Re: Proxy transparente squid sobre https
Buenas,
Yo tengo una duda como cierro facebook por ejemplo por https, he leido
buscando en google y he encontrado que no se hace por squid sino por
iptables, pero las soluciones que he visto me parecen algo confusas y
por supuesto no quiero cerrar el puerto 443 porque denegaria a ciertas
paginas web que si son importantes por https y yo solo quiero cerrar
el bendito facebook, pero no se como ya que las soluciones leidas me
parecen no se impracticas.
Gracias.
Nicolás Disquin
2013/7/9 Alberto albe...@bersol.info:
El 09/07/13 21:56, Constantino Vargas escribió:
Mi config:
http_port 3128 transparent
cache_mem 100 MB
cache_dir ufs /var/spool/squid3 150 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
acl red_local src 10.100.0.0/16 http://10.100.0.0/16
acl localhost src 127.0.0.1/32 http://127.0.0.1/32
acl all src all
httpd_accel_port 80
httpd_accel_with_proxy on
http_access allow localhost
http_access allow red_local
Gracias por contestar.
Saludos.
Ya lo he solucionado. Para quien le interese, he agregado estas dos
lineas a squid.conf:
acl https port 443
http_access allow https
Caramba, este hilo no lo he visto yo... :-P
supongo que tienes un Squid 3 o superior, o bien lo has compilado, ya que
por defecto no solian venir compilados los binarios de paquetería con la
opcion de ssl
De hecho, me suena que seguian sin venir...
root@localhost:~# squid3 -v
Squid Cache: Version 3.1.20
configure options: '--build=i486-linux-gnu' '--prefix=/usr'
'--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
'--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var'
'--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode'
'--disable-dependency-tracking' '--disable-silent-rules'
'--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3'
'--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline'
'--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd'
'--enable-removal-policies=lru,heap' '--enable-delay-pools'
'--enable-cache-digests' '--enable-underscores' '--enable-icap-client'
'--enable-follow-x-forwarded-for'
'--enable-auth=basic,digest,ntlm,negotiate'
'--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM'
'--enable-ntlm-auth-helpers=smb_lm,'
'--enable-digest-auth-helpers=ldap,password'
'--enable-negotiate-auth-helpers=squid_kerb_auth'
'--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
'--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2'
'--disable-translation' '--with-logdir=/var/log/squid3'
'--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536'
'--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter'
'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector
--param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall'
'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2'
'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat
-Werror=format-security'
--with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20
Efectivamente!
sigue sin venir compilado con la opcion enable-ssl en los binarios de
paqueteria, con lo cual, esas opciones no funcionarian
Acabo de implementar squid con debian 7, buscando información sobre el
tema indican que hay que hacerlo de forma transparente para forma
automatica el resto de pcs puedan pasar por squid.
esto es lo que hice en squid.conf
http_port 3128
cache_mem 42 MB
cache_dir ufs /var/spool/squid 500 16 256
acl miredcasa src192.168.100.1/24 http://192.168.100.1/24
acl noway url_regex/etc/squid/prohidos
http_access deny noway
http_access allow miredcasa
Para que mi squid pueda trabajar en modo transparente tengo que agregar lo
que le diferencia de la configuración que compartes.
Por otro lado en la información que hay en internet indican que un
servidor proxy debe haber dos interfaces de red, en mi caso mi servidor,
que esta actualmente como un DNS cache con BIND9 y Samba tiene dos
interfaces de red pero esta trabajan como switch o brigde.
eth0 esta conectado a un dispositivo wifi de 5.8Ghz por donde tengo acceso
internet y la eth1 se conecta a una AP de 2.4 Ghz por donde mi pc de
personal, mi tablet y telefono movil se conecta via wifi
esta es mi configuración en interfaces:
auto lo
iface lo inet loopback
auto br0
iface br0 inet static
address 192.168.100.10
netmask 255.255.255.0
gateway 192.168.100.1
network 192.168.100.0
broadcast 192.168.100.255
bridge_ports eth0 eth1
bridge_maxwait 0
gracias por sus respuestas
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact
Re: Proxy transparente squid sobre https
El 10/07/13 14:55, Nicolas escribió: Buenas, Yo tengo una duda como cierro facebook por ejemplo por https, he leido buscando en google y he encontrado que no se hace por squid sino por iptables, pero las soluciones que he visto me parecen algo confusas y por supuesto no quiero cerrar el puerto 443 porque denegaria a ciertas paginas web que si son importantes por https y yo solo quiero cerrar el bendito facebook, pero no se como ya que las soluciones leidas me parecen no se impracticas. si lo que quieres es cerrar una url o dominio echa un vistazo a la directiva dstdom_regex. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51dd6d3b.1040...@bersol.info
Re: Proxy transparente squid sobre https
Mi config: http_port 3128 transparent cache_mem 100 MB cache_dir ufs /var/spool/squid3 150 16 256 cache_access_log /var/log/squid3/access.log cache_log /var/log/squid3/cache.log acl red_local src 10.100.0.0/16 acl localhost src 127.0.0.1/32 acl all src all httpd_accel_port 80 httpd_accel_with_proxy on http_access allow localhost http_access allow red_local Gracias por contestar. Saludos. Ya lo he solucionado. Para quien le interese, he agregado estas dos lineas a squid.conf: acl https port 443 http_access allow https Acabo de implementar squid con debian 7, buscando información sobre el tema indican que hay que hacerlo de forma transparente para forma automatica el resto de pcs puedan pasar por squid. esto es lo que hice en squid.conf http_port 3128 cache_mem 42 MB cache_dir ufs /var/spool/squid 500 16 256 acl miredcasa src 192.168.100.1/24 acl noway url_regex /etc/squid/prohidos http_access deny noway http_access allow miredcasa Para que mi squid pueda trabajar en modo transparente tengo que agregar lo que le diferencia de la configuración que compartes. Por otro lado en la información que hay en internet indican que un servidor proxy debe haber dos interfaces de red, en mi caso mi servidor, que esta actualmente como un DNS cache con BIND9 y Samba tiene dos interfaces de red pero esta trabajan como switch o brigde. eth0 esta conectado a un dispositivo wifi de 5.8Ghz por donde tengo acceso internet y la eth1 se conecta a una AP de 2.4 Ghz por donde mi pc de personal, mi tablet y telefono movil se conecta via wifi esta es mi configuración en interfaces: auto lo iface lo inet loopback auto br0 iface br0 inet static address 192.168.100.10 netmask 255.255.255.0 gateway 192.168.100.1 network 192.168.100.0 broadcast 192.168.100.255 bridge_ports eth0 eth1 bridge_maxwait 0 gracias por sus respuestas
Re: Proxy transparente squid sobre https
El 09/07/13 21:56, Constantino Vargas escribió:
Mi config:
http_port 3128 transparent
cache_mem 100 MB
cache_dir ufs /var/spool/squid3 150 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
acl red_local src 10.100.0.0/16 http://10.100.0.0/16
acl localhost src 127.0.0.1/32 http://127.0.0.1/32
acl all src all
httpd_accel_port 80
httpd_accel_with_proxy on
http_access allow localhost
http_access allow red_local
Gracias por contestar.
Saludos.
Ya lo he solucionado. Para quien le interese, he agregado estas dos
lineas a squid.conf:
acl https port 443
http_access allow https
Caramba, este hilo no lo he visto yo... :-P
supongo que tienes un Squid 3 o superior, o bien lo has compilado, ya
que por defecto no solian venir compilados los binarios de paquetería
con la opcion de ssl
De hecho, me suena que seguian sin venir...
root@localhost:~# squid3 -v
Squid Cache: Version 3.1.20
configure options: '--build=i486-linux-gnu' '--prefix=/usr'
'--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
'--infodir=${prefix}/share/info' '--sysconfdir=/etc'
'--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.'
'--disable-maintainer-mode' '--disable-dependency-tracking'
'--disable-silent-rules' '--datadir=/usr/share/squid3'
'--sysconfdir=/etc/squid3' '--mandir=/usr/share/man'
'--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8'
'--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap'
'--enable-delay-pools' '--enable-cache-digests' '--enable-underscores'
'--enable-icap-client' '--enable-follow-x-forwarded-for'
'--enable-auth=basic,digest,ntlm,negotiate'
'--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM'
'--enable-ntlm-auth-helpers=smb_lm,'
'--enable-digest-auth-helpers=ldap,password'
'--enable-negotiate-auth-helpers=squid_kerb_auth'
'--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
'--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2'
'--disable-translation' '--with-logdir=/var/log/squid3'
'--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536'
'--with-large-files' '--with-default-user=proxy'
'--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2
-fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat
-Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro
-Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE
-fstack-protector --param=ssp-buffer-size=4 -Wformat
-Werror=format-security'
--with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20
Efectivamente!
sigue sin venir compilado con la opcion enable-ssl en los binarios de
paqueteria, con lo cual, esas opciones no funcionarian
Acabo de implementar squid con debian 7, buscando información sobre el
tema indican que hay que hacerlo de forma transparente para forma
automatica el resto de pcs puedan pasar por squid.
esto es lo que hice en squid.conf
http_port 3128
cache_mem 42 MB
cache_dir ufs /var/spool/squid 500 16 256
acl miredcasa src192.168.100.1/24 http://192.168.100.1/24
acl noway url_regex/etc/squid/prohidos
http_access deny noway
http_access allow miredcasa
Para que mi squid pueda trabajar en modo transparente tengo que agregar lo que
le diferencia de la configuración que compartes.
