Tema: Squid-ssl https transparente
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 08/04/2014, 13:11
Avatar de Melecio
Melecio
 
Fecha de Ingreso: julio-2011
Ubicación: Coahuila
Mensajes: 320
Antigüedad: 13 años, 4 meses
Puntos: 8
Squid-ssl https transparente
Hola a todos.

Logre vincular HTTPS via SQUID3-SSL en modo transparente, pero tengo problemas con las paginas.

Ejemplo:



NAVEGADOR FIREFOX HTTPS
facebook.com = Al momento de agregar el certificado me deja abrir la pagina inicial correctamente, pero al momento de logearme, la pagina no se muestra como se debe es como si sele quitaran todos los estilos css de html
google = en esta pagina me permite abrirlo y se ve correctamente, el problema es GMAIL "accounts.google.com" me dice que esta conexion no es confiable y no me permite agregar el certificado
twiter me dice lo mismo ESTA CONEXION NO ES CONFIABLE

NAVEGADOR IEXPLORER 8 HTTPS
Con este navegador todas las paginas me funcionan muy bien.

NAVEGADOR CHROME HTTPS
no me funciona ninguna pagina


Para poder utilizar este método se requiere instalar (apt-get install squid3-ssl) y las dependencias openssl

Generar el certificado

openssl genrsa -des3 -out intranet.key 1024
openssl req -new -key intranet.key -out intranet.csr
openssl rsa -in intranet.key -out intranet-proxy.key
openssl x509 -req -days 365 -in intranet.csr -signkey intranet-proxy.key -out intranet-proxy.crt
openssl x509 -in intranet-proxy.crt -noout -enddate

esta es mi configuración squid.conf

Código: 
https_port 3129 transparent cert=/etc/squid/ssl/intranet-proxy.crt key=/etc/squid/ssl/intranet-proxy.key   
acl EEE-PC src 192.168.1.1   
acl SSL_ports port 443   
acl SSL_ports port 8081   
acl Safe_ports port 80          # http   
acl Safe_ports port 21          # ftp   
acl Safe_ports port 443         # httpss 
acl Safe_ports port 8081        # https     
acl Safe_ports port 70          # gopher   
acl Safe_ports port 210         # wais   
acl Safe_ports port 1025-65535  # unregistered ports   
acl Safe_ports port 280         # http-mgmt   
acl Safe_ports port 488         # gss-http   
acl Safe_ports port 591         # filemaker   
acl Safe_ports port 777         # multiling http   
acl Safe_ports port 995         # multiling http   
acl Safe_ports port 578         # multiling http  
acl Safe_ports port 53         # multiling http   
acl CONNECT method CONNECT   

acl noper url_regex "/etc/squid/sitios"
acl ip_list_access src "/etc/squid/ip_can_access"
http_access deny noper !ip_list_access
  
http_access allow manager   
http_access allow !Safe_ports   
http_access allow CONNECT !SSL_ports   
http_access allow EEE-PC    
http_access allow all   
http_port 3128 transparent   
hierarchy_stoplist cgi-bin ?   
coredump_dir /var/spool/squid3   
refresh_pattern ^ftp:           1440    20%     10080   
refresh_pattern ^gopher:        1440    0%      1440   
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0   
refresh_pattern .               0       20%     4320



IPTABLES

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.1:3129
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE



El único problema es el certificado si lograramos arreglarlo ya quedaría listo e monitoreo HTTPS y denegación de paginas del mismo protocolo.

Gracias.