Não consigo liberar o https [RESOLVIDO]

1. Não consigo liberar o https [RESOLVIDO]

clemersonsantos
(usa Outra)

Enviado em 23/04/2014 - 13:32h

Olá, configurei meu squid todo e testei nas maquina clientes, as maquinas cliente navegam normalmente, porém quando tento acessar um site https elas dão como bloqueado. Segue minha configuração do squid

http_port 3128 transparent
visible_hostname POSONIC
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 KB
minimum_object_size 0 KB
cache_swap_low 50
cache_swap_high 70
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl localnet src 192.100.92.0/24
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/24
acl to_localhost dst 127.0.0.1/8
acl SSL_ports port 443 444 563 6400 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 51
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftpt
acl Safe_ports port 443 444 563 447 7443 10000 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 25 587 # E-Mail SMTP
acl Safe_ports port 110 139 # E-Mail POP
acl Safe_ports port 145 # E-Mail Imap
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 3050 # Interbase/Firebird
acl Safe_ports port 23000 # Serpro
acl Safe_ports port 13352 # SIRF
acl Safe_ports port 500 # FAP Digital
acl SSL_ports port 443 563 #https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl purge method PURGE
acl CONNECT method CONNECT
acl redelocal src 192.100.92.0/24

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

icp_access allow localnet

#Bloqueio por dominio
#acl sites url_regex "/etc/squid/list/bloqueado.txt"
#http_access deny sites

http_access allow localhost
http_access allow redelocal
http_access deny all

0 0

Quote

2. MELHOR RESPOSTA

eduardo
(usa Linux Mint)

Enviado em 23/04/2014 - 14:31h

Você precisa remover estas regras:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 443 -j REDIRECT --to-port 3128
iptables -A INPUT -p TCP --dport 443 -j ACCEPT

Vale citar que, ao liberar a 443, você abre uma brecha no seu proxy. Ou seja, qualquer acesso https será liberado total. Dessa forma, qualquer site que possua uma versão https poderá ser acessado sem bloqueio e sem monitoramento (por exemplo: facebook).

0 0

Quote

3. Re: Não consigo liberar o https [RESOLVIDO]

eduardo
(usa Linux Mint)

Enviado em 23/04/2014 - 13:45h

Boa tarde,

As máquinas cliente estão com o proxy configurado no navegador? Qual a versão do teu squid? (o comando para ver a versão é: squid -v)

0 0

Quote

4. Re: Não consigo liberar o https [RESOLVIDO]

clemersonsantos
(usa Outra)

Enviado em 23/04/2014 - 13:56h

A versão é Version 2.7.STABLE7, as maquinas então sem proxy, quero trabalhar com proxy transparente porque temos muitas visitas.

0 0

Quote

5. Re: Não consigo liberar o https [RESOLVIDO]

eduardo
(usa Linux Mint)

Enviado em 23/04/2014 - 13:59h

Nesse caso não há o que fazer. Não é possível fazer proxy transparente para HTTPs. Ou você libera a porta 443 no iptables, ou marca o proxy nas estações.

0 0

Quote

6. Re: Não consigo liberar o https [RESOLVIDO]

clemersonsantos
(usa Outra)

Enviado em 23/04/2014 - 14:07h

no caso da liberação da porta 443 no iptables esse script que eu fiz seria o sufuciente?
#! /bin/bash

#rezando as regras;
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F

#adicionando modulos no kernel;
modprobe ip_tables
modprobe iptable_nat

#liberando encaminhamento de pacotes;
echo 1 > /proc/sys/net/ipv4/ip_forward

#Proxy transparente, tratando dos protocolos UDP e TCP, e movendo o trafego das portas 80,443 para porta 3128;
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 443 -j REDIRECT --to-port 3128
iptables -A INPUT -p TCP --dport 443 -j ACCEPT
iptables -A FORWARD -p TCP --dport 443 -j ACCEPT

#compartilhando a internet;
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.100.92.0/24 -o eth1 -j MASQUERADE

0 0

Quote

7. Re: Não consigo liberar o https [RESOLVIDO]

clemersonsantos
(usa Outra)

Enviado em 23/04/2014 - 14:35h

Se eu fizer um firewal com o Proxy ativo eu consigo fazer com que alguns computadores naveguem sem precisar do proxy no navegador?

0 0

Quote

8. Re: Não consigo liberar o https [RESOLVIDO]

eduardo
(usa Linux Mint)

Enviado em 23/04/2014 - 14:50h

A ideia é que você não pode "modificar" um pacote HTTPS. Ao redirecionar a 443 para a 3128, você modifica. Por isso não funciona. Dessa forma, qualquer redirecionamento não irá funcionar. Existem "gambiarras" por ai que até "funcionam", mas é totalmente não recomendado.

0 0

Quote