nao funciona.

renato_pacheco
(usa Debian)

Enviado em 21/03/2011 - 13:35h

Se o seu squid é autenticado, todas as requisições cadastradas no navegador estão indo para o proxy. D uma olhada no navegador se isso está ocorrendo. Se sim, basta marcar para ele acessar a porta via proxy. Outra coisa q deve ser feita é descartar os pacotes advindos da porta 443:

iptables -A FORWARD -p tcp --dport 443 -j DROP

wesleya2
(usa Debian)

Enviado em 21/03/2011 - 13:39h

tenta alterar a regra de bloqueio de http://www.meebo.com para .meebo.com

eduardo_jst
(usa Slackware)

Enviado em 22/03/2011 - 10:16h

Brother, usei a seguinte regra iptables -A FORWARD -p tcp --dport 443 -j DROP
mas continua acessando, tenho seguinte regra para porta 80:
$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 5005

existe alguma regras que faça algo semelhante para https,

fiz varias pesquisas, se tiverem alguma dica para eu estudar

renato_pacheco
(usa Debian)

Enviado em 22/03/2011 - 11:14h

Kra, só vc colocando as suas regras aki pra gente saber...

eduardo_jst
(usa Slackware)

Enviado em 22/03/2011 - 14:19h

Segue meu script de regras:

# Vari<E1>veis
iptables=/sbin/iptables
IF_EXTERNA=eth1
IF_INTERNA=eth0

/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE


# Ativa roteamento no kernel
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward

$iptables -F
$iptables -X
$iptables -F -t nat
$iptables -X -t nat
$iptables -F -t mangle
$iptables -X -t mangle


# Determina a politicas

$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP

$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIRE: NEW sem syn: "
$iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

$iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIRE: pacote mal formado: "
$iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP

$iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

$iptables -A FORWARD -s 10.1.113.0/24 -p tcp --dport 443 -j DROP
$iptables -A FORWARD -p tcp --dport 443 -j DROP
# Proxy
# -------------------------------------------------------
$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 5005
$iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 8080 -j REDIRECT --to-port 5005

renato_pacheco
(usa Debian)

Enviado em 22/03/2011 - 16:51h

Kra, a ordem ficou incorreta. A ordem correta é essa:

...

$iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A FORWARD -s 10.1.113.0/24 -p tcp --dport 443 -j DROP
$iptables -A FORWARD -p tcp --dport 443 -j DROP
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

...

E veja se funcionou.