On Wed, Dec 06, 2006 at 01:58:56PM -0400, Wilson Acha wrote: > hola, hasta ahora he configurado mi squid para permitir que las pcs de > mi Lan tengan acceso a internet, he probado configurando el proxy en > el browser y todo ok, pero cuando queiro que sea transaparente > haciendo uso de iptables, tengo el inconveniente que los sitios con > https no pueden ser accedidos, como pudo hacer para que esto funcione? > > este es mi script de iptables: > > > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > #Permitimos Ip Forwarding > echo 0 > /proc/sys/net/ipv4/ip_forward > > #Politicas por defecto > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > iptables -A FORWARD -p tcp --dport https -j ACCEPT > > #Conexiones de entrada > iptables -A INPUT -i $WAN_NIC -m state --state NEW -j DROP > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > > #Conexiones a Localhost > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > > #Enmascaramiento de las peticiones > iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE > > #Abrimos el puerto 3128 (SQUID): > iptables -A INPUT -i $LAN_NIC -s $LAN -p tcp --dport 3128 -j ACCEPT > iptables -A OUTPUT -d $LAN -m state --state ESTABLISHED,RELATED -p tcp > --sport 3128 -j ACCEPT > > #squid > iptables -t nat -A PREROUTING -i $LAN_NIC -p tcp --dport 80 -j > REDIRECT --to-ports 3128 > #iptables -t nat -A PREROUTING -i $LAN_NIC -p tcp --dport 443 -j > REDIRECT --to-ports 3128 > > #Permitimos trafico con el DNS > iptables -A OUTPUT -p udp --dport 53 -d $DNS_1 -j ACCEPT > iptables -A INPUT -i $LAN_NIC -s $LAN -p udp --dport 53 -j ACCEPT > iptables -A OUTPUT -o $LAN_NIC -d $LAN -p udp --dport 53 -j ACCEPT > > #HTTP y HTPPS > iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT > > echo 1 > /proc/sys/net/ipv4/ip_forward > -- > Para desuscribirte tenés que visitar la página > https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ > > /* Publica y encontra trabajo relacionado con softlibre en > http://www.usla.org.ar/modules/jobs/ */ > > Si tenés algún inconveniente o consulta escribí a > mailto:[EMAIL PROTECTED] >
Se supone que eso no se puede y en principio no tiene sentido, por que el squid no puede hacer nada con ese tipo de trafico (obvio, esta encriptado). Con una regla de NAT en iptables lo resolves. Ahora si por algun motivo lo necesitas (a mi me paso) tenes un programita que se llama u2nl (http://www.reitwiessner.de/programs/u2nl.html) que es para hacer funcionar el proxy transparente para HTTPS. Es medio pobre pero funciona. saludos! -- -------------- Diego Woitasen -- Para desuscribirte tenés que visitar la página https://listas.linux.org.ar/mailman/listinfo/lugar-gral/ /* Publica y encontra trabajo relacionado con softlibre en http://www.usla.org.ar/modules/jobs/ */ Si tenés algún inconveniente o consulta escribí a mailto:[EMAIL PROTECTED]
