Iptables:HTTPS não funciona com Nat, o que pode ser? [RESOLVIDO]

silva28
(usa Outra)

Enviado em 03/02/2010 - 19:56h

Senhores,tenho o seguinte problema, configurando o squid e iptables para trabalharem como roteadores consiguo configurar quase,tudo:bind9+dhcp, o mascaramento de pacotes e redirecionamento para a porta 3128 funcionam normalmente, mas somente com http, com https tenho timeout,bloqueio total. Queria saber do que configuração posso estar esquecendo

Iptable:Somente o mascaramento e o redirecionamento

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -p tcp -s 0/0 -j MASQUERADE

(colocando -o eth0 para mascarar a interface também não dá certo)

somente as duas linhas acima,tudo está com o padrão ACCEPT e no squid a porta 443 está liberada, o que posso estar esquecendo?

Já tentei fazer o redirecionamento da 443 para 80 no prerouting tb e não funcionou.

renato_pacheco
(usa Debian)

Enviado em 03/02/2010 - 20:13h

Redirecione, tb, a porta 443 pro seu proxy:

iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128

Diede
(usa Debian)

Enviado em 03/02/2010 - 21:17h

PS: Redirecionar a porta 443 para a 3128 não dá certo, pois seria Man in the Middle Attack.

Como aí você usa squid transparente, verifique se o seu nat está funcional, pois seu https depende do nat.

De uma máquina cliente, tente pingar um endereço externo, algo como : ping 66.249.91.104

Verifique tudo por aí:

Habilitou forward? (echo 1 > /proc/sys/net/ipv4/ip_forward)

Tem permissão de passar de uma eth para outra?
iptables -I FORWARD -i eth_da_rede_local -o eth_do_modem -j ACCEPT

irado
(usa XUbuntu)

Enviado em 03/02/2010 - 21:17h

o protocolo HTPPS NÃO FUNCIONA com o squid transparente. Deixe-o passar direto e pronto.

silva28
(usa Outra)

Enviado em 04/02/2010 - 09:33h

Regras do iptables:
# Generated by iptables-save v1.3.6 on Thu Feb 4 08:37:13 2010
*nat
:PREROUTING ACCEPT [226:30072]
:POSTROUTING ACCEPT [226:14904]
:OUTPUT ACCEPT [243:15936]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -p tcp -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -j MASQUERADE
COMMIT
# Completed on Thu Feb 4 08:37:13 2010
# Generated by iptables-save v1.3.6 on Thu Feb 4 08:37:13 2010
*filter
:INPUT ACCEPT [8592:4953728]
:FORWARD ACCEPT [90:52464]
:OUTPUT ACCEPT [8203:4825228]
-A FORWARD -i eth1 -o eth0 -j ACCEPT
COMMIT



Obrigado amigos: dica é:

1)ip_forward habilitado
2)masquerade na interface de internet
3)permissão de transição entre as interfaces(o que faltava)

Valeu pessoal,muito obrigado