Pq autenticacao do hotmail nao passa pelo squid? sem regra

Danilo_Montagna · 22-12-2004, 14:07

iptables -A PREROUTING -t nat -p tcp -i ethx -s rede_internet --dport 80 -j REDIRECT --to-port 3128

sim.. meu forward esta em DROP

[]'s

**MAJOR** · 22-12-2004, 14:19

Tenho exatamente a mesma regra que você.

passo em FORWARD minha porta 443 para as estações...

porem ainda não consegui. continua travando o login.

Danilo_Montagna · 22-12-2004, 14:21

vc esta fazendo o POSTROUTING para a porta 443?

isso é necessario..

Flavio-RJ · 22-12-2004, 14:31

Prezados,

tb estou passando o mesmo perrengue ... Alguém tem dicas????????????

**MAJOR** · 22-12-2004, 14:40

POST na porta ssl ???

não estou fazendo não...

vou testar....

443 para a propria 443?????

abracos

Danilo_Montagna · 22-12-2004, 14:46

Postado originalmente por MAJOR

POST na porta ssl ???

não estou fazendo não...

vou testar....

443 para a propria 443?????

abracos

o que vc chama de 443 para a proprio 443??

uma vez que o squid nao suporta Transparent Proxy para HTTPS.. vc tem que fazer a liberação da porta via NAT.. e isso envolve de acordo com o fluxo do iptables que seja liberado a passagem dos pacotes com saida da porta 443 pela chain FORWARD e apos sofrer roteamento por essa chain.. os mesmos pacotes precisam sofrer NAT para a internet. alterando o cabeçalho IP desse pacotes pelo IP do firewall na porta 443..

isso indica que que se tiver alguma regra de PREROUTING na porta 443 para o squid.. retire..

**MAJOR** · 22-12-2004, 14:47

iptables -t nat -A POSTROUTING -o ethX -p tcp --dport 443 ??????

não funcionou ainda não....

Danilo_Montagna · 22-12-2004, 14:48

Postado originalmente por MAJOR

iptables -t nat -A POSTROUTING -o ethX -p tcp --dport 443 ??????

não funcionou ainda não....

se a regra estivesse certa.. funcionaria...

vc nao esta fazendo nat nenhum ae..

Flavio-RJ · 22-12-2004, 14:53

O problema é específico na autenticação do hotmail. No meu caso, qualquer outra conexão segura está funcionando (https) como por ex. sites de bancos e autenticação segura do yahoo ...

Danilo_Montagna · 22-12-2004, 14:55

Flavio-RJ

No seu caso pode ser algum problema de resolucao DNS para a UTL segura do hotmail ou Webdav method utilizado pelo site do hotmail que o seu squid nao esta suportando..

**MAJOR** · 22-12-2004, 14:57

Não tenho nenhuma regra PREROUTING da ssl para o squid.

tenho apenas uma regra de forward para a 443.

Danilo_Montagna · 22-12-2004, 14:58

Postado originalmente por MAJOR

Não tenho nenhuma regra PREROUTING da ssl para o squid.

tenho apenas uma regra de forward para a 443.

quando vc faz algum FORWARD .. o mesmo sempre ira depender de um NAT.. se isso for para a internet..

poe isso aqui..

iptables -A POSTROUTING -t nat -p tcp -o ethx_externa -s rede_interna --dport 443 -j SNAT --to IP_EXTERNO_DO_FIREWALL

Poe essa regra ae tudo na mesma linha ok..

seria interessante vc dar uma estudada no IPTABLES..

felco · 22-12-2004, 15:08

To com o mesmo problema do Major.
Ih eh o seguinte so nao funciona no Internet Explorer entao nao eh problema no Squid, no Firefox funciona sem problema

**MAJOR** · 22-12-2004, 15:14

Danilo, valew pela ajuda, não sou nenhum especialista em iptables, porem me viro bem....

=]

olha só Danilo, a regra ainda não tornou possivel o acesso ao hotmail, talvez não estejamos nos entendendo....
vou tentar mostrar como são minhas regras.

vamos lá.

inicialmente executo DROP em input e forward ,

depois faço um MASQUERADE na minha rede externa eth0

depois executo o PREROUTING para meu proxy transp..

então oq eu fazia até semana passada que funcionava era um FORWARD accept na minha porta 443, porem isso parou de funcionar agora, 6 feira .

estou tentando entender pq tenho que fazer um POSTROUTING na minha porta 443, dinovo, pois isso já estaria sendo feito no meu POSTROUTING MASQUERADE não???

valew pela paciencia =]

:wink:

Danilo_Montagna · 22-12-2004, 15:18

Postado originalmente por MAJOR

estou tentando entender pq tenho que fazer um POSTROUTING na minha porta 443, dinovo, pois isso já estaria sendo feito no meu POSTROUTING MASQUERADE não???

Sim.. ja tem uam regra fazendo um NAT FULL claro que nao precisa de uma segunda regra..

eu disse para vc adicionar apenas para garantir que o nat estava sendo executado para esse fim..

Felco,

Da uma conferida ae.. pois para mim esta funcionando normal.. seja com firefox.. seja com IE.. seja com qualquer navegador..

[]'s

**MAJOR** · 22-12-2004, 15:19

Sim Felco, tá bem estranha a situação...

não estou entendendo como o Danilo está conseguindo acessar o hotmail.

eu consigo acessar com firefox, mozilla etc... todos brownsers, menos o IE.

se eu retiro meu proxy transparente, tambem consigo acessar.
Se eu faço um repasse de pacotes direto, tambem consigo acessar, porem se coloco meu proxy transp ele para.

Tá foda.

tenho certeza que está acontecendo com muito gente isso, e é por isso que estou tentando entender pq isso ocorreu.

felco · 22-12-2004, 15:26

Detalhe... no Opera tambem funciona.
Conspiracao Anti-IE pela propria MS?! "Vamos evitar maiores spyware"
kkkkkkkkkk
Eu em um poste castelhano, espanhol algo-do-tipo que parece que contas antigas bem antigas do Hotmail conseguem acessar algo envolvendo o cache nao entendi muito ai vai o link:
http://www.linuxparatodos.net/geeklo...&fromblock=yes
Por enquanto eu mandei meu Squid down ate solucionar o problema

Flavio-RJ · 22-12-2004, 15:28

Estou usando o squid 2.4STABLE7...

**MAJOR** · 22-12-2004, 15:29

impossivel eu dar down no meu squid.

ele faz meu DENY a sites pornos e msn icq etc...

Danilo_Montagna · 22-12-2004, 15:29

apenas para efeito de informacao.

minha conta do hotmail é aquelas de usa @msn.com ainda.. umas das primeiras que surgiram..

Pq autenticacao do hotmail nao passa pelo squid? sem regra

Ferramentas de Tópicos