[LUGAr-gral] iptables https

[Wilson Acha]

hola, hasta ahora he configurado mi squid para permitir que las pcs de
mi Lan tengan acceso a internet, he probado configurando el proxy en
el browser y todo ok, pero cuando queiro que sea transaparente
haciendo uso de iptables, tengo el inconveniente que los sitios con
https no pueden ser accedidos, como pudo hacer para que esto funcione?

este es mi script de iptables:


iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#Permitimos Ip Forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

#Politicas por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A FORWARD -p tcp --dport https -j ACCEPT

#Conexiones de entrada
iptables -A INPUT -i $WAN_NIC -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#Conexiones a Localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Enmascaramiento de las peticiones
iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE

#Abrimos el puerto 3128 (SQUID):
iptables -A INPUT -i $LAN_NIC -s $LAN -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -d $LAN -m state --state ESTABLISHED,RELATED -p tcp
--sport 3128 -j ACCEPT

#squid
iptables -t nat -A PREROUTING -i $LAN_NIC -p tcp --dport 80 -j
REDIRECT --to-ports 3128
#iptables -t nat -A PREROUTING -i $LAN_NIC -p tcp --dport 443 -j
REDIRECT --to-ports 3128

#Permitimos trafico con el DNS
iptables -A OUTPUT -p udp --dport 53 -d $DNS_1 -j ACCEPT
iptables -A INPUT -i $LAN_NIC -s $LAN -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o $LAN_NIC -d $LAN -p udp --dport 53 -j ACCEPT

#HTTP y HTPPS
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward
--
Para desuscribirte tenés que visitar la página
https://listas.linux.org.ar/mailman/listinfo/lugar-gral/

/* Publica y encontra trabajo relacionado con softlibre en 
http://www.usla.org.ar/modules/jobs/ */

Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]