Por otro lado en la información que hay en internet indican que un servidor
proxy debe haber dos interfaces de red, en mi caso mi servidor, que esta
actualmente como un DNS cache con BIND9 y Samba tiene dos interfaces de red
pero esta trabajan como switch o brigde.
eth0 esta conectado a un dispositivo wifi de 5.8Ghz por donde tengo acceso
internet y la eth1 se conecta a una AP de 2.4 Ghz por donde mi pc de personal,
mi tablet y telefono movil se conecta via wifi
esta es mi configuración en interfaces:
auto lo
iface lo inet loopback
auto br0
iface br0 inet static
address 192.168.100.10
netmask 255.255.255.0
gateway 192.168.100.1
network 192.168.100.0
broadcast 192.168.100.255
bridge_ports eth0 eth1
bridge_maxwait 0
gracias por sus respuestas
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51dc8cae.5010...@bersol.info
Re: Proxy transparente squid sobre https
El 2013-05-09 16:37, Santiago José López Borrazás escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA512 El 09/05/13 16:29, may...@maykel.sytes.net escribió: (...) Tengo configurado squid con la opción de transparent y con iptables redireecciono... sólo me queda el tema de https... me tiene un poco desquiciado jejeje. ¿Has habilitado httpd_accel_port como puerto 80? ¿Y has puesto httpd_accel_with_proxy a on? ¡Revísalo y lo cuentas! - -- Saludos de Santiago José López Borrazás. -BEGIN PGP SIGNATURE- iQIVAwUBUYu0tbuF9/q6J55WAQr79Q//ZIKMi5FE1mLY9aQqpC3M0sRSkPHyRIHL Jg+kFrfz5tw8fwy4PtTUgMgeNEPaqpCXopu5TIERX6phfc4n4ChdxkRXgudUuelj MeVjJg9p+YHTbhfT5BdwILwLgQzhroXO7mu+iU+Adt3w05PbMbqDf/XsswiXdhx+ qVYL43yooojnKyQDVLqVaILepVOJUQhUg9um9Tha8PnyzIJoy4+vehRBX71Y2MSx jID3qdQWSjbRGvN0DzTaOVgNOFR9qS34Sy2pQxWZzsukZpvfDvDNy3KKAEQXjR7Y W/S0OEOLXwfKnjLaG1F5I694lkFGS6aZ6XurcK0qchfMrewtb8Udra7ANKbfec4w l98saCd8tYJRpLtPSkiWbY8ZoVvdjHlF/gfarLu54MfLNcaoYxqrE/P2AE8qvW5f 5ReKBurTgwT1jBSQ62IL0itd6DdiBj5bTt3Y2mZ2MpA2AB6gj3lHsNuFqoTlVsyF vFn/wWxgRz7ITdMbuHxPHEHCjzLiwEvQCP/5kHlVk8ThyH+m53jVravfU74FA3bi iJvHvSOcvJ/v+nRtXMjTlKOyqVsn8X6toTB3O34eL4q2SpK5TKI17bEp7p5p10JQ 3UMt+BYb+9ls9g9yFhWBD9TQVNiJhy5ZUybnycdBK4cC5XfSszT40sCHdWXvD8du AvmTGsyfUbo= =Dsek -END PGP SIGNATURE- Gracias por contestar. Estoy usando: Squid Cache: Version 3.1.20 Si le pongo la config que me has pasado, me salta un error, no sé si será por la versión de squid, porque uso la 3. [] Restarting Squid HTTP Proxy 3.x: squid32013/05/10 13:08:18| WARNING: (B) '::/0' is a subnetwork of (A) '::/0' 2013/05/10 13:08:18| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable 2013/05/10 13:08:18| WARNING: You should probably remove '::/0' from the ACL named 'all' 2013/05/10 13:08:18| cache_cf.cc(381) parseOneConfigFile: squid.conf:9 unrecognized: 'httpd_accel_port' 2013/05/10 13:08:18| cache_cf.cc(381) parseOneConfigFile: squid.conf:10 unrecognized: 'httpd_accel_with_proxy' failed! Mi config: http_port 3128 transparent cache_mem 100 MB cache_dir ufs /var/spool/squid3 150 16 256 cache_access_log /var/log/squid3/access.log cache_log /var/log/squid3/cache.log acl red_local src 10.100.0.0/16 acl localhost src 127.0.0.1/32 acl all src all httpd_accel_port 80 httpd_accel_with_proxy on http_access allow localhost http_access allow red_local Gracias por contestar. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/08d2f1e89ed83f4febd6f6998b4c9...@maykel.sytes.net
Re: Proxy transparente squid sobre https
El 2013-05-10 13:11, may...@maykel.sytes.net escribió: El 2013-05-09 16:37, Santiago José López Borrazás escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA512 El 09/05/13 16:29, may...@maykel.sytes.net escribió: (...) Tengo configurado squid con la opción de transparent y con iptables redireecciono... sólo me queda el tema de https... me tiene un poco desquiciado jejeje. ¿Has habilitado httpd_accel_port como puerto 80? ¿Y has puesto httpd_accel_with_proxy a on? ¡Revísalo y lo cuentas! - -- Saludos de Santiago José López Borrazás. -BEGIN PGP SIGNATURE- iQIVAwUBUYu0tbuF9/q6J55WAQr79Q//ZIKMi5FE1mLY9aQqpC3M0sRSkPHyRIHL Jg+kFrfz5tw8fwy4PtTUgMgeNEPaqpCXopu5TIERX6phfc4n4ChdxkRXgudUuelj MeVjJg9p+YHTbhfT5BdwILwLgQzhroXO7mu+iU+Adt3w05PbMbqDf/XsswiXdhx+ qVYL43yooojnKyQDVLqVaILepVOJUQhUg9um9Tha8PnyzIJoy4+vehRBX71Y2MSx jID3qdQWSjbRGvN0DzTaOVgNOFR9qS34Sy2pQxWZzsukZpvfDvDNy3KKAEQXjR7Y W/S0OEOLXwfKnjLaG1F5I694lkFGS6aZ6XurcK0qchfMrewtb8Udra7ANKbfec4w l98saCd8tYJRpLtPSkiWbY8ZoVvdjHlF/gfarLu54MfLNcaoYxqrE/P2AE8qvW5f 5ReKBurTgwT1jBSQ62IL0itd6DdiBj5bTt3Y2mZ2MpA2AB6gj3lHsNuFqoTlVsyF vFn/wWxgRz7ITdMbuHxPHEHCjzLiwEvQCP/5kHlVk8ThyH+m53jVravfU74FA3bi iJvHvSOcvJ/v+nRtXMjTlKOyqVsn8X6toTB3O34eL4q2SpK5TKI17bEp7p5p10JQ 3UMt+BYb+9ls9g9yFhWBD9TQVNiJhy5ZUybnycdBK4cC5XfSszT40sCHdWXvD8du AvmTGsyfUbo= =Dsek -END PGP SIGNATURE- Gracias por contestar. Estoy usando: Squid Cache: Version 3.1.20 Si le pongo la config que me has pasado, me salta un error, no sé si será por la versión de squid, porque uso la 3. [] Restarting Squid HTTP Proxy 3.x: squid32013/05/10 13:08:18| WARNING: (B) '::/0' is a subnetwork of (A) '::/0' 2013/05/10 13:08:18| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable 2013/05/10 13:08:18| WARNING: You should probably remove '::/0' from the ACL named 'all' 2013/05/10 13:08:18| cache_cf.cc(381) parseOneConfigFile: squid.conf:9 unrecognized: 'httpd_accel_port' 2013/05/10 13:08:18| cache_cf.cc(381) parseOneConfigFile: squid.conf:10 unrecognized: 'httpd_accel_with_proxy' failed! Mi config: http_port 3128 transparent cache_mem 100 MB cache_dir ufs /var/spool/squid3 150 16 256 cache_access_log /var/log/squid3/access.log cache_log /var/log/squid3/cache.log acl red_local src 10.100.0.0/16 acl localhost src 127.0.0.1/32 acl all src all httpd_accel_port 80 httpd_accel_with_proxy on http_access allow localhost http_access allow red_local Gracias por contestar. Saludos. Ya lo he solucionado. Para quien le interese, he agregado estas dos lineas a squid.conf: acl https port 443 http_access allow https -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7a65c22c2431bf056937a6c9697dd...@maykel.sytes.net
Re: Proxy transparente squid sobre https
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 El 10/05/13 13:11, may...@maykel.sytes.net escribió: (...) [] Restarting Squid HTTP Proxy 3.x: squid32013/05/10 13:08:18| WARNING: (B) '::/0' is a subnetwork of (A) '::/0' 2013/05/10 13:08:18| WARNING: because of this '::/0' is ignored to keep splay tree searching predictable No se ha de poner '::/0'. Al menos es lo que me consta. 2013/05/10 13:08:18| WARNING: You should probably remove '::/0' from the ACL named 'all' Te sugiere que probablemente lo tengas que quitar. 2013/05/10 13:08:18| cache_cf.cc(381) parseOneConfigFile: squid.conf:9 unrecognized: 'httpd_accel_port' Actualmente, en el 3.1 no es necesario ya. Te doy este enlace que especifica muy bien un proxy transparente: http://www.lesismore.co.za/squid3.html 2013/05/10 13:08:18| cache_cf.cc(381) parseOneConfigFile: squid.conf:10 unrecognized: 'httpd_accel_with_proxy' failed! Tampoco es eso. Revisa el enlace que te he puesto arriba mismo. Mi config: http_port 3128 transparent cache_mem 100 MB Pónlo a 128 MB. cache_dir ufs /var/spool/squid3 150 16 256 Si no quieres tener tantos directorios (que por cierto, redunda mucho y ralentiza más Squid), pues reduce no sólo los directorios padres y subdirectorios. Recomiendo por lo menos, 4 y, nunca dentro de ellos, más allá de los 64 cada uno. Es decir: cache_dir ufs /var/spool/squid3 150 4 64 (...) acl all src all Ojo con eso... httpd_accel_port 80 httpd_accel_with_proxy on http_access allow localhost http_access allow red_local Revisa lo que te he dado del enlace arriba mencionado: http://www.lesismore.co.za/squid3.html Gracias por contestar. De nada. Yo tengo un Squid, pero está perfectamente configurado e internamente bien. - -- Saludos de Santiago José López Borrazás. -BEGIN PGP SIGNATURE- iQIVAwUBUYzw4ruF9/q6J55WAQribhAAncD/CDXu4XMky9zsD9aiK98ZDeB7Agvh YJOPy0FU/eJOMAecbTtm4r0XnhsfoYi7+VoTX8c3pUU89JdyyghSMkTJV9iDjEx7 z36Lrh/equ+BxMQffjUvN+IuiFpy2dO+oanvd8nBPEu94sTrkw1R1Ve3DhGEk8+q /0NSUBdIMPoTl0jLELQEZpc3LUzvoVbaC1wUlvKxvY4xwHtwvDVMlSMObaVOy8vz PS+ddBQtCEqoJiAe+09MqS3KMnOvkONFxkn4lDBc7tAkWE9nRkJnWqtT2f9Gcd12 GABtjpzm+48u+SD6bJBaAJFXrtoTGtzKw8Hb1Nsb3A0kHBDgX97EB6vpQ4LX9b7M 8BiYAgo54uAEXCEXBVJqs9JaRSfw5VY9QR1xIslsMYtcYvgdT0kP+xtVRRCY9XeO de4vYAlbzA+SL/znDSxlYRBE2qCvFwOvgD+IAL18kORQXT5EkYNRiHlLAk9uNzpo m0KPrBgxn8ium97NiXbYvhNThzxwVpWCefbeHQq+97hWAgUV+msMN16AVjL/62Rm +nm0GnxoMYqw5tHC3QfgJg958ZFVu+gL89tvCDWNyaNXfNKtW+O0BBfEKvcOHUcz w2ukU9bwgzDUZT2F36BfncoJknqaHruMBnyDWP9oGm/syitD7Nk4gJLTeOdNN9K7 zvbpltpvfck= =n/Ik -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/518cf0e2.4030...@sjlopezb.yahoo.es
Re: Proxy transparente squid sobre https
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 El 10/05/13 14:27, may...@maykel.sytes.net escribió: Ya lo he solucionado. Para quien le interese, he agregado estas dos lineas a squid.conf: acl https port 443 http_access allow https Oks... - -- Saludos de Santiago José López Borrazás. -BEGIN PGP SIGNATURE- iQIVAwUBUYzxLLuF9/q6J55WAQqddg/9ENBd71mqsv4Y/+AAbQFhrQ8+AMcZFXf4 T9TO6NJkX1ca4G/tFfrK9IsfBO5wC+supXjdpt6y+RLIOgExBfXDpt2bxeom5pGa efi8kI3YIapr+2LAjJjfyuC5eHaY2KlLAc4Q0gNedt7cNYTv0LGVmUsaum3cfAx1 G+SWDyhsysO4rpI1l11xy+GGcrSdUBTo39h2CIngmUr/sZFUg2T0MBzsVWOYERB9 xjeVMrusNTtjy02OXuB7C68UVz+aZMPe8bUNKTtqNfCU6xP5ZkFl0mEYNMTydsB4 jJvYGypx1qpOUDtdOd7GHzt+9C/oxa+1u579Wm4KeXNyBcp5YeFPc0PQJI6MINR2 UJksNHWe9XkfH4eKP4TploLw0noo0U5oOA/j6gHh4ataRwGsFbdtEL/c39UMvLdz x4JIsI3lFH51/LmB/cmPFQmpmIAiT+i7gCz8kBEIKa/XjaV2SD+lcguaIOuLCdiQ ptAGcmMFEgR94DzpvZ+njIjBYE9aywO5YLlWcoVRtXLq0afLJFWf/x9cgy1ut9KV NKtTeQxw3xaZyEul3z4D3HMcwmmIQOtRitoquJ3DRI7eH+uhseaRhJkinGYPUCtP uuEh6xIR7J3ZtdOZzCADttfmrZFsuINGP7WThOiianp+9kpNiBTmEH9003iv1I3Y 8G0G7txQ4qE= =lIyx -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/518cf12d.3060...@sjlopezb.yahoo.es
Re: Proxy transparente squid sobre https
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 El 09/05/13 16:29, may...@maykel.sytes.net escribió: (...) Tengo configurado squid con la opción de transparent y con iptables redireecciono... sólo me queda el tema de https... me tiene un poco desquiciado jejeje. ¿Has habilitado httpd_accel_port como puerto 80? ¿Y has puesto httpd_accel_with_proxy a on? ¡Revísalo y lo cuentas! - -- Saludos de Santiago José López Borrazás. -BEGIN PGP SIGNATURE- iQIVAwUBUYu0tbuF9/q6J55WAQr79Q//ZIKMi5FE1mLY9aQqpC3M0sRSkPHyRIHL Jg+kFrfz5tw8fwy4PtTUgMgeNEPaqpCXopu5TIERX6phfc4n4ChdxkRXgudUuelj MeVjJg9p+YHTbhfT5BdwILwLgQzhroXO7mu+iU+Adt3w05PbMbqDf/XsswiXdhx+ qVYL43yooojnKyQDVLqVaILepVOJUQhUg9um9Tha8PnyzIJoy4+vehRBX71Y2MSx jID3qdQWSjbRGvN0DzTaOVgNOFR9qS34Sy2pQxWZzsukZpvfDvDNy3KKAEQXjR7Y W/S0OEOLXwfKnjLaG1F5I694lkFGS6aZ6XurcK0qchfMrewtb8Udra7ANKbfec4w l98saCd8tYJRpLtPSkiWbY8ZoVvdjHlF/gfarLu54MfLNcaoYxqrE/P2AE8qvW5f 5ReKBurTgwT1jBSQ62IL0itd6DdiBj5bTt3Y2mZ2MpA2AB6gj3lHsNuFqoTlVsyF vFn/wWxgRz7ITdMbuHxPHEHCjzLiwEvQCP/5kHlVk8ThyH+m53jVravfU74FA3bi iJvHvSOcvJ/v+nRtXMjTlKOyqVsn8X6toTB3O34eL4q2SpK5TKI17bEp7p5p10JQ 3UMt+BYb+9ls9g9yFhWBD9TQVNiJhy5ZUybnycdBK4cC5XfSszT40sCHdWXvD8du AvmTGsyfUbo= =Dsek -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/518bb4b6.5050...@sjlopezb.yahoo.es
