El día 18 de febrero de 2011 08:04, Federico Alberto Sayd <fs...@uncu.edu.ar> escribió: > El 18/02/11 09:58, Jorge Toro escribió: > > Hola lista, > > Características del servidor: > > Por favor, comienza con la descripción de tu problema, así es más fácil ver > de una mirada si te podemos ayudar o no > > > Tabla de iptables: > > gate100:~# iptables -L -n > Chain INPUT (policy ACCEPT) > target prot opt source destination > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 > ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > gate100:~# iptables -L -n -t nat > Chain PREROUTING (policy ACCEPT) > target prot opt source destination > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 > redir ports 1212 > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 > redir ports 1212 > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 > redir ports 1212 > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 > redir ports 1212 > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 > redir ports 1212 > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 > redir ports 1212 > > Chain POSTROUTING (policy ACCEPT) > target prot opt source destination > MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 > MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 > MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > > Donde tengo como destino predeterminado para las tablas INPUT, OUTPUT y > FORWARD = ACCEPT > > Este servidor funciona como puerta de enlace para la red 192.168.0.0/24 el > problema radica en que cuando la configuración de squid permite a toda la > subred salir trasparentemente y sin restricciones pero el problema que tengo > es cuando intento ingresar a gmail.com o hotmail.com con los siguiente > errores: > > Cuando ingreso por cualquier navegador me dice: > > Fallo en conexión segura > > Un error ha ocurrido al conectarse a login.live.com. > > SSL received a record that exceeded the maximum permissible length. > > (Código de error: ssl_error_rx_record_too_long) > > > > # tail -f /var/log/squid/access.log > > 1297980746.225 318 192.168.0.211 TCP_MISS/302 1114 GET > http://mail.google.com/mail/ - DIRECT/74.125.45.19 text/html > 1297980746.229 0 192.168.0.211 TCP_DENIED/400 1550 NONE > error:invalid-request - NONE/- text/html > > # squidview > > 0.211 mail.google.com/mail/ > 0.211 d error:invalid-request > > > > Mi conclusión es que no pude bajar las SSL para poderse conectar, pero > porque me sucede esto ya que he intentado de todo hasta comente las lineas > de bloquean los puertos: > > # Deny requests to unknown ports > #http_access deny !Safe_ports > # Deny CONNECT to other than SSL ports > #http_access deny CONNECT !SSL_ports > > #http_access allow localnet > http_access allow LAN > http_access allow localhost > > # And finally deny all other access to this proxy > http_access deny all > > > y nada que me funciona. Si me pueden dar alguna idea seria de gran ayuda ya > que hoy debo dejar esto solucionado. > > Por su atención y respuestas muchas gracias, > > > > Creo que debería asumir que estás configurando un proxy transparente que > escucha en el puerto 1212 y has redirigido mediante iptables todas las > peticiones al puerto 80 y 443 al puerto 1212 de squid. > > Si es así, el problema radica en que no se pueden hacer pasar por un proxy > transparentes conexiones a los puertos http seguros (443), justamente los > que usan gmail y hotmail principalmente para la autenticación. No se trata > de un error, es una característica de las conexiones SSL, en este caso > tienes que natear o enmascarar todo lo que vaya al puerto 443 y *no* hacerlo > pasar por el proxy transparente (squid). > > En realidad hay una forma de hacer pasar las peticiones seguras a un proxy > transparente pero no es una solución recomendada, rompe los estándares y > significa un problema de seguridad y hasta legal (hay que "engañar" a los > servidores con el tema de certificados y demás) > > En fin, la solución es natear > > -- > Jorge A. Toro Hoyos > Ing. Teleinformático. > CumbiaTIC, Dir. División de Informática COR, Esp. GNU/Linux, Esp. Desarrollo > de Software. > http://jolthgs.wordpress.com/ > -------------------------------------------------------------- > Powered By Debian. > Developer Bullix GNU/Linux. > -------------------------------------------------------------- > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.6 (GNU/Linux) > > iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x > p4+4FNUHPDUx1lU9F8WSKCA= > =zRhQ > -----END PGP SIGNATURE----- > Este correo esta protegido bajo los términos de la Licencia > Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative > Commons. Observé la licencia visitando este sitio > http://creativecommons.org/licenses/by-sa/2.5/co/. > > Saludos >
concuedo con Federico en Squid no puedes pasar las conexines hhtps (puerto 443) solo elimina esa regla de iptables y de iptables y debera funcionar -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTik=-ccblrfwkoautm2ywqhp1cgmkwnkjmdz7...@mail.gmail.com