Diede
(usa Debian)
Enviado em 31/12/2009 - 01:07h
É isso mesmo!
Se seu squid estiver no meio no modo transparent, uma conexão https efetiva constituiria um Man-in-the-middle attack.
1º Na verdade o squid trabalha com https, mas só quando o browser sabe que lá há um proxy, e envia os comandos (GET, etc), de modo que o squid saiba o que fazer.
2º Existe sim! Você pode jogar um masquerade na porta 443 (ou seja, acessar por fora do proxy), e manter a 80 redirecionada para a 3128 como está agora.
Ficaria mais ou menos assim:
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -p tcp --dport 443 -j MASQUERADE
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Essa regra aqui você já tem:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128