Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema Publicar Respuesta
 PROXY TRANSPARENTE 443 CON IPTABLES
Tema anterior Tema siguiente
   
Damian Borgi
Publicado en 15/12/14 08:27 (Leído 8675 veces)  

Participa mucho
Forum User

Inscrito: 18/03/10 Publicaciones: 52
Buenas amigos.

Tengo el siguiente problema, tengo un Centos 6.6 como firewall, y a la vez es proxy, configuro proxy transparente y no tengo problemas con las páginas con puerto 80, pero cuando hago el DNAT del puerto 443, en el navegador se queda cargando las páginas https y nunca abren, probé muchos metodos y no pude solucionar, si alguien me puede ayudar gracias
 
Perfil
 Citar
Will Lpz Jimnz
Publicado en 15/12/14 10:07  

Admin
Site Admin

Inscrito: 19/02/07 Publicaciones: 181
País:Mexico
Que configuración en tu cortafuegos estas usando? si dieras a ver el código sería una mayor posibilidad de poder ayudarte Sonrisa

Saludos !! Sr. verde

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Perfil Sitio Web
 Citar
Joel Barrios Dueñas
Publicado en 16/12/14 01:29  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1726
País:Mexico
Proxy transparente con squid para HTTPS es imposible. El protocolo HTTPS no lo permite. para HTTPS debes configurar manualmente navegador (o usar wpad) o bien sar salida libre a través de NAT.

http://www.alcancelibre.org/staticpages/index.php/como-wpad
 
Perfil Sitio Web
 Citar
Damian Borgi
Publicado en 16/12/14 02:23  

Participa mucho
Forum User

Inscrito: 18/03/10 Publicaciones: 52
Estoy usando iptables

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128

Siendo eth1 la dmz de la red local, y 192.168.1.1 el proxy (que está en el mismo servidor firewall)

Probé agregando en el squid https_port 3127 pero al redirigir por ejemplo

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j DNAT --to 192.168.1.1:3127

Las páginas con https se quedan cargando y no entran nunca.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 16/12/14 04:54  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1726
País:Mexico
Eso que estás intentando en realidad no lo permite el protocolo. Nuevamente: HTTPS tiene que pasar por NAT o bien configurar Proxy manualmente. Es lo recomendado para gestionar tráfico HTTPS.

Lo que pretendes es posible, pero:

1) probablemente requiere una versión más reciente de squid (la más reciente)
2) compilar con soporte ssl
3) generar firma digital RSA sin contraseña y certificado de 2048 bits.
4) configurar certificados en squid.conf.

BASH Formatted Code
https_port 3127 intercept cert=/etc/pki/tls/squid/servidor.crt key=/etc/pki/tls/squid/servidor.key


No es una función recomendada. Por favor, lee a detalle http://wiki.squid-cache.org/Features/SslBump antes de proceder.

 
Perfil Sitio Web
 Citar
Will Lpz Jimnz
Publicado en 16/12/14 09:43  

Admin
Site Admin

Inscrito: 19/02/07 Publicaciones: 181
País:Mexico
Los puertos de seguridad lo puedes administrar desde el cortafuego, como bien comenta Joel no es recomendado hagas eso sobre todos en sitios importantes como bancos o lugares donde manejen dinero electrónico.

configura tu cortafuego para administrar que sitios https quieres bloquear, por ejemplo Como bloquear los sitios seguros facebook, twitter, imo y meebo con Squid Proxy y Shorewall por asi decirlo.

Saludos!! Sr. verde

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Perfil Sitio Web
 Citar
Damian Borgi
Publicado en 17/12/14 06:20  

Participa mucho
Forum User

Inscrito: 18/03/10 Publicaciones: 52
Gracias por las respuestas de todos.

En mi caso no quiero bloquear esas páginas, quiero que sea transparente y que pase todo el tráfico por el proxy, tanto las páginas puerto 80 y las 443, tengo reglas para bloquear https de redes sociales, pero tienen que navegar full despúes.
 
Perfil
 Citar
Edgar Rodolfo
Publicado en 18/12/14 04:32  

Participa mucho
Forum User

Inscrito: 20/05/09 Publicaciones: 67
País:Peru-Arequipa
Quote by: Damian Borgi

Gracias por las respuestas de todos.

En mi caso no quiero bloquear esas páginas, quiero que sea transparente y que pase todo el tráfico por el proxy, tanto las páginas puerto 80 y las 443, tengo reglas para bloquear https de redes sociales, pero tienen que navegar full despúes.



Hola que yo sepa, cuando usas servidor intermediario para que alguna lan salga a internet pues squid hara su trabajo con http y con https es mejor usar iptables, es una regla que recuerde, es mas la regla la puse en este foro, debe estar en los archivos en hilo pasado, buscalo, es simpel que recuerde, tienes que averiguar las ips de algunos sitios que quieras bloquear como facebook, twitter, youtube, todos esos con su protocolo https, iptables te ayudara, squid no lo va hacer.

Ahora que recuerde tambien por defecto todo trafico https saldrá sin problemas, squid ni lo mira a https, todos los sitios que no sean los que bloqueaste por iptables saldran sin problemas, no es necesario añadir nada a squid.conf, solo añade filtros para paginas http de pronografia o similar y ya.

en resumen tus usuarios pasaran por proxy tanto usen http o https, solo las reglas para http squid las va a mirar, las https ni las mira, osea todo deberia funcionar, hará caché de sitios web, osea su trabajo normal, esos parametros de memoria y esas cosas si als debes configurar por lo demas iptables para https lo hace simple, busca aqui en el mismo foro hace tiempo se dijo comos e hacia eso, yo escribi una regla iptables, lo probé y funciona perfecto que recuerde, para centos 6 lo probé, si me animo hago el tutorial, nada mas que por ahora estoy con fedora 21 con mis videitos Sonrisa

Live free or die!
 
Perfil Sitio Web
 Citar
Nik0
Publicado en 19/12/14 02:49  

Participa mucho
Forum User

Inscrito: 20/08/13 Publicaciones: 58
Usa wpad como dice Joel. Nisiquiera esos proxys "embazados"(distros rancias como ClearOS o Endian) funcionan con esa flexibilidad y eficiencia como lo hace un squid compilado o instalado mas wpad.

Te lo dice alguien que en las 4 empresas que tengo firewall, las tengo con squid+iptables y wpad. Con suerte les hago mantención.
 
Perfil
 Citar
Contenido generado en: 0,15 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 03:00 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado