Ei pessoal, gentileza enviar um squid.conf e regras iptables para que sites que utilizem https funcionem com squid transparente.
Eu ja tentei de tudo, mas parece que o squid transparente nao aceita fazer relay de sites https.
Ei pessoal, gentileza enviar um squid.conf e regras iptables para que sites que utilizem https funcionem com squid transparente.
Eu ja tentei de tudo, mas parece que o squid transparente nao aceita fazer relay de sites https.
eh exatamente isso, tem na documentacao oficial e no site deles bem grande, squid nao suporte transparência em https (para evitar ataques de MID e outros).
Colega o squid ao estar a ter suporte SSL, está a fazer um autentico ataque "man in the middle", a unica solução para isso, é voce fazer NAT nas portas 443 para a rede local.. pelo menos isso cmgo funcionou
Veja minha solucao.
# Carrega os módulos
modprobe ip_tables
modprobe iptable_nat
#Limpa tudo
iptables -F
iptables -t nat -F
# Para rede local receber e-mail
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
### Para nao fugirem do proxy (squid)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
# Encaminhamento de IP
echo 1 > /proc/sys/net/ipv4/ip_forward
### REGRAS PARA PORTAS
## Abrindo Portas
# 21 FTP
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 21 -j ACCEPT
# 22 SSH
# iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# 80 HTTP
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
# 8080 Meu servidor APACHE
iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 8080 -j ACCEPT
# 443 HTTPS
#iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
#iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
#iptables -A FORWARD -p tcp --destination-port 443 -j ACCEPT
# 3348 MSN
#iptables -A INPUT -p tcp --destination-port 1863 -j ACCEPT
#iptables -A OUTPUT -p tcp --destination-port 1863 -j ACCEPT
#iptables -A FORWARD -p tcp --destination-port 1863 -j ACCEPT
### Regras para priorizar o trafego (http/https)
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 80 -j TOS --set-tos 16
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 443 -j TOS --set-tos 16
### Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
### Se você quiser que o PC também não responda a pings, adicione a linha:
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
### Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
# (Ping of Death) Ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Port scanners ocultos
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
# Protege contra pacotes danificados (usados em ataques DoS por exemplo)
iptables -A FORWARD -m unclean -j DROP
##
# Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Bloqueando tracertroute
# ethx = interface da wan
# iptables -A INPUT -p udp -s 0/0 -i ethx --dport 33435:33525 -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos
# funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
Isso memso amigo faz um NAT na 443 q da certo!!.
O squid nw suporta tranparencia em https!!..
No meu caso aki eu faço isso e da certo!!...
Flw
T+