Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Seguridad y Servidores


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

(Solucionado) Squid no permite conexion a paginas https
  #1  
Antiguo 22-may-2012, 00:31
BlackHole BlackHole está desconectado
Aforado
 
Fecha de Ingreso: 16-mayo-2012
Versión: 12.1
Mensajes: 4
Agradecimientos: 0
Agradecido 0 Veces en 0 Mensajes
Poder de Credibilidad: 0
BlackHole está en el buen camino
Unhappy (Solucionado) Squid no permite conexion a paginas https

Hola a todos!

Primero los felicito por el excelente foro que tienen, siempre me resuelve mis dudas .Segundo, se que es un tema que me diran que se ha hablado hasta el cansancio, y es verdad; he revisado cada post puesto en el foro y no he conseguido la solucion de mi problema por lo cual me veo en la necesidad de iniciar este tema.

En mi trabajo, en un pequeno equipo con que contamos (un pentium IV de 1.8 Ghz con 1024 Mb de RAM con una sola interfaz de red), instalamos opensuse 12.1 (por ser el mas nuevo) para configurarlo como un servidor proxy; en un dominio de microsoft windows con un servidor de dominio en windows server 2003. Para todo esto se configuro kerberos + samba + winbind trabajando perfectamente.

Se instalo el servidor squid junto con squidguard para el filtrado de contenidos, los cuales funcionan, siempre y cuando el sitio que se visite sea con protocolo HTTP. Los sitios con HTTPS p. ej. Hotmail simplemente no cargan, y no se recibe ninguna notificacion del squid; estos sitios son requeridos para realizar operaciones que se necesitan a diario (p. ej. servicios bancarios).

Se que las peticiones HTTPS no deben pasar por Squid y he intentando de todo (cambiar las iptables, desactivar el SuSEfirewall, quitar squidguard, reinstalar iptables) para hacer que no pasen por el proxy, simplemente no encuentro el error. De momento estos son mis archivos de configuracion.

squid.conf

Código:
#
#Parametros de Autentificacion
#

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
#auth_param ntlm max_challenge_reuses 0
#auth_param ntlm max_challenge_lifetime 2 minutes
#auth_param ntlm use_ntlm_negotiate on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Servicio de Internet 
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on

authenticate_ttl 1 hour
authenticate_cache_garbage_interval 10 minutes

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT
acl SERVIDOR src 172.16.1.5/32
acl usuarios proxy_auth REQUIRED

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow SERVIDOR
http_access allow all usuarios

# Allow localhost always proxy functionality
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Acceso icp al proxy
icp_access deny all

# Squid normally listens to port 3128
http_port 3128

# Excepcion de cache a URL
hierarchy_stoplist cgi-bin ?
acl DYNAMIC_CONTENT urlpath_regex cgi-bin \.cgi \.pl \.php3 \.asp \.aspx \.php
no_cache deny DYNAMIC_CONTENT

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir aufs /var/cache/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid

# Opciones del directorio de cache
cache_effective_user squid
store_avg_object_size 5 GB
cachemgr_passwd cachemgr all
cache_mem 2048 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 16384 KB

# Ubicacion del archivo de registro
access_log /var/log/squid/access.log

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

# Opciones del archivo de registro
icp_port 3130
log_mime_hdrs on
append_domain .DOMINIO

# Redireccion de SquidGuard
url_rewrite_program /usr/sbin/squidGuard -c /etc/squidguard.conf
url_rewrite_children 5
redirect_program /usr/sbin/squidGuard -c /etc/squidguard.conf
Kerberos, samba y winbind parece estan bien

el iptables que ocupo, de momento quite todas las reglas.

Código:
proxy:/ # iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
proxy:/ #
lo extraño es que nmap en la ip del servidor proxy, no me muestra el puerto 443 como abierto , tenga o no tenga reglas configuradas en iptables. Aun asi navegando localmente desde el servidor proxy si puedo entrar a los sitios seguros.

Código:
proxy:/ # nmap 172.16.1.5

Starting Nmap 5.61TEST2 ( http://nmap.org ) at 2012-05-21 15:35 CDT
Nmap scan report for proxy.net.criver.domain.int (172.16.1.5)
Host is up (0.000025s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
3128/tcp open  squid-http
5801/tcp open  vnc-http-1
5901/tcp open  vnc-1

Nmap done: 1 IP address (1 host up) scanned in 0.18 seconds
Actualmente: mi rango de las ip's de los clientes es 172.16.1.X, mi direccion de ip 172.16.1.5, el puerto de squid 3128 y sin reglas en iptables. Funciona todo al 100 menos el protocolo HTTPS. Se ha declarado el servidor explicitamente en IE > Opciones de internet > Conexiones > Configuracion de lan > utilizar servidor proxy > 172.16.1.5 en 3128 para todos los protocolos, aun cambiandole el puerto a 443 en protocolo seguro, no funciona. He puesto reglas del tipo FORWARD al iptables como:

Código:
iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
con

Código:
echo "1" > /proc/sys/net/ipv4/ip_forward
y tampoco funcionan.

Cualquier ayuda sera bien recibida. Gracias!

P.D. Ultimamente tambien le puse enmascaramiento y no funciono
P.D.2. El proxy no es transparente y tampoco se necesita transparente.

Última edición por BlackHole; 23-may-2012 a las 17:13 Razón: Solucionado
Responder Citando
  #2  
Antiguo 22-may-2012, 08:34
Avatar de manolobarea
manolobarea manolobarea está desconectado
Habitual
 
Fecha de Ingreso: 13-enero-2012
Ubicación: Jerez
Versión: 12.1
Mensajes: 261
Agradecimientos: 19
Agradecido 61 Veces en 47 Mensajes
Poder de Credibilidad: 6
manolobarea llegará a ser famoso muy pronto
Enviar un mensaje por Skype™ a manolobarea
Has probado esto:
Cita:
acl https port 443
http_access allow https
o con esto otro:
Cita:
iptables -I FORWARD -p tcp --dport 443 -j ACCEPT
Primero prueba uno y después el otro

Última edición por manolobarea; 22-may-2012 a las 08:40
Responder Citando
Gracias a todos!
  #3  
Antiguo 23-may-2012, 17:26
BlackHole BlackHole está desconectado
Aforado
 
Fecha de Ingreso: 16-mayo-2012
Versión: 12.1
Mensajes: 4
Agradecimientos: 0
Agradecido 0 Veces en 0 Mensajes
Poder de Credibilidad: 0
BlackHole está en el buen camino
Talking Gracias a todos!

Gracias manolobarea! la solucion que funciono fue

Código:
acl https port 443
http_access allow https
Al parecer la ACL por default de Safe_Ports en el puerto 443 no estaba funcionando, ya una vez que se integro al squid.conf, la ACL que se menciona funciono de maravilla. Una vez mas mil gracias! ya llevaba casi 4 dias sin saber que era y mas las llamadas de los usuarios molestos tampoco ayudaban....

Mil gracias y un saludo!
Responder Citando
  #4  
Antiguo 23-may-2012, 19:44
Avatar de manolobarea
manolobarea manolobarea está desconectado
Habitual
 
Fecha de Ingreso: 13-enero-2012
Ubicación: Jerez
Versión: 12.1
Mensajes: 261
Agradecimientos: 19
Agradecido 61 Veces en 47 Mensajes
Poder de Credibilidad: 6
manolobarea llegará a ser famoso muy pronto
Enviar un mensaje por Skype™ a manolobarea
A tí, hacia tiempo que no configuraba un squid, pero tenía escrito eso con un ojo cuidado, así que me alegro que te sirviera la respuesta
Responder Citando
  #5  
Antiguo 14-ago-2013, 19:21
miltonromy miltonromy está desconectado
Aforado
 
Fecha de Ingreso: 14-agosto-2013
Versión: 12
Mensajes: 1
Agradecimientos: 0
Agradecido 0 Veces en 0 Mensajes
Poder de Credibilidad: 0
miltonromy está en el buen camino
Buen rato me rompi la cabeza tratando de solucionar este problema y nada, hasta que al final lo solucione con esta simble línea:

dns_v4_first on

Ojala a alguién le pueda servir, saludos.
Responder Citando
  #6  
Antiguo 01-mar-2017, 18:49
julidj julidj está desconectado
Aforado
 
Fecha de Ingreso: 01-marzo-2017
Versión: 7
Mensajes: 6
Agradecimientos: 2
Agradecido 0 Veces en 0 Mensajes
Poder de Credibilidad: 0
julidj está en el buen camino
hola soy nuevo esto he instalado squid 3 el cual funciona bien con las url http pero cuando trato de entrar a un sitio con https no me lo permite (se quda en blanco). he buscado en google y nada probe con esto
#acl https port 443
#http_access allow https

y todo igual no me deja navegar en estos sitioss
Responder Citando
  #7  
Antiguo 01-mar-2017, 20:30
Avatar de DiabloRojo
DiabloRojo DiabloRojo está desconectado
Super Moderador
 
Fecha de Ingreso: 19-marzo-2005
Ubicación: En un lugar del planeta Tierra
Versión: La ultima estable
Mensajes: 16.591
Agradecimientos: 570
Agradecido 2.475 Veces en 1.673 Mensajes
Poder de Credibilidad: 10
DiabloRojo llegará a ser famoso muy pronto
No reflotes temas viejos, ya has creado uno nuevo.
__________________
NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
Síguenos en TWITTER y en FACEBOOK
Código:
Buscador de   Alojamiento      Alojamiento     Otros
 paquetes:    de imágenes:     de ficheros:    buscadores:
Search        TinyPic          Ifile Wuala     Simple y Facil
Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p
Responder Citando
El Siguiente Usuario Ha Dado las Gracias a DiabloRojo Por Este Mensaje:
julidj (01-mar-2017)
Respuesta

Marcadores


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Problemas con Yast2 e instalacion de paquetes en opensuse 11.3 ejdvc656 General OpenSUSE 28 01-oct-2010 03:40
Redirecccionar páginas http a https automáticamente (Solucionado) soyasi Internet, Redes y Wireless 0 14-jul-2010 17:10
Solo me conecto al google y algunas paginas Conexion adsl LAN FuFo Internet, Redes y Wireless 4 30-ene-2008 11:34
Excluir paginas de squid elunicode Software 1 18-ago-2007 21:06
Configurar conexión PPPoE. trykenter Internet, Redes y Wireless 6 19-jun-2007 00:56



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 04:47.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba