Denuncie   Favoritos   Indicar  

Erro para redirecionar a prota 443 (HTPS) para o SQUID

1. Erro para redirecionar a prota 443 (HTPS) para o SQUID

Davi
davigopi
(usa Slackware)

Enviado em 08/06/2015 - 16:28h

Estamos tentando colocar a porta 443 para passar pelo SQUID, mas não adianta.
Pode nos informar qual é o erro que estamos cometendo?
Ou como posso ver os logs de erros da porta 443, pois o access.log não esta mostrando nada?
O SQUID esta sendo executado normalmente sem erros.
Mas quando tentamos acessar as paginas HTTPS o navegador informar que a pagina não pode ser exibida.
E se removo o redirecionamento no IPTABLES da porta 443 ele volta a funcionar.

Estamos utilizando o SLACKWARE 14.1 com squid-3.4.9 e instalando na maquina o certificado que estamos gerando

A configuração:

IPTABLES:
iptables -t nat -A PREROUTING -i $eth_rede_interna -p tcp --dport 443 -j REDIRECT --to-port 3129

SQUID:
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/empresa.pem
always_direct allow all
ssl_bump server-first all
sslcrtd_program /etc/empresa/squid/squid-3.4.9/src/ssl/ssl_crtd -s /etc/squid/ssl_cert/ssl_db -M 4MB
sslcrtd_children 5


o cache.log:

2015/06/08 16:12:55 kid1| Set Current Directory to /var/log/squid/cache
2015/06/08 16:12:55 kid1| Starting Squid Cache version 3.4.9-20141119-r13188 for x86_64-slackware-linux-gnu...
2015/06/08 16:12:55 kid1| Process ID 1020
2015/06/08 16:12:55 kid1| Process Roles: worker
2015/06/08 16:12:55 kid1| With 1024 file descriptors available
2015/06/08 16:12:55 kid1| Initializing IP Cache...
2015/06/08 16:12:55 kid1| DNS Socket created at [::], FD 7
2015/06/08 16:12:55 kid1| DNS Socket created at 0.0.0.0, FD 8
2015/06/08 16:12:55 kid1| Adding domain cpe.videomar.net from /etc/resolv.conf
2015/06/08 16:12:55 kid1| Adding nameserver 187.18.187.4 from /etc/resolv.conf
2015/06/08 16:12:55 kid1| Adding nameserver 187.18.187.2 from /etc/resolv.conf
2015/06/08 16:12:55 kid1| Logfile: opening log /var/log/squid/access.log
2015/06/08 16:12:55 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid/access.log'
2015/06/08 16:12:55 kid1| Unlinkd pipe opened on FD 13
2015/06/08 16:12:55 kid1| Logfile: opening log /var/log/squid/store.log
2015/06/08 16:12:55 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid/store.log'
2015/06/08 16:12:55 kid1| Swap maxSize 8388608 + 2097152 KB, estimated 806596 objects
2015/06/08 16:12:55 kid1| Target number of buckets: 40329
2015/06/08 16:12:55 kid1| Using 65536 Store buckets
2015/06/08 16:12:55 kid1| Max Mem size: 2097152 KB
2015/06/08 16:12:55 kid1| Max Swap size: 8388608 KB
2015/06/08 16:12:55 kid1| Rebuilding storage in /var/spool/squid (clean log)
2015/06/08 16:12:55 kid1| Using Least Load store dir selection
2015/06/08 16:12:55 kid1| Set Current Directory to /var/log/squid/cache
2015/06/08 16:12:55 kid1| Finished loading MIME types and icons.
2015/06/08 16:12:55 kid1| HTCP Disabled.
2015/06/08 16:12:55 kid1| Squid plugin modules loaded: 0
2015/06/08 16:12:55 kid1| Accepting NAT intercepted HTTP Socket connections at local=[::]:3128 remote=[::] FD 17 flags=41
2015/06/08 16:12:55 kid1| Accepting HTTP Socket connections at local=[::]:8080 remote=[::] FD 18 flags=9
2015/06/08 16:12:55 kid1| Store rebuilding is 8.11% complete
2015/06/08 16:12:55 kid1| Done reading /var/spool/squid swaplog (49315 entries)
2015/06/08 16:12:55 kid1| Finished rebuilding storage from disk.
2015/06/08 16:12:55 kid1| 49315 Entries scanned
2015/06/08 16:12:55 kid1| 0 Invalid entries.
2015/06/08 16:12:55 kid1| 0 With invalid flags.
2015/06/08 16:12:55 kid1| 49315 Objects loaded.
2015/06/08 16:12:55 kid1| 0 Objects expired.
2015/06/08 16:12:55 kid1| 0 Objects cancelled.
2015/06/08 16:12:55 kid1| 0 Duplicate URLs purged.
2015/06/08 16:12:55 kid1| 0 Swapfile clashes avoided.
2015/06/08 16:12:55 kid1| Took 0.08 seconds (633901.49 objects/sec).
2015/06/08 16:12:55 kid1| Beginning Validation Procedure
2015/06/08 16:12:55 kid1| Completed Validation Procedure
2015/06/08 16:12:55 kid1| Validated 49314 Entries
2015/06/08 16:12:55 kid1| store_swap_size = 1279060.00 KB
2015/06/08 16:12:56 kid1| storeLateRelease: released 0 objects

0 0
  • Quote

    •   


    2. Re: Erro para redirecionar a prota 443 (HTPS) para o SQUID

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 08/06/2015 - 16:33h

    Vc está redirecionando pra porta errada. Vc redirecionou pra porta 3130, sendo q vc configurou para interceptar na porta 3129.


