Gracias Gracias:  0
Me Gusta Me Gusta:  0
No me Gusta No me Gusta:  0
Mostrando resultados del 1 al 7 de 7

Tema: squid no permite conexion a paginas https

  1. #1
    Fecha de Ingreso
    16-mayo-2012
    Mensajes
    4
    Post Thanks / Like
    Poder de Credibilidad
    0

    Unhappy (Solucionado) Squid no permite conexion a paginas https

    Hola a todos!

    Primero los felicito por el excelente foro que tienen, siempre me resuelve mis dudas .Segundo, se que es un tema que me diran que se ha hablado hasta el cansancio, y es verdad; he revisado cada post puesto en el foro y no he conseguido la solucion de mi problema por lo cual me veo en la necesidad de iniciar este tema.

    En mi trabajo, en un pequeno equipo con que contamos (un pentium IV de 1.8 Ghz con 1024 Mb de RAM con una sola interfaz de red), instalamos opensuse 12.1 (por ser el mas nuevo) para configurarlo como un servidor proxy; en un dominio de microsoft windows con un servidor de dominio en windows server 2003. Para todo esto se configuro kerberos + samba + winbind trabajando perfectamente.

    Se instalo el servidor squid junto con squidguard para el filtrado de contenidos, los cuales funcionan, siempre y cuando el sitio que se visite sea con protocolo HTTP. Los sitios con HTTPS p. ej. Hotmail simplemente no cargan, y no se recibe ninguna notificacion del squid; estos sitios son requeridos para realizar operaciones que se necesitan a diario (p. ej. servicios bancarios).

    Se que las peticiones HTTPS no deben pasar por Squid y he intentando de todo (cambiar las iptables, desactivar el SuSEfirewall, quitar squidguard, reinstalar iptables) para hacer que no pasen por el proxy, simplemente no encuentro el error. De momento estos son mis archivos de configuracion.

    squid.conf

    Código:
    #
    #Parametros de Autentificacion
    #
    
    auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
    auth_param ntlm children 30
    #auth_param ntlm max_challenge_reuses 0
    #auth_param ntlm max_challenge_lifetime 2 minutes
    #auth_param ntlm use_ntlm_negotiate on
    
    auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
    auth_param basic children 5
    auth_param basic realm Servicio de Internet 
    auth_param basic credentialsttl 2 hours
    auth_param basic casesensitive on
    
    authenticate_ttl 1 hour
    authenticate_cache_garbage_interval 10 minutes
    
    #
    # Recommended minimum configuration:
    #
    acl manager proto cache_object
    acl localhost src 127.0.0.1/32 ::1
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
    
    # Example rule allowing access from your local networks.
    # Adapt to list your (internal) IP networks from where browsing
    # should be allowed
    
    acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
    acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
    acl localnet src fc00::/7       # RFC 4193 local private network range
    acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
    acl SSL_ports port 443
    acl Safe_ports port 80          # http
    acl Safe_ports port 21          # ftp
    acl Safe_ports port 443         # https
    acl Safe_ports port 70          # gopher
    acl Safe_ports port 210         # wais
    acl Safe_ports port 1025-65535  # unregistered ports
    acl Safe_ports port 280         # http-mgmt
    acl Safe_ports port 488         # gss-http
    acl Safe_ports port 591         # filemaker
    acl Safe_ports port 777         # multiling http
    
    acl CONNECT method CONNECT
    acl SERVIDOR src 172.16.1.5/32
    acl usuarios proxy_auth REQUIRED
    
    #
    # Recommended minimum Access Permission configuration:
    #
    # Only allow cachemgr access from localhost
    http_access allow manager localhost
    http_access deny manager
    
    # Deny requests to certain unsafe ports
    http_access deny !Safe_ports
    
    # Deny CONNECT to other than secure SSL ports
    http_access deny CONNECT !SSL_ports
    
    # We strongly recommend the following be uncommented to protect innocent
    # web applications running on the proxy server who think the only
    # one who can access services on "localhost" is a local user
    http_access deny to_localhost
    
    #
    # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
    #
    
    # Example rule allowing access from your local networks.
    # Adapt localnet in the ACL section to list your (internal) IP networks
    # from where browsing should be allowed
    http_access allow SERVIDOR
    http_access allow all usuarios
    
    # Allow localhost always proxy functionality
    http_access allow localhost
    
    # And finally deny all other access to this proxy
    http_access deny all
    
    # Acceso icp al proxy
    icp_access deny all
    
    # Squid normally listens to port 3128
    http_port 3128
    
    # Excepcion de cache a URL
    hierarchy_stoplist cgi-bin ?
    acl DYNAMIC_CONTENT urlpath_regex cgi-bin \.cgi \.pl \.php3 \.asp \.aspx \.php
    no_cache deny DYNAMIC_CONTENT
    
    # Uncomment and adjust the following to add a disk cache directory.
    #cache_dir aufs /var/cache/squid 100 16 256
    
    # Leave coredumps in the first cache dir
    coredump_dir /var/cache/squid
    
    # Opciones del directorio de cache
    cache_effective_user squid
    store_avg_object_size 5 GB
    cachemgr_passwd cachemgr all
    cache_mem 2048 MB
    maximum_object_size_in_memory 128 KB
    maximum_object_size 16384 KB
    
    # Ubicacion del archivo de registro
    access_log /var/log/squid/access.log
    
    # Add any of your own refresh_pattern entries above these.
    refresh_pattern ^ftp:           1440    20%     10080
    refresh_pattern ^gopher:        1440    0%      1440
    refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
    refresh_pattern .               0       20%     4320
    
    # Opciones del archivo de registro
    icp_port 3130
    log_mime_hdrs on
    append_domain .DOMINIO
    
    # Redireccion de SquidGuard
    url_rewrite_program /usr/sbin/squidGuard -c /etc/squidguard.conf
    url_rewrite_children 5
    redirect_program /usr/sbin/squidGuard -c /etc/squidguard.conf
    Kerberos, samba y winbind parece estan bien

    el iptables que ocupo, de momento quite todas las reglas.

    Código:
    proxy:/ # iptables -L -n
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    proxy:/ #
    lo extraño es que nmap en la ip del servidor proxy, no me muestra el puerto 443 como abierto , tenga o no tenga reglas configuradas en iptables. Aun asi navegando localmente desde el servidor proxy si puedo entrar a los sitios seguros.

    Código:
    proxy:/ # nmap 172.16.1.5
    
    Starting Nmap 5.61TEST2 ( http://nmap.org ) at 2012-05-21 15:35 CDT
    Nmap scan report for proxy.net.criver.domain.int (172.16.1.5)
    Host is up (0.000025s latency).
    Not shown: 993 closed ports
    PORT     STATE SERVICE
    22/tcp   open  ssh
    80/tcp   open  http
    139/tcp  open  netbios-ssn
    445/tcp  open  microsoft-ds
    3128/tcp open  squid-http
    5801/tcp open  vnc-http-1
    5901/tcp open  vnc-1
    
    Nmap done: 1 IP address (1 host up) scanned in 0.18 seconds
    Actualmente: mi rango de las ip's de los clientes es 172.16.1.X, mi direccion de ip 172.16.1.5, el puerto de squid 3128 y sin reglas en iptables. Funciona todo al 100 menos el protocolo HTTPS. Se ha declarado el servidor explicitamente en IE > Opciones de internet > Conexiones > Configuracion de lan > utilizar servidor proxy > 172.16.1.5 en 3128 para todos los protocolos, aun cambiandole el puerto a 443 en protocolo seguro, no funciona. He puesto reglas del tipo FORWARD al iptables como:

    Código:
    iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT
    con

    Código:
    echo "1" > /proc/sys/net/ipv4/ip_forward
    y tampoco funcionan.

