+ Responder ao Tópico



  1. #1
    betagoro
    Visitante

    Padrão Squid transparente e sites https

    Ei pessoal, gentileza enviar um squid.conf e regras iptables para que sites que utilizem https funcionem com squid transparente.
    Eu ja tentei de tudo, mas parece que o squid transparente nao aceita fazer relay de sites https.

  2. #2

    Padrão Squid transparente e sites https

    eh exatamente isso, tem na documentacao oficial e no site deles bem grande, squid nao suporte transparência em https (para evitar ataques de MID e outros).

  3. #3

    Padrão Squid transparente e sites https

    Colega o squid ao estar a ter suporte SSL, está a fazer um autentico ataque "man in the middle", a unica solução para isso, é voce fazer NAT nas portas 443 para a rede local.. pelo menos isso cmgo funcionou

  4. #4
    betagoro
    Visitante

    Padrão Te tanto penar achei a solucao

    Veja minha solucao.

    # Carrega os módulos
    modprobe ip_tables
    modprobe iptable_nat

    #Limpa tudo
    iptables -F
    iptables -t nat -F

    # Para rede local receber e-mail
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    ### Para nao fugirem do proxy (squid)
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128

    # Encaminhamento de IP
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ### REGRAS PARA PORTAS
    ## Abrindo Portas
    # 21 FTP
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A FORWARD -p tcp --destination-port 21 -j ACCEPT
    # 22 SSH
    # iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
    # 80 HTTP
    iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
    # 8080 Meu servidor APACHE
    iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
    iptables -A OUTPUT -p tcp --destination-port 8080 -j ACCEPT
    iptables -A FORWARD -p tcp --destination-port 8080 -j ACCEPT
    # 443 HTTPS
    #iptables -A INPUT -p tcp --destination-port 443 -j ACCEPT
    #iptables -A OUTPUT -p tcp --destination-port 443 -j ACCEPT
    #iptables -A FORWARD -p tcp --destination-port 443 -j ACCEPT
    # 3348 MSN
    #iptables -A INPUT -p tcp --destination-port 1863 -j ACCEPT
    #iptables -A OUTPUT -p tcp --destination-port 1863 -j ACCEPT
    #iptables -A FORWARD -p tcp --destination-port 1863 -j ACCEPT

    ### Regras para priorizar o trafego (http/https)
    iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 80 -j TOS --set-tos 16
    iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 443 -j TOS --set-tos 16

    ### Abre para a rede local
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A FORWARD -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

    ### Se você quiser que o PC também não responda a pings, adicione a linha:
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    ### Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    # (Ping of Death) Ping da morte
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Port scanners ocultos
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    # Protege contra pacotes danificados (usados em ataques DoS por exemplo)
    iptables -A FORWARD -m unclean -j DROP
    ##
    # Proteção contra Syn-floods
    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    # Bloqueando tracertroute
    # ethx = interface da wan
    # iptables -A INPUT -p udp -s 0/0 -i ethx --dport 33435:33525 -j DROP

    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos
    # funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    # Fecha o resto
    iptables -A INPUT -p tcp --syn -j DROP

  5. #5

    Padrão Squid transparente e sites https

    Isso memso amigo faz um NAT na 443 q da certo!!.

    O squid nw suporta tranparencia em https!!..

    No meu caso aki eu faço isso e da certo!!...

    Flw
    T+