El 18 de febrero de 2011 11:42, Alberto Corona <helio...@gmail.com>escribió:
> El día 18 de febrero de 2011 08:04, Federico Alberto Sayd > <fs...@uncu.edu.ar> escribió: > > El 18/02/11 09:58, Jorge Toro escribió: > > > > Hola lista, > > > > Características del servidor: > > > > Por favor, comienza con la descripción de tu problema, así es más fácil > ver > > de una mirada si te podemos ayudar o no > > > > > > Tabla de iptables: > > > > gate100:~# iptables -L -n > > Chain INPUT (policy ACCEPT) > > target prot opt source destination > > ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 > > ACCEPT all -- 192.168.0.0/24 0.0.0.0/0 > > > > Chain FORWARD (policy ACCEPT) > > target prot opt source destination > > > > Chain OUTPUT (policy ACCEPT) > > target prot opt source destination > > gate100:~# iptables -L -n -t nat > > Chain PREROUTING (policy ACCEPT) > > target prot opt source destination > > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 > > redir ports 1212 > > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 > > redir ports 1212 > > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 > > redir ports 1212 > > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 > > redir ports 1212 > > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 > > redir ports 1212 > > REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 > > redir ports 1212 > > > > Chain POSTROUTING (policy ACCEPT) > > target prot opt source destination > > MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 > > MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 > > MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0 > > > > Chain OUTPUT (policy ACCEPT) > > target prot opt source destination > > > > Donde tengo como destino predeterminado para las tablas INPUT, OUTPUT y > > FORWARD = ACCEPT > > > > Este servidor funciona como puerta de enlace para la red 192.168.0.0/24el > > problema radica en que cuando la configuración de squid permite a toda la > > subred salir trasparentemente y sin restricciones pero el problema que > tengo > > es cuando intento ingresar a gmail.com o hotmail.com con los siguiente > > errores: > > > > Cuando ingreso por cualquier navegador me dice: > > > > Fallo en conexión segura > > > > Un error ha ocurrido al conectarse a login.live.com. > > > > SSL received a record that exceeded the maximum permissible length. > > > > (Código de error: ssl_error_rx_record_too_long) > > > > > > > > # tail -f /var/log/squid/access.log > > > > 1297980746.225 318 192.168.0.211 TCP_MISS/302 1114 GET > > http://mail.google.com/mail/ - DIRECT/74.125.45.19 text/html > > 1297980746.229 0 192.168.0.211 TCP_DENIED/400 1550 NONE > > error:invalid-request - NONE/- text/html > > > > # squidview > > > > 0.211 mail.google.com/mail/ > > 0.211 d error:invalid-request > > > > > > > > Mi conclusión es que no pude bajar las SSL para poderse conectar, pero > > porque me sucede esto ya que he intentado de todo hasta comente las > lineas > > de bloquean los puertos: > > > > # Deny requests to unknown ports > > #http_access deny !Safe_ports > > # Deny CONNECT to other than SSL ports > > #http_access deny CONNECT !SSL_ports > > > > #http_access allow localnet > > http_access allow LAN > > http_access allow localhost > > > > # And finally deny all other access to this proxy > > http_access deny all > > > > > > y nada que me funciona. Si me pueden dar alguna idea seria de gran ayuda > ya > > que hoy debo dejar esto solucionado. > > > > Por su atención y respuestas muchas gracias, > > > > > > > > Creo que debería asumir que estás configurando un proxy transparente que > > escucha en el puerto 1212 y has redirigido mediante iptables todas las > > peticiones al puerto 80 y 443 al puerto 1212 de squid. > > > > Si es así, el problema radica en que no se pueden hacer pasar por un > proxy > > transparentes conexiones a los puertos http seguros (443), justamente los > > que usan gmail y hotmail principalmente para la autenticación. No se > trata > > de un error, es una característica de las conexiones SSL, en este caso > > tienes que natear o enmascarar todo lo que vaya al puerto 443 y *no* > hacerlo > > pasar por el proxy transparente (squid). > > > > En realidad hay una forma de hacer pasar las peticiones seguras a un > proxy > > transparente pero no es una solución recomendada, rompe los estándares y > > significa un problema de seguridad y hasta legal (hay que "engañar" a los > > servidores con el tema de certificados y demás) > > > > En fin, la solución es natear > > > > -- > > Jorge A. Toro Hoyos > > Ing. Teleinformático. > > CumbiaTIC, Dir. División de Informática COR, Esp. GNU/Linux, Esp. > Desarrollo > > de Software. > > http://jolthgs.wordpress.com/ > > -------------------------------------------------------------- > > Powered By Debian. > > Developer Bullix GNU/Linux. > > -------------------------------------------------------------- > > -----BEGIN PGP SIGNATURE----- > > Version: GnuPG v1.4.6 (GNU/Linux) > > > > iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x > > p4+4FNUHPDUx1lU9F8WSKCA= > > =zRhQ > > -----END PGP SIGNATURE----- > > Este correo esta protegido bajo los términos de la Licencia > > Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative > > Commons. Observé la licencia visitando este sitio > > http://creativecommons.org/licenses/by-sa/2.5/co/. > > > > Saludos > > > > concuedo con Federico en Squid no puedes pasar las conexines hhtps (puerto > 443) > solo elimina esa regla de iptables y de iptables y debera funcionar > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: > http://lists.debian.org/aanlktik-ccblrfwkoautm2ywqhp1cgmkwnkjmdz7...@mail.gmail.com > > Como indica Alberto el problema es la regla de iptable que redirecciona las SSL. saludos y gracias por la ayuda. -- Jorge A. Toro Hoyos Ing. Teleinformático. CumbiaTIC, Dir. División de Informática COR, Esp. GNU/Linux, Esp. Desarrollo de Software. http://jolthgs.wordpress.com/ -------------------------------------------------------------- Powered By Debian. Developer Bullix GNU/Linux. -------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x p4+4FNUHPDUx1lU9F8WSKCA= =zRhQ -----END PGP SIGNATURE----- Este correo esta protegido bajo los términos de la Licencia Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/.