    Cualquier ayuda sera bien recibida. Gracias!

    P.D. Ultimamente tambien le puse enmascaramiento y no funciono
    P.D.2. El proxy no es transparente y tampoco se necesita transparente.
    Última edición por BlackHole; 23-may-2012 a las 16:13 Razón: Solucionado

  2. #2
    Fecha de Ingreso
    13-enero-2012
    Ubicación
    Jerez
    Mensajes
    261
    Post Thanks / Like
    Poder de Credibilidad
    8
    Has probado esto:
    acl https port 443
    http_access allow https
    o con esto otro:
    iptables -I FORWARD -p tcp --dport 443 -j ACCEPT
    Primero prueba uno y después el otro
    Última edición por manolobarea; 22-may-2012 a las 07:40

  3. #3
    Fecha de Ingreso
    16-mayo-2012
    Mensajes
    4
    Post Thanks / Like
    Poder de Credibilidad
    0

    Talking Gracias a todos!

    Gracias manolobarea! la solucion que funciono fue

    Código:
    acl https port 443
    http_access allow https
    Al parecer la ACL por default de Safe_Ports en el puerto 443 no estaba funcionando, ya una vez que se integro al squid.conf, la ACL que se menciona funciono de maravilla. Una vez mas mil gracias! ya llevaba casi 4 dias sin saber que era y mas las llamadas de los usuarios molestos tampoco ayudaban....

    Mil gracias y un saludo!

  4. #4
    Fecha de Ingreso
    13-enero-2012
    Ubicación
    Jerez
    Mensajes
    261
    Post Thanks / Like
    Poder de Credibilidad
    8
    A tí, hacia tiempo que no configuraba un squid, pero tenía escrito eso con un ojo cuidado, así que me alegro que te sirviera la respuesta

  5. #5
    Fecha de Ingreso
    14-agosto-2013
    Mensajes
    1
    Post Thanks / Like
    Poder de Credibilidad
    0
    Buen rato me rompi la cabeza tratando de solucionar este problema y nada, hasta que al final lo solucione con esta simble línea:

    dns_v4_first on

    Ojala a alguién le pueda servir, saludos.

  6. #6
    Fecha de Ingreso
    01-marzo-2017
    Mensajes
    6
    Post Thanks / Like
    Poder de Credibilidad
    0
    hola soy nuevo esto he instalado squid 3 el cual funciona bien con las url http pero cuando trato de entrar a un sitio con https no me lo permite (se quda en blanco). he buscado en google y nada probe con esto
    #acl https port 443
    #http_access allow https

    y todo igual no me deja navegar en estos sitioss

  7. #7
    Fecha de Ingreso
    19-marzo-2005
    Ubicación
    En un lugar del planeta Tierra
    Mensajes
    17.404
    Post Thanks / Like
    Poder de Credibilidad
    10
    No reflotes temas viejos, ya has creado uno nuevo.
    NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
    Síguenos en TWITTER y en FACEBOOK
    Código:
    Buscador de   Alojamiento      Alojamiento     Otros
     paquetes:    de imágenes:     de ficheros:    buscadores:
    Search        TinyPic          Ifile Wuala     Simple y Facil
    Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Temas Similares

  1. Respuestas: 28
    Último mensaje: 01-oct-2010, 02:40
  2. Redirecccionar páginas http a https automáticamente (Solucionado)
    By soyasi in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 14-jul-2010, 16:10
  3. Solo me conecto al google y algunas paginas Conexion adsl LAN
    By FuFo in forum Internet, Redes y Wireless
    Respuestas: 4
    Último mensaje: 30-ene-2008, 11:34
  4. Excluir paginas de squid
    By elunicode in forum Software
    Respuestas: 1
    Último mensaje: 18-ago-2007, 20:06
  5. Configurar conexión PPPoE.
    By trykenter in forum Internet, Redes y Wireless
    Respuestas: 6
    Último mensaje: 18-jun-2007, 23:56

Marcadores

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •