proxy transparente com squid 3.5 da erro : SSL_ERROR_RX_RECORD_TOO_LONG

coleta1234
(usa Ubuntu)

Enviado em 10/05/2017 - 13:14h

estou tentando configurar o squid como proxy transparente atraves de conexao https, porem estou travado no erro que da no navegador do cliente: SSL_ERROR_RX_RECORD_TOO_LONG
segue o squid.conf:
http_port 3128 intercept
http_port 3127 intercept ssl-bump generate-host-certificates=on cert=/etc/squid3/ssl_cert/cert-squid.pem options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl blocked ssl::server_name .youtube.com
acl step1 at_step SslBump1
ssl_bump peek step1

ssl_bump terminate blocked
ssl_bump splice all
#========================

iptables: (teste para somente uma maquina cliente - 192.168.1.182)
iptables -t nat -A PREROUTING -s 192.168.1.182 -p tcp --dport 443 -j REDIRECT --to-port 3127
iptables -t nat -A PREROUTING -s 192.168.1.182 -p tcp --dport 80 -j REDIRECT --to-port 3128
#========================
conexao http na porta 80 vai normal, https 443 da esse erro de certificado.
Estou usando o mesmo certificado que esta em producao com proxy autenticado, instalado no navegador da maquina.
Se eu retirar o intercept e colocar o ip do proxy no navegador do pc cliente vai normal, no modo transparente não
Se alguem usa squid 3.5 em modo transparente com ssl-bump e puder dar uma força eu agradeço

Buckminster
(usa Debian)

Enviado em 10/05/2017 - 15:46h

http://central.meganick.com.br/knowledgebase/61/Error-code-sslerrorrxrecordtoolong.html

coleta1234
(usa Ubuntu)

Enviado em 10/05/2017 - 16:59h

obrigado, vou dar uma olhada

coleta1234
(usa Ubuntu)

Enviado em 10/05/2017 - 17:21h

Acho que não se enquadra no meu caso.
-problema no firewall acho que não é, politica de saida padrão é ACCEPT
-não se se tem alguma coisa haver mas eu redireciono a porta 443 para 3127 para o proxy (que esta no mesmo computador do firewall), como muitos tutoriais mandam para proxy transparente, inclusive vi alguma coisa a respeito no http://wiki.squid-cache.org
-meu certificado deve estar ok, uso ele em producao com squid autenticado (certificado instalado em cada maquina ).
Se eu tiro a opção intercept e coloco o endereço proxy nos navegadores (removo a regra de firewall de redirecionamento) ele funciona sem nenhum erro
No log do squid (access.log) aparece uns caracters estranhos quando tentava acessar o google (https):
1494432118.525 0 192.168.1.182 TAG_NONE/400 4107 NONE error:invalid-request - HIER_NONE/- text/html
1494432130.648 0 192.168.1.182 TAG_NONE/400 3903 
%82%F9%A5%B3%CF%AB%01%B6%E6%F1%A0%96%9C%AA%18%85%19%F1%F3%C7%913%FF%A5%EB%7C%E1OL - HIER_NONE/- text/html
1494432446.983 0 192.168.1.182 TCP_DENIED/407 3666 CONNECT google.com:443 - HIER_NONE/- text/html
1494432494.456 0 192.168.1.182 TCP_DENIED/407 3682 CONNECT www.google.com:443 - HIER_NONE/- text/html

Mas quando eu tiro o intercept volta ao normal. Sem essa opção acho que não funciona o squid transparente , tem que colocar o endereço do proxy em cada navegador

coleta1234
(usa Ubuntu)

Enviado em 10/05/2017 - 17:36h

no log do cache do squid (cache.log)