Re: Re: Proxy transparente falla parcialmente con algunos equipos
Necesito ponerme en contacto con Ernesto Miguel Yrigoyen (yrigoyenerne...@yahoo.co.uk) URGENTE!!! Sent from my iPhone -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/7b3528d9-d34f-4409-a38d-4618a65fe...@ymail.com
.[RESUELTO] Re: Proxy transparente falla parcialmente con algunos equipos
El 16 de febrero de 2011 07:08, Federico Alberto Sayd fs...@uncu.edu.arescribió: El 15/02/11 18:40, kazabe escribió: holas. he montado para una pequeña red un proxy con control de contenidos. Antes simplemente salian todos a internet haciendo nat, pero he puesto dansguardian y squid para tratar de controlar un poco el acceso. He creado la respectiva regla de iptables para crear el proxy transparente, reenviando todo lo que busque el puerto 80 al puerto 8080 del servidor, donde dansguardian esta escuchando peticiones. Practicamente todo funciona bien, excepto por 5 maquinas (de las 30 en total) que tienen problemas de navegacion con ciertos sitios (el webmail del isp, teamviewer y otros). El resto de las maquinas funcionan acceden a internet sin problemas con el proxy transparente, pero estas puntualmente solo pueden navegar de manera parcial. He descartado problemas de DNS y realizado el mantenimiento clasico de windows (reinstalar explorer, borrar temporales, inclusive se instalo firefox) pero con esos equipos la cosa sigue igual. Debido a que solo sucede con algunos, no se por donde revizar, ya que si los demas pueden navegar sin problemas, asumo que el proxy esta funcionando correctamente. Algunos de ustedes ha tenido un problema similar? gracias de antemano por su colaboracion saludos «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein Recuerda que no puedes hacer pasar por el proxy transparente las conexiones seguras (https), en ese caso tienes que natear obligadamente. Fijate si las máquinas que mencionas no tratan de conectarse en modo seguro. Bueno. El problema estuvo fue con el antivirus. Trendmicro tiene una funcionalidad que aparentemente evalua la navegacion, y en algunos casos no le gusta que usen proxy transparente. Desactivamos ese modulo del antivirus, y vivieron felices para siempre. saludos y muchas gracias «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein
Re: Proxy transparente falla parcialmente con algunos equipos
El día 15 de febrero de 2011 22:22, kazabe kaz...@gmail.com escribió: El 15 de febrero de 2011 17:09, Alberto Corona helio...@gmail.com escribió: El día 15 de febrero de 2011 15:40, kazabe kaz...@gmail.com escribió: holas. he montado para una pequeña red un proxy con control de contenidos. Antes simplemente salian todos a internet haciendo nat, pero he puesto dansguardian y squid para tratar de controlar un poco el acceso. He creado la respectiva regla de iptables para crear el proxy transparente, reenviando todo lo que busque el puerto 80 al puerto 8080 del servidor, donde dansguardian esta escuchando peticiones. Practicamente todo funciona bien, excepto por 5 maquinas (de las 30 en total) que tienen problemas de navegacion con ciertos sitios (el webmail del isp, teamviewer y otros). El resto de las maquinas funcionan acceden a internet sin problemas con el proxy transparente, pero estas puntualmente solo pueden navegar de manera parcial. He descartado problemas de DNS y realizado el mantenimiento clasico de windows (reinstalar explorer, borrar temporales, inclusive se instalo firefox) pero con esos equipos la cosa sigue igual. Debido a que solo sucede con algunos, no se por donde revizar, ya que si los demas pueden navegar sin problemas, asumo que el proxy esta funcionando correctamente. Algunos de ustedes ha tenido un problema similar? gracias de antemano por su colaboracion saludos «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein hola quiero ayudarte como sabes que esas maquinas no estan pasando por el proxy lo probaste con iptraf o alguna otra herramienta si entras a la pagina http://www.whatismyip.com/ te dice algo parecido a esto Hola. Todas las maquinas que estan navegando pasan por el proxy, pues puedo auditar los logs sin problemas. Esas maquinas en particular simplemente se comportan como si con ciertos sitios no tuvieran acceso a internet. No aparece error generado por el proxy, ni por dansguardian, ni nada; simplemente El navegador no puede encontrar el sitio. Lo que estoy notando es que el antivirus si aparece conectandose desde esas maquinas a internet. Segun los logs, desde esas maquinas practicamente lo unico que navega permanentemente es el antivirus. Voy a descartar por ese lado. Saludos. «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein Hago las siguientes preguntas: 1- ¿Verificastes que los dns en las maquinas esten bien definidas? 2- ¿Limpiastes la cache de las maquinas?. Si son windows puedes hacerlo con ipconfig /flushdns y luego debes reiniciar. 3- ¿Te sucede con más de un navegador, es decir, has probado con IE y firefox o Chrome? Creo que no me queda nada más que preguntar como para ayudarte pues si dices que en otros equipos funciona sin problemas y en estos equiops también te funciona pero pasa que con algunos sitios no por que no logra cargar, tendrias que ver lo que te dije. Saludos Cordiales. -- Roberto Quiñones Owner - Service Manager and System ACShell.NET – Internet Services robe...@acshell.net - www.acshell.net San Martin #311 Santiago – CL (Chile) +560981361713 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=S4OaKZXV52vHU+Owcx60=2ljahytmjdzjo...@mail.gmail.com
Re: Proxy transparente falla parcialmente con algunos equipos
El 15/02/11 18:40, kazabe escribió: holas. he montado para una pequeña red un proxy con control de contenidos. Antes simplemente salian todos a internet haciendo nat, pero he puesto dansguardian y squid para tratar de controlar un poco el acceso. He creado la respectiva regla de iptables para crear el proxy transparente, reenviando todo lo que busque el puerto 80 al puerto 8080 del servidor, donde dansguardian esta escuchando peticiones. Practicamente todo funciona bien, excepto por 5 maquinas (de las 30 en total) que tienen problemas de navegacion con ciertos sitios (el webmail del isp, teamviewer y otros). El resto de las maquinas funcionan acceden a internet sin problemas con el proxy transparente, pero estas puntualmente solo pueden navegar de manera parcial. He descartado problemas de DNS y realizado el mantenimiento clasico de windows (reinstalar explorer, borrar temporales, inclusive se instalo firefox) pero con esos equipos la cosa sigue igual. Debido a que solo sucede con algunos, no se por donde revizar, ya que si los demas pueden navegar sin problemas, asumo que el proxy esta funcionando correctamente. Algunos de ustedes ha tenido un problema similar? gracias de antemano por su colaboracion saludos «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein Recuerda que no puedes hacer pasar por el proxy transparente las conexiones seguras (https), en ese caso tienes que natear obligadamente. Fijate si las máquinas que mencionas no tratan de conectarse en modo seguro. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d5bbe20.5070...@uncu.edu.ar
Re: Proxy transparente falla parcialmente con algunos equipos
El día 15 de febrero de 2011 15:40, kazabe kaz...@gmail.com escribió: holas. he montado para una pequeña red un proxy con control de contenidos. Antes simplemente salian todos a internet haciendo nat, pero he puesto dansguardian y squid para tratar de controlar un poco el acceso. He creado la respectiva regla de iptables para crear el proxy transparente, reenviando todo lo que busque el puerto 80 al puerto 8080 del servidor, donde dansguardian esta escuchando peticiones. Practicamente todo funciona bien, excepto por 5 maquinas (de las 30 en total) que tienen problemas de navegacion con ciertos sitios (el webmail del isp, teamviewer y otros). El resto de las maquinas funcionan acceden a internet sin problemas con el proxy transparente, pero estas puntualmente solo pueden navegar de manera parcial. He descartado problemas de DNS y realizado el mantenimiento clasico de windows (reinstalar explorer, borrar temporales, inclusive se instalo firefox) pero con esos equipos la cosa sigue igual. Debido a que solo sucede con algunos, no se por donde revizar, ya que si los demas pueden navegar sin problemas, asumo que el proxy esta funcionando correctamente. Algunos de ustedes ha tenido un problema similar? gracias de antemano por su colaboracion saludos «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein hola quiero ayudarte como sabes que esas maquinas no estan pasando por el proxy lo probaste con iptraf o alguna otra herramienta si entras a la pagina http://www.whatismyip.com/ te dice algo parecido a esto our IP Address Is: 199.90.111.172 Possible Proxy Detected: 1.1 (squid/2.7.STABLE3) saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/AANLkTi=W1Hkj3sK-erih5grg9-MìxHz=kiim9bd...@mail.gmail.com
Re: Proxy transparente falla parcialmente con algunos equipos
El 15 de febrero de 2011 17:09, Alberto Corona helio...@gmail.comescribió: El día 15 de febrero de 2011 15:40, kazabe kaz...@gmail.com escribió: holas. he montado para una pequeña red un proxy con control de contenidos. Antes simplemente salian todos a internet haciendo nat, pero he puesto dansguardian y squid para tratar de controlar un poco el acceso. He creado la respectiva regla de iptables para crear el proxy transparente, reenviando todo lo que busque el puerto 80 al puerto 8080 del servidor, donde dansguardian esta escuchando peticiones. Practicamente todo funciona bien, excepto por 5 maquinas (de las 30 en total) que tienen problemas de navegacion con ciertos sitios (el webmail del isp, teamviewer y otros). El resto de las maquinas funcionan acceden a internet sin problemas con el proxy transparente, pero estas puntualmente solo pueden navegar de manera parcial. He descartado problemas de DNS y realizado el mantenimiento clasico de windows (reinstalar explorer, borrar temporales, inclusive se instalo firefox) pero con esos equipos la cosa sigue igual. Debido a que solo sucede con algunos, no se por donde revizar, ya que si los demas pueden navegar sin problemas, asumo que el proxy esta funcionando correctamente. Algunos de ustedes ha tenido un problema similar? gracias de antemano por su colaboracion saludos «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein hola quiero ayudarte como sabes que esas maquinas no estan pasando por el proxy lo probaste con iptraf o alguna otra herramienta si entras a la pagina http://www.whatismyip.com/ te dice algo parecido a esto Hola. Todas las maquinas que estan navegando pasan por el proxy, pues puedo auditar los logs sin problemas. Esas maquinas en particular simplemente se comportan como si con ciertos sitios no tuvieran acceso a internet. No aparece error generado por el proxy, ni por dansguardian, ni nada; simplemente El navegador no puede encontrar el sitio. Lo que estoy notando es que el antivirus si aparece conectandose desde esas maquinas a internet. Segun los logs, desde esas maquinas practicamente lo unico que navega permanentemente es el antivirus. Voy a descartar por ese lado. Saludos. «Existen dos cosas infinitas: el universo y la estupidez humana... y no estoy muy seguro de la primera» : Albert Einstein
Re: proxy transparente (squid 3) y SSL
William Alexander Brito Viñas escribió: SITUACIÓN ACTUAL: 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) redirigido todo el trafico del puerto 80 al 3128 2- Cantidad de usuarios navegando a traves del proxy: desconocida. OBJETIVOS: 1- Tener los logs de squid completos para su analisis. 2- Utilizar ACL para potencialmente controlar el acceso. PROBLEMA: 1- Páginas HTTPS (puerto 443). SOLUCIONES: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. Duda: los usuarios que tengan configurada su pagina de inicio por ejemplo al login de yahoo no veran esa página, ademas algunos de estos usuarios (generalmente los que se conectan via wireless a la red) despues se conectan a otras redes (las de sus casas, etc) si ya es un problema explicarles como se configura un navegador para que use un proxy este otro inconveniente es serio ya que en esas otras locaciones, comumente no solo ellos son usarios del equipo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? A todos GRACIAS MUCHAS por su tiempo. Connect to the next generation of MSN Messenger Get it now! http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-ussource=wlmailtagline Mirate la directiva ssl_bump de Squid. Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando un poco vi que se le llama squid-in-the-middle y significa que en vez de ver los certificados de los sitios seguros a los que te conectas, recibes el certificado de squid y por lo tanto lo tienes que aceptar. Squid es el que se encarga de verificar el certificado del sitio al que te conectas, y establecer el canal seguro, pero puede pasar que el certificado no sea valido o sea autofirmado, allí tienes que empezar a poner acl's para indicar como debe comportarse squid. Ten en cuenta que si lo configuras mal puede suponer un riesgo de seguridad. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bcf155e.7040...@uncu.edu.ar
Re: proxy transparente (squid 3) y SSL
Federico Alberto Sayd escribió: William Alexander Brito Viñas escribió: SITUACIÓN ACTUAL: 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) redirigido todo el trafico del puerto 80 al 3128 2- Cantidad de usuarios navegando a traves del proxy: desconocida. OBJETIVOS: 1- Tener los logs de squid completos para su analisis. 2- Utilizar ACL para potencialmente controlar el acceso. PROBLEMA: 1- Páginas HTTPS (puerto 443). SOLUCIONES: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. Duda: los usuarios que tengan configurada su pagina de inicio por ejemplo al login de yahoo no veran esa página, ademas algunos de estos usuarios (generalmente los que se conectan via wireless a la red) despues se conectan a otras redes (las de sus casas, etc) si ya es un problema explicarles como se configura un navegador para que use un proxy este otro inconveniente es serio ya que en esas otras locaciones, comumente no solo ellos son usarios del equipo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? A todos GRACIAS MUCHAS por su tiempo. Connect to the next generation of MSN Messenger Get it now! http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-ussource=wlmailtagline Mirate la directiva ssl_bump de Squid. Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando un poco vi que se le llama squid-in-the-middle y significa que en vez de ver los certificados de los sitios seguros a los que te conectas, recibes el certificado de squid y por lo tanto lo tienes que aceptar. Squid es el que se encarga de verificar el certificado del sitio al que te conectas, y establecer el canal seguro, pero puede pasar que el certificado no sea valido o sea autofirmado, allí tienes que empezar a poner acl's para indicar como debe comportarse squid. Ten en cuenta que si lo configuras mal puede suponer un riesgo de seguridad. Saludos Me olvidé de algunos links: http://www.eu.squid-cache.org/mail-archive/squid-users/200910/0125.html http://wiki.squid-cache.org/Features/SslBump Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bcf1605.5000...@uncu.edu.ar
Re: proxy transparente (squid 3) y SSL
El Wed, 21 Apr 2010 12:13:09 -0300 Federico Alberto Sayd fs...@uncu.edu.ar escribió: Federico Alberto Sayd escribió: William Alexander Brito Viñas escribió: SITUACIÓN ACTUAL: 1- Debian Leny + Squid 3.0 (transparente, puerto 3128) redirigido todo el trafico del puerto 80 al 3128 2- Cantidad de usuarios navegando a traves del proxy: desconocida. OBJETIVOS: 1- Tener los logs de squid completos para su analisis. 2- Utilizar ACL para potencialmente controlar el acceso. PROBLEMA: 1- Páginas HTTPS (puerto 443). SOLUCIONES: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. Duda: los usuarios que tengan configurada su pagina de inicio por ejemplo al login de yahoo no veran esa página, ademas algunos de estos usuarios (generalmente los que se conectan via wireless a la red) despues se conectan a otras redes (las de sus casas, etc) si ya es un problema explicarles como se configura un navegador para que use un proxy este otro inconveniente es serio ya que en esas otras locaciones, comumente no solo ellos son usarios del equipo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? A todos GRACIAS MUCHAS por su tiempo. Connect to the next generation of MSN Messenger Get it now! http://imagine-msn.com/messenger/launch80/default.aspx?locale=en-ussource=wlmailtagline Mirate la directiva ssl_bump de Squid. Yo tampoco sabía que ya había soporte para SSL en Squid 3 mirando un poco vi que se le llama squid-in-the-middle y significa que en vez de ver los certificados de los sitios seguros a los que te conectas, recibes el certificado de squid y por lo tanto lo tienes que aceptar. Squid es el que se encarga de verificar el certificado del sitio al que te conectas, y establecer el canal seguro, pero puede pasar que el certificado no sea valido o sea autofirmado, allí tienes que empezar a poner acl's para indicar como debe comportarse squid. Ten en cuenta que si lo configuras mal puede suponer un riesgo de seguridad. Saludos Me olvidé de algunos links: http://www.eu.squid-cache.org/mail-archive/squid-users/200910/0125.html http://wiki.squid-cache.org/Features/SslBump Saludos Pero así el proxy desencriptaría la transmisión y la volvería a encriptar, no? Es decir, que si por un casual logran entrar en tu proxy, pueden ver todo el tráfico, incluido contraseñas de bancos, documentación personal, etc O lo estoy entendiendo yo mal? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100421171811.29841...@multimensaje.es
Re: proxy transparente (squid 3) y SSL
El mié, 21-04-2010 a las 17:18 +0200, Pedro M. López escribió: Pero así el proxy desencriptaría la transmisión y la volvería a encriptar, no? Es decir, que si por un casual logran entrar en tu proxy, pueden ver todo el tráfico, incluido contraseñas de bancos, documentación personal, etc O lo estoy entendiendo yo mal? Si es tal y como lo han explicado pues si, un hombre-en-el-medio de libro. Un saludo JulHer signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: proxy transparente (squid 3) y SSL
El mié, 21-04-2010 a las 17:18 +0200, Pedro M. López escribió: Pero asà el proxy desencriptarÃa la transmisión y la volverÃa a encriptar, no? Es decir, que si por un casual logran entrar en tu proxy, pueden ver todo el tráfico, incluido contraseñas de bancos, documentación personal, etc O lo estoy entendiendo yo mal? Si es tal y como lo han explicado pues si, un hombre-en-el-medio de libro. Un saludo JulHer La doc dice lo siguiente: While decrypted, the traffic can be inspected using ICAP O sea que el tráfico desencriptado puede ser inspeccionado usando el protocolo ICAP, que es un protocolo para pasar contenido por servicios dedicados como antivirus, o escaners de malware. Al parecer si no usas ICAP el tráfico no sale sin cifrar fuera de Squid. Por lo que yo veo, no creo que se pueda simplemente esnifear el tráfico con tcpdump, por ejemplo, y ver el tráfico sin cifrar. Todo esto surge de deducir que el descifrado y el cifrado lo hace el mismo proceso de Squid. Pero me imagino que eso no significa que por algún otro método la información pueda ser obtenida. Yo no lo he probado pero la página de la documentación alega que el user agent o sea el navegador seguramente generará una advertencia de un posible ataque man-in-the-middle. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/46d9e6c221e2a22494021d50b121a0e1.squir...@webmail.uncu.edu.ar
Re: proxy transparente (squid 3) y SSL
William Alexander Brito Viñas wrote: 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el trafico del 443 hacia el 3128. Duda: Antes de hacerlo, en una busqueda encuentro con que existen infinidad de paginas donde manifiestan que no es posible utilizar un proxy transparente en conexiones SSL. http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo, es una de estas paginas. ¿Esto significaría que compilar squid no me resolvería nada? Aclaro que estoy tratando de evitar esta solucion en la medida de lo posible. Esa información es vieja, hoy en dia squid sí funciona como https proxy cache, tienes que generar certificados en el propio servidor. 2- Renunciar a proxy transparente y redirigir todo el trafico saliente --dport 80 hacia un web server con una sola pagina en la que indique a los usuarios como configurar opera, firefox, ie8o lo que sea para que usen el proxy. No, hacer eso es cualquier cosa menos efectivo. 3- Enmascarar el trafico del puerto 443 hacia afuera. Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los dos objetivos. Ya lo estas haciendo, porque ahora estas haciendo nat hacia afuera en el puerto 443, cualquier usuario puede poner un ssh externo escuchando en el puerto 443 y túnel mediante navegar de incógnito (lo puedes descubrir mediante las consultas dns). LA PREGUNTA: ¿Qué otra alternativa de solucion se le puede dar esta situacion que por lo demas no debe ser muy fuera de lo común y que satisfaga ambos objetivos? No la hay, si los usuarios especifican en sus browsers que usen tu proxy:3128 para todos los protocolos (ftp, http, https) podrán navegar sin problemas porque squid hace un bypass en el tráfico https. El paquete squid en Debian no esta compilado con soporte ssl, asi que te bajas el source con apt-get source squid y lo compilas y empiezas a probar. Saludos -- La Voluntad es el único motor de nuestros logros. http://ngen.com.ar/blog -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/6122df04692f77bf88527c5b43b10abe.squir...@mail.ngen.com.ar
