Acesso a sites https

camyllogm
(usa Ubuntu)

Enviado em 05/09/2011 - 16:14h

Estou com o squid.conf e o IPTABLES configurados e com as máquinas da rede acessando normalmente os sites http, mas quando tentamos acessar qualquer site https (gmail.com, hotmail.com,...), dá erro na página e eu não consigo acessar. Lembrando que o squid está configurado como transparente. Alguém poderia me ajudar a resolver esse problema que parece ser simples? Não quero ter que configurar cada browser dos funcionários a apontar para o IP do Proxy, quero que isso fique transparente. Desde já agradeço muito a todos!

saitam
(usa Slackware)

Enviado em 05/09/2011 - 16:38h

proxy transparente não funciona com conexões criptografadas SSL (https).
Para os clientes poder acessar sites SSL (https) no proxy transparente, é necessário incluir a regra no firewall abaixo.
iptables -t nat -A POSTROUTING -o eth0-p tcp --dport 443 -j MASQUERADE

note eth0 é interface de internet e eth1 interface da rede local.

Quando configurei proxy transparente tive o mesmo problema de não acessar páginas https, porém depois de muitas pesquisas descobri que squid em modo transparente não funciona com conexões criptografadas SSL(https). Então apliquei a regra acima.

camyllogm
(usa Ubuntu)

Enviado em 06/09/2011 - 08:41h

Bom dia Saitam!

Agradeço sua ajuda mas já havia feito o que recomendou mas continuo sem acesso. No access.log, aparece a mensagem TCP_DENIED/400 1715 NONE NONE: quando tento acessar os sites https. Alguma outra ideia do que possa estar ocorrendo?

camyllogm
(usa Ubuntu)

Enviado em 06/09/2011 - 08:42h

Qual comando no iptables, posso executar para eu ver e te enviar como estão as minhas regras?

saitam
(usa Slackware)

Enviado em 06/09/2011 - 16:34h

pode colocar seu script de firewall e squid.conf no pastebin.com?

lembrando proxy transparente não funciona com conexões criptogradas SSL (https), mas deveria resolver a regra que comentei no post anterior, por isso preciso ver seu script de firewall e squid.conf.

Analise vc
#tail -f /var/log/squid/access.log


#tail -f /var/log/squid/access.log | grep ip

camyllogm
(usa Ubuntu)

Enviado em 06/09/2011 - 16:55h

Firewall: http://pastebin.com/LRPQUAEH
Squid.conf: http://pastebin.com/22akhiVz (Desculpe mas deixei quase todos os comentários do arquivo original, ok?)

Agradeço mais uma vez sua ajuda!

saitam
(usa Slackware)

Enviado em 07/09/2011 - 16:17h

Pelo visto usou o aplicativo Firestarter (fw iptables em modo gráfico) e o squid.conf usou o mesmo arquivo default né.
Bem, recomendo que crie suas regras iptables em um script (shellscript) e coloque as regras do squid em um arquivo separado, assim fica mais organizado.

Dentro do diretório do squid (/etc/squid): mv squid.conf squid.conf.default.backup
crie um arquivo novo (squid.conf) e adicione as ACL's do squid.

camyllogm
(usa Ubuntu)

Enviado em 08/09/2011 - 09:11h

Saitam, segue novamente o link com o squid.conf já editado. http://pastebin.com/22akhiVz O iptables e o squid.conf estão corretos? Porque eu não estou conseguindo acessar os sites https?