2017/05/10 11:54:03 kid1| ERROR: NF getsockopt(ORIGINAL_DST) failed on local=[::1]:3127 remote=[::1]:47114 FD 10 flags=33: (92) Protocol not available
2017/05/10 11:54:03 kid1| ERROR: NAT/TPROXY lookup failed to locate original IPs on local=[::1]:3127 remote=[::1]:47114 FD 10 flags=33
2017/05/10 12:03:21 kid1| Closing HTTP port [::]:3127
2017/05/10 12:03:23 kid1| Accepting NAT intercepted SSL bumped HTTP Socket connections at local=[::]:3127 remote=[::] FD 23 flags=41
2017/05/10 12:10:11 kid1| Closing HTTP port [::]:3127
2017/05/10 12:12:00 kid1| Accepting NAT intercepted SSL bumped HTTP Socket connections at local=[::]:3127 remote=[::] FD 23 flags=41
2017/05/10 12:12:39 kid1| SECURITY ALERT: Host header forgery detected on local=192.168.1.231:3127 remote=192.168.1.231:42872 FD 10 flags=33 (intercepted port does not match 443)
2017/05/10 13:04:10 kid1| Closing HTTP port [::]:3127

Seria problema de firewall mesmo?

Buckminster
(usa Debian)

Enviado em 11/05/2017 - 10:15h

Acredito que aqui

http://wiki.squid-cache.org/KnowledgeBase/HostHeaderForgery

tem a resposta para o teu problema.

Fix

use the WPAD/PAC protocol to automatically configure the browser agents instead of intercepting traffic.

Alternative Causes

Interception performed at the DNS layer by the use of dnsmasq tool or other DNS trickery altering the IP destination the clients receive for a domain lookup.

Mas dê uma lida no link.


01100011 01101001 01100011 01100001 01100100 01100001 00100000 00110011 00110011 00110000 00110001

Buckminster
(usa Debian)

Enviado em 11/05/2017 - 10:21h

Outra coisa:

(intercepted port does not match 443) diz que a porta interceptada não combina com a 443.

Antes de alterar o Squid teste a conexão colocando essas duas regras no Iptables:

iptables -t nat -A PREROUTING -i ethx -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i ethx -p tcp --dport 443 -j REDIRECT --to-port 3127

no lugar de ethx tu coloca a tua placa de rede e comenta aquelas outras duas regras que você tem lá.


01100011 01101001 01100011 01100001 01100100 01100001 00100000 00110011 00110011 00110000 00110001

coleta1234
(usa Ubuntu)

Enviado em 11/05/2017 - 16:28h

Com o iptables eu testei com o ip e com a interface de rede e os 2 dão o mesmo resultado: não muda nada.
Busquei varias configuraçõe iniciais, sem bloquieo nenhum de site, somente para teste, e não obtive sucesso. Vejo em varios sites e blogs que da pra fazer squid 3.5 transparente com ssl. Eu copio a configuração e pra mim nao funciona.
De qualquer maneira obrigado

Buckminster
(usa Debian)

Enviado em 11/05/2017 - 22:00h

Tu deste uma lida no link que te enviei?
http://wiki.squid-cache.org/KnowledgeBase/HostHeaderForgery


SECURITY ALERT: Host header forgery detected on local=192.168.1.231:3127

"This is an alert generated as part of a new security feature added in Squid-3.2 to protect the network against hijacking by malicious web scripts."

"Este é um alerta gerado como parte de um novo recurso de segurança adicionado no Squid-3.2 para proteger a rede contra o seqüestro por scripts web mal-intencionados."

Para consertar:
Use o protocolo WPAD/PAC para configurar automaticamente os agentes do navegador em vez de interceptar o tráfego.
OU

Use um GPO do Active Directory (R) para configurar automaticamente os agentes do navegador em vez de interceptar o tráfego.
OU
Configure os navegadores manualmente.

{I} todos esses métodos tornam o agente do navegador do cliente ciente do proxy. Isso faz com que o navegador envie uma solicitação HTTP formatada diferente que evita tanto a vulnerabilidade de segurança como as verificações que estão exibindo o alerta.

Você também pode determinar a partir dos detalhes mencionados no alerta que o cliente está sendo seqüestrado ou infectado. Neste caso, a correção adequada pode envolver outras ações para remover a infecção que não vamos cobrir aqui.

Tu mesmo disse que quando configura os navegadores manualmente o problema não acontece.

Ou tem um script web mal-intencionado na tua rede ou teu certificado está incorreto com um RECORD_TOO_LONG, um registro muito longo.

http://djosino.blogspot.com.br/2012/03/entendendo-e-configurando-squid.html