    1 0
  • Quote

    • 3. Re: Erro para redirecionar a prota 443 (HTPS) para o SQUID

    thinomar
    thinomar
    (usa Linux Mint)

    Enviado em 08/06/2015 - 16:45h

    Você está redirecionando, pelo Iptables, para a porta 3130:
    iptables -t nat -A PREROUTING -i $eth_rede_interna -p tcp --dport 443 -j REDIRECT --to-port 3130

    E recebendo, no Squid, na porta 3129:
    https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/empresa.pem

    .-.
    --
    sudo make me a sandwich

    0 0
  • Quote

    • 4. erro não é a porta não

    Davi
    davigopi
    (usa Slackware)

    Enviado em 09/06/2015 - 14:44h

    renato_pacheco escreveu:

    Vc está redirecionando pra porta errada. Vc redirecionou pra porta 3130, sendo q vc configurou para interceptar na porta 3129.



    Obrigado pelo correção, mas o erro não é a porta não
    Foi só momento diferentes que peguei os comando e colei na pergunta, pois já não sabia mais o que fazer.
    Mas corrigi a pergunta


    0 0
  • Quote

    • 5. Erro não é a portas diferentes

    Davi
    davigopi
    (usa Slackware)

    Enviado em 09/06/2015 - 14:48h

    thinomar escreveu:

    Você está redirecionando, pelo Iptables, para a porta 3130:
    iptables -t nat -A PREROUTING -i $eth_rede_interna -p tcp --dport 443 -j REDIRECT --to-port 3130

    E recebendo, no Squid, na porta 3129:
    https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/empresa.pem

    .-.
    --
    sudo make me a sandwich


    Como já mencionei acima, o erro não é a porta não
    Foi apenas erro na formulação da pergunta que copiei comando em momentos diferentes e colei na pergunta, pois já não sabia mais o que fazer.
    Corrigi a pergunta.
    Obrigado.





    0 0
  • Quote

    • 6. Re: Erro para redirecionar a prota 443 (HTPS) para o SQUID

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 09/06/2015 - 14:59h

    Cara, d uma olhada no seu certificado e no crtd. Os principais problemas de SSL interception são relacionados a isso.

    --
    ​Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Pós-Graduado em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote

    • 7. Sabe como faço isso

    Davi
    davigopi
    (usa Slackware)

    Enviado em 09/06/2015 - 17:27h

    renato_pacheco escreveu:

    Cara, d uma olhada no seu certificado e no crtd. Os principais problemas de SSL interception são relacionados a isso.

    --
    ​Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Pós-Graduado em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh



    Você sabe como posso descobrir se é este problema mesmo?
    Se a maquina cliente está utilizando o certificado corretamente.
    Ou se no servidor tem alguma maneira de analisar isso a entrado do certificado.




    0 0
  • Quote

    • 8. Re: Erro para redirecionar a prota 443 (HTPS) para o SQUID

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 09/06/2015 - 18:55h

    Isso tudo vc vai olhar o cache.log do seu squid ou executando o squid assim: squid -NCd1.
    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Criando um servidor SFTP

    DOOM clássico (quase) vanilla e um pouco melhorado

    Flatpak: usar ou não usar?

    Mamãe, quero descompactar e também compactar arquivos no terminal!

    Deixando o Gnome bonitão em qualquer distribuição

    Dicas

    Alias para atualizar apt e flatpak

    Instalando Micosoft Edge no Fedora 40

    junest - Mini Arch Linux dentro de sua Distro

    Rescuezilla - o Clonezilla com interface gráfica e ferramentas

    Latte Dock, um dock de aplicativos com várias opções de configuração para o KDE Plasma

    Tópicos

    Dual Channel no Linux mint (1)

    Não consigo usar nada no Wine (1)

    librix (17)

    Fedora travando (18)

    Quais suas extensões favoritas? [RESOLVIDO] (13)

    Top 10 do mês

    Scripts

    [Outros] Teste de hardware e outros

    [Shell Script] Script para habilitar um pendrive a dar boot no VirtualBox

    [Shell Script] Script para verificar o Status da bateria

    [Python] Peer-to-peer nós para processamento em multipontos

    [Shell Script] Instalador de Lutris com winehq-staging para rodar Origin em Debian Bullseye (Kernel 5.10.0-23) - 64

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: