Squid x https

rafasnn · 18 de Setembro de 2007, 17:22

Pessoal,

uma dúvida, squid com proxy transparente aceita conexões https? tipo webmail uol, hotmail, banco bradesco unibanco?

arlei · 18 de Setembro de 2007, 18:12

Olá rafasnn,

aceita sem problemas sim. Temos na empresa um servidor proxy com Squid e acessamos este tipo de sites seguros normalmente, a não ser que o administrador bloqueie eles nas regras do Squid.

T+
Arlei

rafasnn · 18 de Setembro de 2007, 18:39

arlei,

estou apanhando muito pra resolver esse problema, aqui na empresa não consigo acessar sites https (webmaiil uol, banco bradesco etc)
não consigo identificar a falha...

script firewall

Código Selecionar


#!/bin/bash
#
# FIREWALL
#
# Rafael Navas Neto
#
# rafasnnlinux@uol.com.br
#
# 05/09/2007

# Limpa regras do firewall
iptables -F
iptables -t nat -F

# Compartilhamento com proxy transparente
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Regras do Firewall
# Abre a faixa de enderecos para a rede local
#iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT


# Portas liberadas
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
#iptables -A INPUT -p tcp --dport 110 -j ACCEPT
#iptables -A INPUT -p tcp --dport 3050 -j ACCEPT

# Portas bloqueadas
#iptables -A OUTPUT -p tcp --dport 1863 -j REJECT  # MSN
#iptables -A FORWARD -p tcp --dport 1863 -j REJECT # MSN

# Ignora ping
#iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP

# Protege contra IP spoofing
#echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Nao repassa pacotes danificados ou forjados
#iptables -A FORWARD -m unclean -j DROP

# Abre para a interface de loopback
#iptables -A INPUT -i lo -j ACCEPT

# Bloqueia todas as portas nao liberadas acima
#iptables -A INPUT -p tcp --syn -j DROP

squid.conf

Código Selecionar


http_port 3128
visible_hostname s2

cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
error_directory /usr/share/squid/errors/Portuguese
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 192.168.1.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl proibidos dstdom_regex "/etc/squid/bloqueados"
http_access deny proibidos

http_access allow localhost
http_access allow redelocal

http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

arlei · 18 de Setembro de 2007, 18:56

rafasnn,

agora estou em casa e apenas vendo assim seus arquivos de configuração não consigo visualizar algo que possa estar ocasionando isso, mais amanhã na firma me comprometo a dar uma olhada e comparada com o que temos e volto a responder.

T+
Arlei

Rsspa · 18 de Setembro de 2007, 20:02

olá rafasnn,

Verifique se a versão do seu squid é superior a 2.6. Se ñ for instale uma superior.
Nas versões superiores a 2.6 ñ é necessário a acrescentar as seguintes linhas em seu script:

Citarhttpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

retire-as e modifique a linha "http_port 3128" para:

Citarhttp_port 3128 transparent

Verifique em seu arquivo /etc/squid/bloqueados se existe alguma linha com as palavras que vc digita nos links... por exemplo: se nesse arquivo tiver a palavra "uo" você não conseguira acessar www.uol.com.br.

Caso ñ seja isso, retire as linhas do seu arquivo squid.conf:

Citaracl proibidos dstdom_regex "/etc/squid/bloqueados"
http_access deny proibidos

Lembre-se de reinicar o squid com o comando:

Citarsudo /etc/init.d/squid restart

Espero ter ajudado...

rafasnn · 18 de Setembro de 2007, 20:08

Arlei,

No aguardo,

Rsspa,

Prefiro utilizar a versão dos repositorios do ubuntu..
No arquivo bloqueados só tem a palavra orkut, o problema é quanto a acessar sites https pelo proxy transparente

vlw

Rsspa · 18 de Setembro de 2007, 20:11

Citação de: rafasnn online 18 de Setembro de 2007, 20:08
Rsspa,
Prefiro utilizar a versão dos repositorios do ubuntu..

A versão do repositório do Ubuntu é superior a 2.6...

rafasnn · 18 de Setembro de 2007, 20:47

no ubuntu server 6.06 não..... $:-\$

alexszis · 18 de Setembro de 2007, 22:32

Você não está redirecionando a porta 443 para o squid
Adicione a seguinte regra no script do firewall

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

rafasnn · 18 de Setembro de 2007, 22:34

alexszis

feito,

mas nem assim

alexszis · 18 de Setembro de 2007, 22:49

Pelo que verifiquei numa breve pesquisa no Google não é possivel utilizar proxy transparente com HTTPS

rafasnn · 18 de Setembro de 2007, 22:57

não é o q nosso amigo arlei fala acima....

alexszis · 18 de Setembro de 2007, 23:08

O que é possivel de se fazer é que o navegar busque automaticamente por um servidor proxy na rede e se configure automaticamente para utiliza-lo. Deste modo o usuário estará utilizando o proxy digamos que "transparentemente" e seria possivel que o protocolo https passe pelo proxy.
Pelo que li utilizar https com proxy transparente permite o ataque "man-in-the-midle" o que tornaria uma conexão que deveria ser segura insegura.

rafasnn · 19 de Setembro de 2007, 13:33

Um dúvida,

o servidor está conectando através do ppoeconf blz no boot ai não consigo entrar nos sites https, se eu der o comando poff dsl-provider e reconectar com o pon dsl-provider consigo utilizar os sites https normalmente, mas não consigo achar o porque disso.

arlei · 19 de Setembro de 2007, 14:02

Olá rafasnn,

primeiramente desculpe-me por não ter conseguido lhe retornar antes, mais estou bem enrolado aqui no trabalho. E agora me desculpe por ter lhe passado uma informação equivocada, explico:

Falei que usamos proxy transparente, mais na realidade isso não é verdadeiro, ou seja o mesmo esta configurado como autenticado.

Me enganei com relação a isso porque minha maquina não passa pelo proxy e as outras estão barradas no firewall para fazer forward para fora. Mais assim que pude fui verificar com o rapaz da informática e ele me confirmou que não temos proxy transparente e sim apenas uma regra não permitindo forward para fora das outras maquinas e por isso eu achava que era "transparente".

Vi com ele e também fui informado que já leu sobre isso entre Squid e HTTPS, mais acha que as versões mais recentes do Squid já contornam este inconveniente.

Bem, então novamente me desculpe pela equivocada informação.

T+
Arlei