HTTPS (Caixa, hotmail)

Bom dia pessoal... Estou com alguns problemas aqui na minha rede.. bastante estranhos que não consegui entender...
Tenho um modem configurado como bridge, e instalei o pppoeconf no debian pra fazer a autenticação..
então tenho a eth2 (ppp0) voltada pra internet, e a eth0 pra minha rede... e nessa rede tenho 25 computadores... Para se conectar a internet, esses computadores passam pelo squid.. e tenho algumas regras no meu firewall...Bom.. Estou tendo problemas para acessar o site da caixa. e o site do hotmail.. ambos https.
Algum tempo atras, nem mesmo utilizando o wget eu conseguia acessar o hotmail (wget http://www.hotmail.com). Eu deveria passar o parametro -check-no-certificate
aí ele abria normal.. então instalei o openssl e o ca-certificates.. e esse problema resolveu.. só que os pcs da rede ainda nao conseguem acessar...
Li em um forum que poderia ser o MTU da placa de rede ppp0. Fui no /etc/ppp/options na linha 185 e mudei o MTU da placa (abaixei de 1492 para 1024).. reiniciei o serviço /etc/init.d/networking restart - e entao o site da caixa e o hotmail passou a acessar (por poucos minutos, voltando a não acessar depois de alguns minutos)..
e assim está sendo... sempre q altero o MTU ele consegue acessar. e depois para..
esse problema ta me pertubando.. alguem tem um ambiente semelhante? que possa me dar uma dica.? seria de muita utilidade.. aguardo ancioso. Att, Thiago

Os computadores passam pelo squid de qual forma? Proxy setado no browser, ou proxy transparente (regra de redirect no squid)?

Seria interessante se você postasse seu firewall, mas de qualquer forma, tente o seguinte:

iptables -t nat -I POSTROUTING -p tcp --dport 443 -j MASQUERADE
iptables -I FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT

Digo isso pois o site da hotmail agora usa SSL por padrão (https) e se você não setar o proxy no browser e não tiver uma regra que permita a saída direta ao que é acessado externamente na porta 443 você não terá acesso...

Meu squid é transparente..
fiz um prerouting na porta 80 para a 3128
e liberei o forward na 443..
vou testar suas regras e aviso aqui

deu esse erro aqui
Can't use -i with POSTROUTING

ai eu colokei o -o $ETH_WAN1


iptables -t nat -I POSTROUTING -o $ETH_WAN1 -p tcp --dport 443 -j MASQUERADE


parece que não deu certo... =\

Falha minha de lógica. "-i" não pode mesmo entrar na decisão de POSTROUTING. Já editei a regra...

vou postar meu firewall, é até bom.. com certeza vai ter algumas falhas e vcs me ajudam a resolver..


echo "Habilitando o firewall"
echo "Limpando as tabelas"
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

echo "Definindo politicas padrao"

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT


echo "Aplicando regras de INPUT"
#Liberando trafego local
iptables -t filter -A INPUT -i lo -j ACCEPT

#Liberando trafego de INPUT com flag de conexao estabelecida
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Regras do viva o linux
iptables -t nat -I POSTROUTING -o $ETH_WAN1 -p tcp --dport 443 -j MASQUERADE
iptables -I FORWARD -i $ETH_LAN1 -p tcp --dport 443 -j ACCEPT


#Regras de Ping
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j LOG --log-prefix 'Requisicao de Ping ->' --log-level debug
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j LOG --log-prefix 'Resposta do Ping ->' --log-level debug
iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -p icmp --icmp-type echo-reply -j ACCEPT


# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
#iptables -t filter -A INPUT -m state --state INVALID -j DROP


#Liberando acesso ao squid
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p tcp --dport 3128 -j ACCEPT

#Liberando acesso ssh no servidor
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

#Liberando acesso ao apache (HTTP)
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 80 -j ACCEPT

#Liberando o servidor para acessar a internet (HTTP)
iptables -t filter -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 80 -j ACCEPT

#Liberando o HTTPS
iptables -t filter -A INPUT -i $ETH_WAN1 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_WAN1 -p udp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_WAN1 -p tcp --sport 443 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_WAN1 -p udp --sport 443 -j ACCEPT

#Liberando o HTTPS para rede interna
iptables -t filter -A INPUT -i $ETH_LAN1 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -p udp --dport 443 -j ACCEPT

#Liberando servico de DNS
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

#Aceitando respostas de servidores DNS externos
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

#Liberando acesso ao FTP
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT

#Liberando Acesso aos Compartilhamentos
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p tcp --dport 137 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p tcp --sport 137 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p udp --dport 137 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p udp --sport 137 -j ACCEPT
#
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p tcp --dport 138 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p tcp --sport 138 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p udp --dport 138 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p udp --sport 138 -j ACCEPT
#
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p tcp --dport 139 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p tcp --sport 139 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p udp --dport 139 -j ACCEPT
iptables -t filter -A INPUT -i $ETH_LAN1 -s $REDE_LAN1 -p udp --sport 139 -j ACCEPT


#Liberando Trafego do site CAIXA
iptables -t filter -A INPUT -s 200.201.174.207 -j ACCEPT
iptables -t filter -A FORWARD -s 200.201.174.207 -j ACCEPT
iptables -t filter -A FORWARD -d 200.201.174.207 -j ACCEPT
#
iptables -t filter -A INPUT -s 200.201.174.204 -j ACCEPT
iptables -t filter -A FORWARD -s 200.201.174.204 -j ACCEPT
iptables -t filter -A FORWARD -d 200.201.174.204 -j ACCEPT
#
iptables -t filter -A INPUT -s 200.201.173.68 -j ACCEPT
iptables -t filter -A FORWARD -s 200.201.173.68 -j ACCEPT
iptables -t filter -A FORWARD -d 200.201.173.68 -j ACCEPT

#Mascarando a Rede Interna e Forcando a Utilizacao PROXY
iptables -t nat -A POSTROUTING -s $REDE_LAN1 -o $ETH_WAN1 -j MASQUERADE
iptables -t nat -A PREROUTING -s $REDE_LAN1 -i $ETH_LAN1 -p tcp --dport 80 -j REDIRECT --to-ports 3128


echo "Aplicando regras de FORWARD"

#Dropando pacotes NEW sem syn
iptables -t filter -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: "
iptables -t filter -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP


#Liberando trafego de FORWARD com flag de conexao estabelecida
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


#Liberando ssh da rede interna para internet
iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -s $REDE_LAN1 -p tcp --dport 22 -j ACCEPT

#Liberando rede interna para acessar FTP
iptables -t filter -A FORWARD -p tcp --dport 20 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 20 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 21 -j ACCEPT

#Liberando 443 na rede interna
iptables -t filter -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 443 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 443 -j ACCEPT

#Liberando o TeamViewer
iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -s $REDE_LAN1 -p tcp --dport 5938 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -p tcp --sport 5938 -j ACCEPT


#Liberando Outlook para Rede Intera

iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -s $REDE_LAN1 -p tcp --dport 993 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -s $REDE_LAN1 -p tcp --dport 587 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -p tcp --sport 993 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -p tcp --sport 587 -j ACCEPT

iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -s $REDE_LAN1 -p udp --dport 993 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -s $REDE_LAN1 -p udp --dport 587 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -p udp --sport 993 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -p udp --sport 587 -j ACCEPT




#Liberando Acesso Remoto mstsc
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -d $SRV_WIN1 -p tcp --dport 3389 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_LAN1 -o $ETH_WAN1 -s $REDE_LAN1 -p tcp --dport 3389 -j ACCEPT
iptables -t filter -A FORWARD -i $ETH_WAN1 -o $ETH_LAN1 -p tcp --sport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -d $IP_EXT1 -p tcp --dport 3389 -j DNAT --to $SRV_WIN1

#iptables -t filter -A INPUT -j LOG --log-prefix "INPUT DROPADA -> "
#iptables -t filter -A FORWARD -j LOG --log-prefix "FORWARD DROPADA -> "

#Liberando repasse de pacotes
echo "Habilitando ip_forward"
echo 1 > /proc/sys/net/ipv4/ip_forward

Como a police padrão da sua FORWARD é DROP, tente adicionar:
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Ja tenho essa aqui...

#Liberando trafego de FORWARD com flag de conexao estabelecida
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEP

Vc jah fez o teste pra ver quem esta barrando? por exemplo se o teu trafico de rede nao passar pelo squid os sites abrem? pq se abrir o problema nao esta no firewall e vice versa pq partindo deste principio fica mais facil de resolver

Cara, eu tiro o redirecionamento da porta 80 para a 3128 (desligo o squid)
mas nao entra mesmo assim..
só isso nao ker dizer q o trafego nao passa pelo firewall..
pq pra sair pra internet ele passa no firewall. pq alem de squid ele é o gw da rede.
e nao abre...

Entao vamos testar o teu squid copia o teu firewall para firewall.old e cola esse comandos no teu firewall

e cola isso aqui no lugar das tuas linhas de comando pra ver se funciona lembrado de mudar a faixa de ip caso seja diferente da q eu passei

#!/bin/sh


echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -F -t nat

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128 -s 192.168.0.0/16<-- tua faixa de ip

iptables -t nat -A POSTROUTING -j MASQUERADE

Velho,

to com o mesmo problema aqui.. resolveu ae ?