Erro para redirecionar a prota 443 (HTPS) para o SQUID

davigopi
(usa Slackware)

Enviado em 08/06/2015 - 16:28h

Estamos tentando colocar a porta 443 para passar pelo SQUID, mas não adianta.
Pode nos informar qual é o erro que estamos cometendo?
Ou como posso ver os logs de erros da porta 443, pois o access.log não esta mostrando nada?
O SQUID esta sendo executado normalmente sem erros.
Mas quando tentamos acessar as paginas HTTPS o navegador informar que a pagina não pode ser exibida.
E se removo o redirecionamento no IPTABLES da porta 443 ele volta a funcionar.

Estamos utilizando o SLACKWARE 14.1 com squid-3.4.9 e instalando na maquina o certificado que estamos gerando

A configuração:

IPTABLES:
iptables -t nat -A PREROUTING -i $eth_rede_interna -p tcp --dport 443 -j REDIRECT --to-port 3129

SQUID:
https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/empresa.pem
always_direct allow all
ssl_bump server-first all
sslcrtd_program /etc/empresa/squid/squid-3.4.9/src/ssl/ssl_crtd -s /etc/squid/ssl_cert/ssl_db -M 4MB
sslcrtd_children 5


o cache.log:

2015/06/08 16:12:55 kid1| Set Current Directory to /var/log/squid/cache
2015/06/08 16:12:55 kid1| Starting Squid Cache version 3.4.9-20141119-r13188 for x86_64-slackware-linux-gnu...
2015/06/08 16:12:55 kid1| Process ID 1020
2015/06/08 16:12:55 kid1| Process Roles: worker
2015/06/08 16:12:55 kid1| With 1024 file descriptors available
2015/06/08 16:12:55 kid1| Initializing IP Cache...
2015/06/08 16:12:55 kid1| DNS Socket created at [::], FD 7
2015/06/08 16:12:55 kid1| DNS Socket created at 0.0.0.0, FD 8
2015/06/08 16:12:55 kid1| Adding domain cpe.videomar.net from /etc/resolv.conf
2015/06/08 16:12:55 kid1| Adding nameserver 187.18.187.4 from /etc/resolv.conf
2015/06/08 16:12:55 kid1| Adding nameserver 187.18.187.2 from /etc/resolv.conf
2015/06/08 16:12:55 kid1| Logfile: opening log /var/log/squid/access.log
2015/06/08 16:12:55 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid/access.log'
2015/06/08 16:12:55 kid1| Unlinkd pipe opened on FD 13
2015/06/08 16:12:55 kid1| Logfile: opening log /var/log/squid/store.log
2015/06/08 16:12:55 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid/store.log'
2015/06/08 16:12:55 kid1| Swap maxSize 8388608 + 2097152 KB, estimated 806596 objects
2015/06/08 16:12:55 kid1| Target number of buckets: 40329
2015/06/08 16:12:55 kid1| Using 65536 Store buckets
2015/06/08 16:12:55 kid1| Max Mem size: 2097152 KB
2015/06/08 16:12:55 kid1| Max Swap size: 8388608 KB
2015/06/08 16:12:55 kid1| Rebuilding storage in /var/spool/squid (clean log)
2015/06/08 16:12:55 kid1| Using Least Load store dir selection
2015/06/08 16:12:55 kid1| Set Current Directory to /var/log/squid/cache
2015/06/08 16:12:55 kid1| Finished loading MIME types and icons.
2015/06/08 16:12:55 kid1| HTCP Disabled.
2015/06/08 16:12:55 kid1| Squid plugin modules loaded: 0
2015/06/08 16:12:55 kid1| Accepting NAT intercepted HTTP Socket connections at local=[::]:3128 remote=[::] FD 17 flags=41
2015/06/08 16:12:55 kid1| Accepting HTTP Socket connections at local=[::]:8080 remote=[::] FD 18 flags=9
2015/06/08 16:12:55 kid1| Store rebuilding is 8.11% complete
2015/06/08 16:12:55 kid1| Done reading /var/spool/squid swaplog (49315 entries)
2015/06/08 16:12:55 kid1| Finished rebuilding storage from disk.
2015/06/08 16:12:55 kid1| 49315 Entries scanned
2015/06/08 16:12:55 kid1| 0 Invalid entries.
2015/06/08 16:12:55 kid1| 0 With invalid flags.
2015/06/08 16:12:55 kid1| 49315 Objects loaded.
2015/06/08 16:12:55 kid1| 0 Objects expired.
2015/06/08 16:12:55 kid1| 0 Objects cancelled.
2015/06/08 16:12:55 kid1| 0 Duplicate URLs purged.
2015/06/08 16:12:55 kid1| 0 Swapfile clashes avoided.
2015/06/08 16:12:55 kid1| Took 0.08 seconds (633901.49 objects/sec).
2015/06/08 16:12:55 kid1| Beginning Validation Procedure
2015/06/08 16:12:55 kid1| Completed Validation Procedure
2015/06/08 16:12:55 kid1| Validated 49314 Entries
2015/06/08 16:12:55 kid1| store_swap_size = 1279060.00 KB
2015/06/08 16:12:56 kid1| storeLateRelease: released 0 objects

renato_pacheco
(usa Debian)

Enviado em 08/06/2015 - 16:33h

Vc está redirecionando pra porta errada. Vc redirecionou pra porta 3130, sendo q vc configurou para interceptar na porta 3129.

thinomar
(usa Linux Mint)

Enviado em 08/06/2015 - 16:45h

Você está redirecionando, pelo Iptables, para a porta 3130:

iptables -t nat -A PREROUTING -i $eth_rede_interna -p tcp --dport 443 -j REDIRECT --to-port 3130 

E recebendo, no Squid, na porta 3129:

https_port 3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/empresa.pem 

.-.
--
sudo make me a sandwich

davigopi
(usa Slackware)

Enviado em 09/06/2015 - 14:44h

Obrigado pelo correção, mas o erro não é a porta não
Foi só momento diferentes que peguei os comando e colei na pergunta, pois já não sabia mais o que fazer.
Mas corrigi a pergunta

davigopi
(usa Slackware)

Enviado em 09/06/2015 - 14:48h

Como já mencionei acima, o erro não é a porta não
Foi apenas erro na formulação da pergunta que copiei comando em momentos diferentes e colei na pergunta, pois já não sabia mais o que fazer.
Corrigi a pergunta.
Obrigado.

renato_pacheco
(usa Debian)

Enviado em 09/06/2015 - 14:59h

Cara, d uma olhada no seu certificado e no crtd. Os principais problemas de SSL interception são relacionados a isso.

--
​Renato Carneiro Pacheco
Certificado Linux LPIC-1
Pós-Graduado em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

davigopi
(usa Slackware)

Enviado em 09/06/2015 - 17:27h

Você sabe como posso descobrir se é este problema mesmo?
Se a maquina cliente está utilizando o certificado corretamente.
Ou se no servidor tem alguma maneira de analisar isso a entrado do certificado.

renato_pacheco
(usa Debian)

Enviado em 09/06/2015 - 18:55h

Isso tudo vc vai olhar o cache.log do seu squid ou executando o squid assim: squid -NCd1.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh