+ Responder ao Tópico



  1. #1
    betagoro
    Ei pessoal, gentileza enviar um squid.conf e regras iptables para que sites que utilizem https funcionem com squid transparente.
    Eu ja tentei de tudo, mas parece que o squid transparente nao aceita fazer relay de sites https.

  2. eh exatamente isso, tem na documentacao oficial e no site deles bem grande, squid nao suporte transparência em https (para evitar ataques de MID e outros).



  3. Colega o squid ao estar a ter suporte SSL, está a fazer um autentico ataque "man in the middle", a unica solução para isso, é voce fazer NAT nas portas 443 para a rede local.. pelo menos isso cmgo funcionou

  4. #4
    betagoro
    Veja minha solucao.

    # Carrega os módulos
    modprobe ip_tables
    modprobe iptable_nat

    #Limpa tudo
    iptables -F
    iptables -t nat -F

    # Para rede local receber e-mail
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    ### Para nao fugirem do proxy (squid)
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128

    # Encaminhamento de IP
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ### REGRAS PARA PORTAS
    ## Abrindo Portas
    # 21 FTP
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A FORWARD -p tcp --destination-port 21 -j ACCEPT
    # 22 SSH
    # iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
    # 80 HTTP
    iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
    # 8080 Meu servidor APACHE
    iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 8080 -j ACCEPT
    iptables -A FORWARD -p tcp --destination-port 8080 -j ACCEPT
    # 443 HTTPS
    #iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
    #iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
    #iptables -A FORWARD -p tcp --destination-port 443 -j ACCEPT
    # 3348 MSN
    #iptables -A INPUT -p tcp --destination-port 1863 -j ACCEPT
    #iptables -A OUTPUT -p tcp --destination-port 1863 -j ACCEPT
    #iptables -A FORWARD -p tcp --destination-port 1863 -j ACCEPT

    ### Regras para priorizar o trafego (http/https)
    iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 80 -j TOS --set-tos 16
    iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 443 -j TOS --set-tos 16

    ### Abre para a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A FORWARD -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

    ### Se você quiser que o PC também não responda a pings, adicione a linha:
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    ### Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    # (Ping of Death) Ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    # Protege contra pacotes danificados (usados em ataques DoS por exemplo)
    iptables -A FORWARD -m unclean -j DROP
    ##
    # Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    # Bloqueando tracertroute
    # ethx = interface da wan
    # iptables -A INPUT -p udp -s 0/0 -i ethx --dport 33435:33525 -j DROP

    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos
    # funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP



  5. Isso memso amigo faz um NAT na 443 q da certo!!.

    O squid nw suporta tranparencia em https!!..

    No meu caso aki eu faço isso e da certo!!...

    Flw
    T+






Tópicos Similares

  1. Redirecionamento de http para squid transparente
    Por Ronaldo Barboza no fórum Servidores de Rede
    Respostas: 0
    Último Post: 01-07-2013, 19:19
  2. Travar o site "http://216.32.66.235/#" no squid
    Por Wal no fórum Servidores de Rede
    Respostas: 4
    Último Post: 23-05-2005, 13:43
  3. squid transparent + sites HTTPS
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 06-05-2004, 07:30
  4. transformando um site http em HTTPS
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 22-03-2003, 15:54
  5. Squid Transparente com autenticação
    Por escambau no fórum Servidores de Rede
    Respostas: 0
    Último Post: 10-01-2003, 14:19

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L