Wilson:
2006/12/6, Wilson Acha <[EMAIL PROTECTED]>:
> Nunca te va a funcionar, el protocolo https no permite ser "proxiado"
> en forma transparente, de la única forma para establecer una conexión
> https a través de un proxy es con el método CONNECT que utiliza el
> browser cuando tiene configurado un proxy, pero cuando no sabe que
> existe un proxy en el medio no lo usa, y por eso falla.
> Esto no es un problema ni de squid ni de iptables, es simplemente una
> limitación (o feature de seguridad) del protocolo https.
No se si me equivoco, pero existiria la posibilidad de que todo el
trafico https no pase por el squid y salga directamente a internet?
Sí.Como https no puede utilizarse en conjunto con https, entonces
tiene que esquivar el proxy. Tal vez por eso podés estar teniendo
problemas de DNS porque el equipo que usás como proxy te hacía las
consultas DNS por vos.
Si dejás que el tráfico https pase por al lado del proxy:
iptables -A FORWARD -s $LAN -d 0/0 -i $LAN_NIC -p tcp --dport https -j ACCEPT
iptables -A FORWARD -d $LAN -i $WAN_NIC -p tcp --sport https -m state
--state ESTABLISHED,RELATED -j ACCEPT
Entonces también deberías dejar que de alguna manera el puesto de
trabajo también pueda realizar consultas DNS para encontrar al host de
destino. Una forma de hacerlo es dejando que el puesto haga las
consultas DNS al ISP, otra es poner un Cache DNS dentro de la empresa,
pero tenés que dejar que las haga:
iptables -A FORWARD -s $LAN -d $DNS_IP -i $LAN_NIC -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $DNS_IP -d $LAN -i $WAN_NIC -p udp --sport 53 -j ACCEPT
Eso fue suponiendo que tenés que atravesar el equipo con el proxy para
llegar a algún servidor DNS de caché, también lo podés configurar en
el propio equipo con el proxy.
Saludos.
--
Mauro Graziosi
--
Para desuscribirte tenés que visitar la página
https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
/* Publica y encontra trabajo relacionado con softlibre en
http://www.usla.org.ar/modules/jobs/ */
Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]