Re: proxy transparente
2010/2/8 Leonel Hernández Grandela maxpa...@filialfcm.ssp.sld.cu: hola amigos buen dia :) .. como dice el nombre de mi tema pues estoy queriendo implementar un proxy transparente aca en mi trabajo pus tengo usuarios como que de cierta manera inventandome en la red :-P ... lo estoy implemenando con firehol aca muestro como lo tengo . # redirect all tcp/80 requests coming in from eth0 (10.0.0.0/8) to your local web # caching proxy server listening at port 3128 and running as user squid. transparent_proxy 80 3128 proxy inface eth1 src 192.168.1.0/24 asi lo puse en el firehol.conf pero result que cuando un pc hace una peticion en la red usando cualquier navegador web pues claro sin tener configurada la opcion de proxy se supone que el firehol la reenvie esa peticion al puerto 80 al 3128 del mismo equipo .. y no me está andando bien pues el error que obtengo en el acces.log del squid es 1265638591.071 1 192.168.1.1 TCP_DENIED/400 2096 GET error:invalid-request - NONE/- text/html Primero y principal, en squid.conf tienes la acl que habilita a tu red local.? Ej: acl localnet src 192.168.0.0/24 # RFC1918 possible internal network Esta es mi linea en firehol.conf transparent_proxy 80 8080 root proxy inface eth1 src 192.168.0.0/24 Ten en cuenta que alli tengo squid+dansguardian por eso es transparent_proxy para mi no tienes que usar transparent_proxy sino transparent_squid transparent_squid 3128 root proxy squid inface eth1 src 192.168.1.0/24 Los root proxy squid son los users con los que corre squid, no tengo acceso ahora a mi server pero creo que squid no va. Saludos y en el navegador veo algo asi como ...gracias agradeceria culquier tipo de sugerencia o idea ;) ERROR El URL solicitado no se ha podido conseguir Mientras se intentaba procesar la petición: GET / HTTP/1.1 Accept: */* Accept-Language: es Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322) Host: www.google.com Connection: Keep-Alive Cookie: PREF=ID=1e4e7f0a753984e4:U=5a43fbabc2d5acd1:TM=1265482381:LM=1265482386:S=RsDdSIExdHGns8N4; NID=31=WUHAR6fF8SZ7eYeSI-w0RosWLuyw3f7G3UEOKSIVZVMa9Gox1H6uuQtrwwzkgrQMhhUmeWSN0a0I98tH4gAyEVzpW_SOjI4xA3bvM-jFVCAcmrkLccC5pNxyJpTiCJ2F Ha ocurrido el siguiente problema: * *Petición no válida. * Algún aspecto de la petición HTTP no es válido. Posibles problemas: * Falta o es desconocido el método de la petición (no es GET ni POST) * Falta el URL * Falta el identificador HTTP (HTTP/1.0) * La petición es demasiado grande. * Hay caracteres ilegales en el nombre de máquina; el carácter subrayado (_) no está permitido. Generated Mon, 08 Feb 2010 14:20:26 GMT by miproxy.cu (squid/2.7.STABLE3) -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- La Voluntad es el unico motor de nuestros logros Mstaaravin / http://mstaaravin.blogspot.com/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: proxy transparente
El 08/02/2010 11:21, deb...@mstaaravin.com.ar escribió: 2010/2/8 Leonel Hernández Grandelamaxpa...@filialfcm.ssp.sld.cu: hola amigos buen dia :) .. como dice el nombre de mi tema pues estoy queriendo implementar un proxy transparente aca en mi trabajo pus tengo usuarios como que de cierta manera inventandome en la red :-P ... lo estoy implemenando con firehol aca muestro como lo tengo . # redirect all tcp/80 requests coming in from eth0 (10.0.0.0/8) to your local web # caching proxy server listening at port 3128 and running as user squid. transparent_proxy 80 3128 proxy inface eth1 src 192.168.1.0/24 asi lo puse en el firehol.conf pero result que cuando un pc hace una peticion en la red usando cualquier navegador web pues claro sin tener configurada la opcion de proxy se supone que el firehol la reenvie esa peticion al puerto 80 al 3128 del mismo equipo .. y no me está andando bien pues el error que obtengo en el acces.log del squid es 1265638591.071 1 192.168.1.1 TCP_DENIED/400 2096 GET error:invalid-request - NONE/- text/html Primero y principal, en squid.conf tienes la acl que habilita a tu red local.? Ej: acl localnet src 192.168.0.0/24 # RFC1918 possible internal network Esta es mi linea en firehol.conf transparent_proxy 80 8080 root proxy inface eth1 src 192.168.0.0/24 Ten en cuenta que alli tengo squid+dansguardian por eso es transparent_proxy para mi no tienes que usar transparent_proxy sino transparent_squid transparent_squid 3128 root proxy squid inface eth1 src 192.168.1.0/24 Los root proxy squid son los users con los que corre squid, no tengo acceso ahora a mi server pero creo que squid no va. Saludos y en el navegador veo algo asi como ...gracias agradeceria culquier tipo de sugerencia o idea ;) ERROR El URL solicitado no se ha podido conseguir Mientras se intentaba procesar la petición: GET / HTTP/1.1 Accept: */* Accept-Language: es Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322) Host: www.google.com Connection: Keep-Alive Cookie: PREF=ID=1e4e7f0a753984e4:U=5a43fbabc2d5acd1:TM=1265482381:LM=1265482386:S=RsDdSIExdHGns8N4; NID=31=WUHAR6fF8SZ7eYeSI-w0RosWLuyw3f7G3UEOKSIVZVMa9Gox1H6uuQtrwwzkgrQMhhUmeWSN0a0I98tH4gAyEVzpW_SOjI4xA3bvM-jFVCAcmrkLccC5pNxyJpTiCJ2F Ha ocurrido el siguiente problema: * *Petición no válida. * Algún aspecto de la petición HTTP no es válido. Posibles problemas: * Falta o es desconocido el método de la petición (no es GET ni POST) * Falta el URL * Falta el identificador HTTP (HTTP/1.0) * La petición es demasiado grande. * Hay caracteres ilegales en el nombre de máquina; el carácter subrayado (_) no está permitido. Generated Mon, 08 Feb 2010 14:20:26 GMT by miproxy.cu (squid/2.7.STABLE3) -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org gracias por el aporte pues la localnet la permití no la tenia permitida ... aun asi sigo con el mismo problema yt segun la web de el firehol es lo mismo implementar uno que el otro saludos .. *transparent_squid* port user [optional rule parameters] The *transparent_squid* helper sets up trasparent caching for HTTP traffic. It is equivalent to: transparent_proxy http://firehol.sourceforge.net/commands.html#transparent_proxy 80 port user [optional rule parameters] Example 1: *transparent_squid 3128 squid inface eth0 src 10.0.0.0/8* Example 2: *transparent_squid 8080 squid privoxy root bin inface not ppp+ ipsec+ dst not a.not.proxied.server* -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: proxy transparente
2010/2/8 Leonel Hernández Grandela maxpa...@filialfcm.ssp.sld.cu: gracias por el aporte pues la localnet la permití no la tenia permitida ... aun asi sigo con el mismo problema yt segun la web de el firehol es lo mismo implementar uno que el otro saludos .. *transparent_squid* port user [optional rule parameters] The *transparent_squid* helper sets up trasparent caching for HTTP traffic. It is equivalent to: transparent_proxy http://firehol.sourceforge.net/commands.html#transparent_proxy 80 port user [optional rule parameters] Example 1: *transparent_squid 3128 squid inface eth0 src 10.0.0.0/8* Example 2: *transparent_squid 8080 squid privoxy root bin inface not ppp+ ipsec+ dst not a.not.proxied.server* Porque o pones tu /etc/firehol/firehol.conf completo -- La Voluntad es el unico motor de nuestros logros Mstaaravin / http://mstaaravin.blogspot.com/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: proxy transparente
El 08/02/2010 12:45, deb...@mstaaravin.com.ar escribió: 2010/2/8 Leonel Hernández Grandelamaxpa...@filialfcm.ssp.sld.cu: gracias por el aporte pues la localnet la permití no la tenia permitida ... aun asi sigo con el mismo problema yt segun la web de el firehol es lo mismo implementar uno que el otro saludos .. *transparent_squid*port user [optional rule parameters] The *transparent_squid* helper sets up trasparent caching for HTTP traffic. It is equivalent to: transparent_proxy http://firehol.sourceforge.net/commands.html#transparent_proxy 80port user [optional rule parameters] Example 1: *transparent_squid 3128 squid inface eth0 src 10.0.0.0/8* Example 2: *transparent_squid 8080 squid privoxy root bin inface not ppp+ ipsec+ dst not a.not.proxied.server* Porque o pones tu /etc/firehol/firehol.conf completo aki va saludos y gracias aunque pienso que es un error en squid no en firehol saludos ... hay uno comentado y otro descomentado eso s con los testings saludos # redirect all tcp/80 requests coming in from eth0 (10.0.0.0/8) to your local web # caching proxy server listening at port 3128 and running as user squid. transparent_squid 3128 proxy inface eth1 src 192.168.1.0/24 # transparent_proxy 3128 3128 proxy inface eth1 # src 192.168.1.0/24 # Accept all client traffic on any interface #interface any world #client all accept interface eth0 inet policy drop server snmp accept server http accept server icmp accept client all accept group with src 201.200.150.120 server ssh accept group end policy accept router lan2inet inface eth1 outface eth0 masquerade route all accept interface eth1 lan src 192.168.1.0/24 server ssh accept server icmp accept server squid accept server http accept server pop3 accept server imap accept server smtp accept server snmp accept server mysql accept server samba accept server ntp accept client all accept #server custom abrirport udp/123 default accept -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/ -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: proxy transparente
2010/2/8 Leonel Hernández Grandela maxpa...@filialfcm.ssp.sld.cu:
transparent_squid 3128 proxy inface eth1 src 192.168.1.0/24
interface eth0 inet
policy drop
server snmp accept
server http accept
server icmp accept
group with src 201.200.150.120
server ssh accept
group end
client all accept
interface eth1 lan
server all accept
client all accept
router lan2inet inface eth1 outface eth0
masquerade
route all accept
router inet2lan inface eth0 outface eth1
masquerade
route all accept
##
Pruebalo asi por mientras
En interface eth0 inet
Usar el grupo excepto si esa IP es fija si, sino prefiero usar
denyhosts si es una IP dinámica la que tiene que tener acceso ssh.
Siendo asi dejo todo con server ssh accept y manejo la seguridad con denyhosts.
En interface eth1 lan
No hace falta que especifique el src 192.168.1.0/24
Todo en server all accept para evitar problemas por ese lado
Esa configuración es básica y tiene que funcionar.
##
Con:
router lan2inet inface eth1 outface eth0
masquerade
route all accept
Le estas diciendo que todo puede salir, mejor dicho que desde la LAN
se pueden conectar a cualquier puerto de un servidor externo.
###
router lan2inet inface eth1 outface eth0
masquerade
route https accept
route ssh accept
route ftp accept
route icmp accept
Con lo de arriba tu LAN sólo va a poder salir a cualquier host en
internet con los protocolos (https, ftp, ssh, icmp) todo el resto NO
va a poder salir.
###
router lan2inet inface eth1 outface eth0
masquerade
route https accept
route ssh accept dst ${201.200.150.120}
route ftp accept
route icmp accept
Con lo de arriba es igual, excepto que desde tu lan solamente va a
poder salir ssh mediante a lo que especifiques en x.x.x.x tambien
puedes usar variables
###
sshtrust=201.200.150.120 host.no-ip.org host2.dnsalias.com
route ssh accept dst ${sshtrust}
Estas aceptando ssh desde todos los hosts definidos en la variable
sshtrust, yo siempre pongo las variables inmediatamente despues de:
(inicio del firehol.conf)
version 5
--
La Voluntad es el unico motor de nuestros logros
Mstaaravin /
http://mstaaravin.blogspot.com/
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: proxy transparente
Alberto A. Molina M. escribió: Estimados Amigos: Quisiera saber como configurar un proxy transparente con linux, entre un router adsl y un access point. Para Filtrar la Inalámbrica. Saludos -- Alberto Molina Molina Ingeniero (E) Computación e Informática. Linux User #470059 +56 9 96899260 +56 9 62090626 +56 43 237012 Puedes buscar en google squid proxy transparente o squid interception caching Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Proxy Transparente con messenger
Santiago Medina escribió: Hola Salvador Garcia Z. me dice que coloque la linea: ( #We recommend you to use at least the following line. ) La parte de arriba es una linea y la de abajo otra, sin los parentesis ( hierarchy_stoplist cgi-bin ? hotmail.com myspace.com login.live.com mail.live.com ) por la linea 1481 con el signo de michi.. disculap todoe va en una sola linea.. Gracias Franco Get more from your digital life. Find out how. http://www.windowslive.com/default.html?ocid=TXT_TAGLM_WL_Home2_082008 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: proxy transparente + messenger
El Viernes, 26 de Mayo de 2006 15:43, Luciano Andino escribió: gracias por los consejos:-) el primero será que no escribas en HTML. Si leyeras la lista lo sabrías. -- Sólo en el diccionario hay éxito antes que trabajo. Rober Morales Chaparro
Re: proxy transparente
El Lunes, 3 de Abril de 2006 15:01, Antonio Trujillo Carmona escribió: [...] si en el navegador pongo http://10.x.x.x se me conecta bien si en el navegador ponga http://mis no funciona por que pasa por el proxy en lugar de ir directo, parece que los navegadores mandan el nombre en lugar de la ip aunque puedan resolverla. ¿Alguna idea sobre la solución? Se trata de un simple problema de DNS, si para acceder a tus servidores de la intranet usas nombres en vez de IP's (server1 en vez de 10.0.0.1), tendrás que decirle a la máquina con squid donde puede resolver esos nombre ó añadirselos de forma estática en el /etc/hosts Los navegadores envían el nombre aunque puedan resolver la IP, porque así lo dice el estandar de http, sino no se podría usar la capacidad de lo servidores WEB de alojar y servir varios dominios con una misma IP. -- Saludos. Raúl Alexis Betancor Santana Director Gerente Dimensión Virtual S.L.
Re: proxy transparente
El lun, 03-04-2006 a las 16:03 +0100, Raúl Alexis Betancor Santana escribió: El Lunes, 3 de Abril de 2006 15:01, Antonio Trujillo Carmona escribió: [...] si en el navegador pongo http://10.x.x.x se me conecta bien si en el navegador ponga http://mis no funciona por que pasa por el proxy en lugar de ir directo, parece que los navegadores mandan el nombre en lugar de la ip aunque puedan resolverla. ¿Alguna idea sobre la solución? Se trata de un simple problema de DNS, si para acceder a tus servidores de la intranet usas nombres en vez de IP's (server1 en vez de 10.0.0.1), tendrás que decirle a la máquina con squid donde puede resolver esos nombre ó añadirselos de forma estática en el /etc/hosts Los navegadores envían el nombre aunque puedan resolver la IP, porque así lo dice el estandar de http, sino no se podría usar la capacidad de lo servidores WEB de alojar y servir varios dominios con una misma IP. Pero la resolución es correcta, el ping y el telnet funciona bien, el problema esta en que las reglas de iptables/shorewall, que es la siguiente, REDIRECT loc 8080 tcp www - !10.0.0.0 redirige por ip por lo que falla ya que no debería redirigir mis (con ping y telnet no lo hacen), por lo que tu dices (que es correcto) esta regla no sirve para los navegadores, pero no se que regla sería la que filtrara resolviendo la dirección (que el cortafuegos las resuelve sin problemas) antes de tomar la decición sobre si la regla le es aplicable o no -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy transparente
Kiwi B. wrote: Hola amigos He configurado squid de modo transparente pero no esta funcionando de forma transparente. El proxy funciona si en el browser de el cliente configuro el proxy y puerto. De modo transparente me funciona solo si accedo a algun pagina pero usando el IP, al parecer no me esta resolviendo los nombres. He revizado diferentes configuraciones encontradas mediante google y todavia no logro dar con la solucion. Gracias anticipadas. KB envianos tu configuraccion de squid y iptables quitales antes, los comentarios de estos ficheros con # grep -v # /etc/squid.conf squid # grep -v # /tu/script/de/iptables/o/firewall iptables ciao, MaX __ Renovamos el Correo Yahoo! 1GB de capacidad, nuevos servicios y más seguridad http://correo.yahoo.es -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy transparente
El Lunes, 08 de Agosto de 2005 00:54, Kiwi B. escribió: Hola amigos He configurado squid de modo transparente pero no esta funcionando de forma transparente. El proxy funciona si en el browser de el cliente configuro el proxy y puerto. De modo transparente me funciona solo si accedo a algun pagina pero usando el IP, al parecer no me esta resolviendo los nombres. He revizado diferentes configuraciones encontradas mediante google y todavia no logro dar con la solucion. Gracias anticipadas. KB www.linuxparatodos.net tiene un howto de squid donde se explica cómo hacerlo transparente. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED] Public Key ID: 5C990A6C 111C3661 pgpcGX9fwHvhw.pgp Description: PGP signature
Re: Proxy transparente
Hola, gracias por responder Acabo de instalar BIND y en el cliente lo puse como dns primario (solo primario le he puesto). Y ahora si logro navegar en forma transparente. En ninguno de los manuales que encontre me indicaba que debia hacer esto, pero por logica era lo que faltabaal solo poder navegar por IP. Aun sigo preguntandome si me falto configurar algo, porque segun entiendo en el proxy transparente no es necesario configurar loc clientes, en este caso solo tengo un par de clientes y no es problema, pero en el caso de ser una empresa con gran cantidad de estaciones clientes ahi si si ayudaria mucho el no configurar una por una las PC's. Ojala alquien de la lista me pueda ayudar con esta duda: es necesario configurar un DNS interno en la maquina que corre el squid y configurarlo como dns primario en las estaciones para que funcione el proxy transparente? Gracias anticipadas KB El 8/08/05, Marcelo Fernandez[EMAIL PROTECTED] escribió: El Lunes, 08 de Agosto de 2005 00:54, Kiwi B. escribió: Hola amigos He configurado squid de modo transparente pero no esta funcionando de forma transparente. El proxy funciona si en el browser de el cliente configuro el proxy y puerto. De modo transparente me funciona solo si accedo a algun pagina pero usando el IP, al parecer no me esta resolviendo los nombres. He revizado diferentes configuraciones encontradas mediante google y todavia no logro dar con la solucion. Gracias anticipadas. KB www.linuxparatodos.net tiene un howto de squid donde se explica cómo hacerlo transparente. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED] Public Key ID: 5C990A6C 111C3661
Re: Proxy transparente
El Lunes, 08 de Agosto de 2005 18:39, Kiwi B. escribió: Hola, gracias por responder Ojala alquien de la lista me pueda ayudar con esta duda: es necesario configurar un DNS interno en la maquina que corre el squid y configurarlo como dns primario en las estaciones para que funcione el proxy transparente? Gracias anticipadas KB A ver, el servicio de proxy transparente o no no tiene nada que ver con el de resolución de nombres. Es decir, es independiente cómo se manejan los clientes respecto de un servicio con el otro. No hace falta configurar un servidor DNS local, ya que podés configurar tus clientes con los DNS de tu ISP (deberían aparecer en el archivo /etc/resolv.conf de su servidor), y suponiendo que hacés NAT del puerto 53 en tu servidor. Pero estarías en el mismo problema que con el proxy transparente vs. no transparente porque cada PC debería estar configurada para resolver peticiones DNS con el server de tu ISP. Si tu ISP cambia la IP de los DNS, deberías modificar la dirección en cada cliente. Es por eso que es conveniente hacer funcionar tu servidor como servidor DNS también, y configurar esta IP en las clientes como server DNS. Si tu ISP cambia las IP de los DNS, no importa, es sólo un cambio en el /etc/resolv.conf de tu servidor. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED] Public Key ID: 5C990A6C 111C3661 pgpF3WqMYzqdQ.pgp Description: PGP signature
Re: Proxy transparente con NAT y el puerto 443
Holas :-) . Sip, estoy usando squid como proxy, perdonad pero olvidé indicarlo en mi email O:-) El Miércoles, 3 de Noviembre de 2004 18:05, Omar Beltrán escribió: ¿estas usando squid cmo proxy? -Mensaje original- De: Rafael F. Rodríguez [mailto:[EMAIL PROTECTED] Enviado el: Miércoles 3 de Noviembre de 2004 10:28 AM Para: debian-user-spanish@lists.debian.org Asunto: Proxy transparente con NAT y el puerto 443 Hola Lista. Os explico un poco, tengo un equipo que hace de nat y de proxy transparente, el motivo, es facil, tener cachado todas las páginas web de toda la red (casi todos visitan las mismas páginas) y permito además que utilizen otros programas de funciones más específicas (todo el equipo experimenta con diversos software así que tengo que dar libertad a todos). El problema es el siguiente: quise visitar la web de mi banco cuya conexión es https (al puerto 443) y veo que mi proxy ni siquiera se ha enterado, y hasta donde yo sé tiene sentido, ya que para habilitarlo tengo la siguiente linea: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80 -j REDIRECT --to-port 3128. Mi pregunta es: ¿tengo también que indicar la misma línea para todos los demás puertos que pueden usar el proxy como el 443 quedando: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 443 -j REDIRECT --to-port 8080?. Muchas gracias :-)
Re: Proxy transparente con NAT y el puerto 443
Holas :-) . Y tienes toda la razón, pero ocurre una cosa, si en vez de puerta de enlaze, de indico a mi navegador que tiene que salir por el proxy funciona sin problemas. Inicialmente se me ocurrió indicar a los navegados la dirección del proxy además de configurar los equipos con puerta de enlace (trabajo doble), pero no estoy seguro si primero utilizaría el proxy y si no pudiese salir saldría por la puerta de enlace :-? El Miércoles, 3 de Noviembre de 2004 18:16, Emilio Casbas escribió: Rafael F. Rodríguez wrote: Hola Lista. Os explico un poco, tengo un equipo que hace de nat y de proxy transparente, el motivo, es facil, tener cachado todas las páginas web de toda la red (casi todos visitan las mismas páginas) y permito además que utilizen otros programas de funciones más específicas (todo el equipo experimenta con diversos software así que tengo que dar libertad a todos). El problema es el siguiente: quise visitar la web de mi banco cuya conexión es https (al puerto 443) y veo que mi proxy ni siquiera se ha enterado, y hasta donde yo sé tiene sentido, ya que para habilitarlo tengo la siguiente linea: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80 -j REDIRECT --to-port 3128. Mi pregunta es: ¿tengo también que indicar la misma línea para todos los demás puertos que pueden usar el proxy como el 443 quedando: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 443 -j REDIRECT --to-port 8080?. Lo lógico sería poner esto: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80,443 -j REDIRECT --to-port 3128. Pero esta el problema de que el tráfico encriptado no puede ser interceptado, así que no funcionará. Saludos. Emilio C.
Re: Proxy transparente con NAT y el puerto 443
Rafael F. Rodríguez wrote: Holas :-) . Y tienes toda la razón, pero ocurre una cosa, si en vez de puerta de enlaze, de indico a mi navegador que tiene que salir por el proxy funciona sin problemas. Inicialmente se me ocurrió indicar a los navegados la dirección del proxy además de configurar los equipos con puerta de enlace (trabajo doble), pero no estoy seguro si primero utilizaría el proxy y si no pudiese salir saldría por la puerta de enlace :-? El Miércoles, 3 de Noviembre de 2004 18:16, Emilio Casbas escribió: Rafael F. Rodríguez wrote: Hola Lista. Os explico un poco, tengo un equipo que hace de nat y de proxy transparente, el motivo, es facil, tener cachado todas las páginas web de toda la red (casi todos visitan las mismas páginas) y permito además que utilizen otros programas de funciones más específicas (todo el equipo experimenta con diversos software así que tengo que dar libertad a todos). El problema es el siguiente: quise visitar la web de mi banco cuya conexión es https (al puerto 443) y veo que mi proxy ni siquiera se ha enterado, y hasta donde yo sé tiene sentido, ya que para habilitarlo tengo la siguiente linea: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80 -j REDIRECT --to-port 3128. Mi pregunta es: ¿tengo también que indicar la misma línea para todos los demás puertos que pueden usar el proxy como el 443 quedando: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 443 -j REDIRECT --to-port 8080?. Lo lógico sería poner esto: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80,443 -j REDIRECT --to-port 3128. Pero esta el problema de que el tráfico encriptado no puede ser interceptado, así que no funcionará. Saludos. Emilio C. Si le indicas al navegador que utilice proxy, si que va a funcionar porque para las conexiones seguras squid utiliza el metodo HTTP CONNECT, que es un tunel a través del protocolo HTTP, pero como te dije antes, squid no soporta proxy transparente para conexiones seguras. Un saludo. Emilio C.
Re: Proxy transparente con NAT y el puerto 443
Holas :-) . Entiendo, como solución voy a configurar los navegadores con el proxy, y sólo haré NAT a los demás puertos, y se los iré añadiendo a media que los pidan. De esta forma cada navegador tendrán proxy y puerta de enlaces los equipos, ¿o hay alguna solución mejor?. Muchas gracias por vuestra ayuda :-) El Jueves, 4 de Noviembre de 2004 09:28, Emilio Casbas escribió: Rafael F. Rodríguez wrote: Holas :-) . Y tienes toda la razón, pero ocurre una cosa, si en vez de puerta de enlaze, de indico a mi navegador que tiene que salir por el proxy funciona sin problemas. Inicialmente se me ocurrió indicar a los navegados la dirección del proxy además de configurar los equipos con puerta de enlace (trabajo doble), pero no estoy seguro si primero utilizaría el proxy y si no pudiese salir saldría por la puerta de enlace :-? El Miércoles, 3 de Noviembre de 2004 18:16, Emilio Casbas escribió: Rafael F. Rodríguez wrote: Hola Lista. Os explico un poco, tengo un equipo que hace de nat y de proxy transparente, el motivo, es facil, tener cachado todas las páginas web de toda la red (casi todos visitan las mismas páginas) y permito además que utilizen otros programas de funciones más específicas (todo el equipo experimenta con diversos software así que tengo que dar libertad a todos). El problema es el siguiente: quise visitar la web de mi banco cuya conexión es https (al puerto 443) y veo que mi proxy ni siquiera se ha enterado, y hasta donde yo sé tiene sentido, ya que para habilitarlo tengo la siguiente linea: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80 -j REDIRECT --to-port 3128. Mi pregunta es: ¿tengo también que indicar la misma línea para todos los demás puertos que pueden usar el proxy como el 443 quedando: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 443 -j REDIRECT --to-port 8080?. Lo lógico sería poner esto: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80,443 -j REDIRECT --to-port 3128. Pero esta el problema de que el tráfico encriptado no puede ser interceptado, así que no funcionará. Saludos. Emilio C. Si le indicas al navegador que utilice proxy, si que va a funcionar porque para las conexiones seguras squid utiliza el metodo HTTP CONNECT, que es un tunel a través del protocolo HTTP, pero como te dije antes, squid no soporta proxy transparente para conexiones seguras. Un saludo. Emilio C.
RE: Proxy transparente con NAT y el puerto 443
¿estas usando squid cmo proxy? -Mensaje original- De: Rafael F. Rodríguez [mailto:[EMAIL PROTECTED] Enviado el: Miércoles 3 de Noviembre de 2004 10:28 AM Para: debian-user-spanish@lists.debian.org Asunto: Proxy transparente con NAT y el puerto 443 Hola Lista. Os explico un poco, tengo un equipo que hace de nat y de proxy transparente, el motivo, es facil, tener cachado todas las páginas web de toda la red (casi todos visitan las mismas páginas) y permito además que utilizen otros programas de funciones más específicas (todo el equipo experimenta con diversos software así que tengo que dar libertad a todos). El problema es el siguiente: quise visitar la web de mi banco cuya conexión es https (al puerto 443) y veo que mi proxy ni siquiera se ha enterado, y hasta donde yo sé tiene sentido, ya que para habilitarlo tengo la siguiente linea: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80 -j REDIRECT --to-port 3128. Mi pregunta es: ¿tengo también que indicar la misma línea para todos los demás puertos que pueden usar el proxy como el 443 quedando: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 443 -j REDIRECT --to-port 8080?. Muchas gracias :-)
Re: Proxy transparente con NAT y el puerto 443
Rafael F. Rodríguez wrote: Hola Lista. Os explico un poco, tengo un equipo que hace de nat y de proxy transparente, el motivo, es facil, tener cachado todas las páginas web de toda la red (casi todos visitan las mismas páginas) y permito además que utilizen otros programas de funciones más específicas (todo el equipo experimenta con diversos software así que tengo que dar libertad a todos). El problema es el siguiente: quise visitar la web de mi banco cuya conexión es https (al puerto 443) y veo que mi proxy ni siquiera se ha enterado, y hasta donde yo sé tiene sentido, ya que para habilitarlo tengo la siguiente linea: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80 -j REDIRECT --to-port 3128. Mi pregunta es: ¿tengo también que indicar la misma línea para todos los demás puertos que pueden usar el proxy como el 443 quedando: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 443 -j REDIRECT --to-port 8080?. Lo lógico sería poner esto: iptables -t nat -A PREROUTING -s 192.168.1.93 -p tcp --dport 80,443 -j REDIRECT --to-port 3128. Pero esta el problema de que el tráfico encriptado no puede ser interceptado, así que no funcionará. Saludos. Emilio C.
RE: Proxy Transparente
Intenta haberiguar por que puerto intenta conectarse el Kpv si no es el 80 tendras que usar reglas de enrutado y no te servira el squid. Hola... Estaria interesado en saber como se hace esto, necesito que varias maquinas M$ vayan a una determinada red pasando por un proxy. Pretendo hacer la redireccion usando reglas de iptables, pero hasta ahora no he obtenido resultados aceptables. Saludos y gracias de antemano El lun, 13-09-2004 a las 20:24, Diego A. Gomez escribió: Tengo problemas con el Proxy de Squid. Todo funciona muy bien, a excepcin del actualizador del Kaspersky Antivirus (que esta corriendo en las terminales que tienen Windows XP). Cuando el Antivirus intenta conectarce para descargar las actualizaciones me devuelve un error como so no hubiese conexin a Internet, pero el resto de las cosas/aplicaciones funcionan muy bien... Problemas con iptables?? Ideas?? Sugerencias?? Muchas gracias. -- Diego.- ___ Do you Yahoo!? Declare Yourself - Register online to vote today! http://vote.yahoo.com --
Re: Proxy Transparente
Intenta haberiguar por que puerto intenta conectarse el Kpv si no es el 80 tendras que usar reglas de enrutado y no te servira el squid. El lun, 13-09-2004 a las 20:24, Diego A. Gomez escribi: Tengo problemas con el Proxy de Squid. Todo funciona muy bien, a excepcin del actualizador del Kaspersky Antivirus (que esta corriendo en las terminales que tienen Windows XP). Cuando el Antivirus intenta conectarce para descargar las actualizaciones me devuelve un error como so no hubiese conexin a Internet, pero el resto de las cosas/aplicaciones funcionan muy bien... Problemas con iptables?? Ideas?? Sugerencias?? Muchas gracias. -- Diego.- ___ Do you Yahoo!? Declare Yourself - Register online to vote today! http://vote.yahoo.com --
Re: Proxy Transparente
Gracias por vuestra ayuda, pero unicamente dispongo de una targeta de red en este pc que esta conectada directamente al router. Es unicamente para bloquearle ciertas paginas al usuario de la maquina. cuando digo que no me funciona el proxy, es que no me filtra las paginas que tengo denegadas en el mismo por ejemplo, si pongo en el konqueror que vaya a trabes del proxy (localhost puerto 3128), colocadolo en la configuracin del mismo, me filtra las paginas. Lo se porque tengo un listado de url's de acceso denegado. Ahora, si activo la instruccin de iptables ((iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128) y elimino la configuracin del proxy en el konqueror, estas paginas bloquedas por el proxy ahora si se pueden visualizar, por eso creo que no pasa por el proxy. En el kernel (2.4.26... tambien he probado con el 2.6.6) tengo habilitado: Network packet filtering (replaces ipchains) y como modulo, tengo en IP: Netfilter Configuration: M Connection tracking (required for masq/NAT) M FTP protocol support M Amanda protocol support M TFTP protocol support M IRC protocol support M IP tables support (required for filtering/masq/NAT) M limit match support M MAC address match support M Packet type match support M netfilter MARK match support M Multiple port match support M TOS match support M recent match support M ECN match support M DSCP match support M AH/ESP match support M LENGTH match support M TTL match support M tcpmss match support M Helper match support M Connection state match support M Connection tracking match support M Packet filtering M REJECT target support M Full NAT M MASQUERADE target support M REDIRECT target support [*] NAT of local connections (READ HELP) M Packet mangling M TOS target support M ECN target support M DSCP target support M MARK target support M LOG target support M ULOG target support M TCPMSS target support M ARP tables support M ARP packet filtering M ARP payload mangling Creo que tengo mas de lo necesario... pero... Agredezco cualquier ayuda... Saludos a todos El Lunes, 14 de Junio de 2004 13:20, Alberto Molina Coballes escribi: El lun, 14-06-2004 a las 11:17, [EMAIL PROTECTED] escribi: Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado quizs debas aadir el interfaz de red (p.ej. -i eth1) Deberas hacer: iptables -t nat -L -n para las reglas de la tabla nat Una cosa, cuando dices que no te funciona el proxy, qu quieres decir? que salen directamente a internet los clientes o que no te permite acceder el proxy. -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com
Re: Proxy Transparente
Gracias por vuestra ayuda, pero unicamente dispongo de una targeta de red en este pc que esta conectada directamente al router. Es unicamente para bloquearle ciertas paginas al usuario de la maquina. cuando digo que no me funciona el proxy, es que no me filtra las paginas que tengo denegadas en el mismo por ejemplo, si pongo en el konqueror que vaya a trabes del proxy (localhost puerto 3128), colocadolo en la configuracin del mismo, me filtra las paginas. Lo se porque tengo un listado de url's de acceso denegado. Ahora, si activo la instruccin de iptables ((iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128) y elimino la configuracin del proxy en el konqueror, estas paginas bloquedas por el proxy ahora si se pueden visualizar, por eso creo que no pasa por el proxy. En el kernel (2.4.26... tambien he probado con el 2.6.6) tengo habilitado: Network packet filtering (replaces ipchains) y como modulo, tengo en IP: Netfilter Configuration: M Connection tracking (required for masq/NAT) M FTP protocol support M Amanda protocol support M TFTP protocol support M IRC protocol support M IP tables support (required for filtering/masq/NAT) M limit match support M MAC address match support M Packet type match support M netfilter MARK match support M Multiple port match support M TOS match support M recent match support M ECN match support M DSCP match support M AH/ESP match support M LENGTH match support M TTL match support M tcpmss match support M Helper match support M Connection state match support M Connection tracking match support M Packet filtering M REJECT target support M Full NAT M MASQUERADE target support M REDIRECT target support [*] NAT of local connections (READ HELP) M Packet mangling M TOS target support M ECN target support M DSCP target support M MARK target support M LOG target support M ULOG target support M TCPMSS target support M ARP tables support M ARP packet filtering M ARP payload mangling Creo que tengo mas de lo necesario... pero... Agredezco cualquier ayuda... Saludos a todos El Lunes, 14 de Junio de 2004 13:20, Alberto Molina Coballes escribi: El lun, 14-06-2004 a las 11:17, [EMAIL PROTECTED] escribi: Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado quizs debas aadir el interfaz de red (p.ej. -i eth1) Deberas hacer: iptables -t nat -L -n para las reglas de la tabla nat Una cosa, cuando dices que no te funciona el proxy, qu quieres decir? que salen directamente a internet los clientes o que no te permite acceder el proxy. -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com
Re: Proxy Transparente
Mensaje citado por [EMAIL PROTECTED]: Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado No se que estoy haciendo mal o que me dejo... Te agradeceria si me puedes ayudar Saludos El Domingo, 13 de Junio de 2004 17:15, Antonio Lemus escribió: Mensaje citado por [EMAIL PROTECTED]: Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. Gracias por la ayuda prestada. Saludos a todos -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com Tienes que tambián editar el squid con unas lineas. Estás son: httpd_accel_host virtual httpd_accel_port 80 Las que tienes que poner tal cuál Estan en la sección: # HTTPD-ACCELERATOR OPTIONS # --- -- # TAG: httpd_accel_host # TAG: httpd_accel_port # If you want to run Squid as an httpd accelerator, define the # host name and port number where the real HTTP server is. # # If you want virtual host support then specify the hostname # as virtual. # # NOTE: enabling httpd_accel_host disables proxy-caching and # ICP. If you want these features enabled also, then set # the 'httpd_accel_with_proxy' option. # #httpd_accel_host hostname #httpd_accel_port port Cambias nada mas hostame y puerto por lo que te puse. Saludos lista. - A world inside the computer where man has never been. Antonio Lemus - --- -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com Tienes compilado como módulo o es parte del kernel. Si es como módulo si esta dado de alta el REDIRECT? - A world inside the computer where man has never been. Antonio Lemus - ---
Re: Proxy Transparente
M Te mando las reglas porque tu regla esta rara. Yo tengo una regla para el NAT y otra para el redirect. iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/255.255.255.0 -j MASQUERADE Cambias la red por la tuya para el redirect iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 Con esta tiene que dejarte cambias el eth1 por la interfaz de entrada. Saludos. Mensaje citado por LWP [EMAIL PROTECTED]: Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado No se que estoy haciendo mal o que me dejo... Te agradeceria si me puedes ayudar Saludos El Domingo, 13 de Junio de 2004 17:15, Antonio Lemus escribió: Mensaje citado por [EMAIL PROTECTED]: Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. Gracias por la ayuda prestada. Saludos a todos -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com Tienes que tambián editar el squid con unas lineas. Estás son: httpd_accel_host virtual httpd_accel_port 80 Las que tienes que poner tal cuál Estan en la sección: # HTTPD-ACCELERATOR OPTIONS # --- -- # TAG: httpd_accel_host # TAG: httpd_accel_port # If you want to run Squid as an httpd accelerator, define the # host name and port number where the real HTTP server is. # # If you want virtual host support then specify the hostname # as virtual. # # NOTE: enabling httpd_accel_host disables proxy-caching and # ICP. If you want these features enabled also, then set # the 'httpd_accel_with_proxy' option. # #httpd_accel_host hostname #httpd_accel_port port Cambias nada mas hostame y puerto por lo que te puse. Saludos lista. - A world inside the computer where man has never been. Antonio Lemus - --- -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com - A world inside the computer where man has never been. Antonio Lemus - ---
Re: Proxy Transparente
Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado No se que estoy haciendo mal o que me dejo... Te agradeceria si me puedes ayudar Saludos El Domingo, 13 de Junio de 2004 17:15, Antonio Lemus escribió: Mensaje citado por [EMAIL PROTECTED]: Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. Gracias por la ayuda prestada. Saludos a todos -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com Tienes que tambián editar el squid con unas lineas. Estás son: httpd_accel_host virtual httpd_accel_port 80 Las que tienes que poner tal cuál Estan en la sección: # HTTPD-ACCELERATOR OPTIONS # --- -- # TAG: httpd_accel_host # TAG: httpd_accel_port # If you want to run Squid as an httpd accelerator, define the # host name and port number where the real HTTP server is. # # If you want virtual host support then specify the hostname # as virtual. # # NOTE: enabling httpd_accel_host disables proxy-caching and # ICP. If you want these features enabled also, then set # the 'httpd_accel_with_proxy' option. # #httpd_accel_host hostname #httpd_accel_port port Cambias nada mas hostame y puerto por lo que te puse. Saludos lista. - A world inside the computer where man has never been. Antonio Lemus - --- -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com
Re: Proxy Transparente
Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado No se que estoy haciendo mal o que me dejo... Te agradeceria si me puedes ayudar Saludos El Domingo, 13 de Junio de 2004 17:15, Antonio Lemus escribió: Mensaje citado por [EMAIL PROTECTED]: Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. Gracias por la ayuda prestada. Saludos a todos -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com Tienes que tambián editar el squid con unas lineas. Estás son: httpd_accel_host virtual httpd_accel_port 80 Las que tienes que poner tal cuál Estan en la sección: # HTTPD-ACCELERATOR OPTIONS # --- -- # TAG: httpd_accel_host # TAG: httpd_accel_port # If you want to run Squid as an httpd accelerator, define the # host name and port number where the real HTTP server is. # # If you want virtual host support then specify the hostname # as virtual. # # NOTE: enabling httpd_accel_host disables proxy-caching and # ICP. If you want these features enabled also, then set # the 'httpd_accel_with_proxy' option. # #httpd_accel_host hostname #httpd_accel_port port Cambias nada mas hostame y puerto por lo que te puse. Saludos lista. - A world inside the computer where man has never been. Antonio Lemus - --- -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com
Re: Proxy Transparente
El lun, 14-06-2004 a las 11:17, [EMAIL PROTECTED] escribió: Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado quizás debas añadir el interfaz de red (p.ej. -i eth1) Deberías hacer: iptables -t nat -L -n para las reglas de la tabla nat Una cosa, cuando dices que no te funciona el proxy, ¿qué quieres decir? que salen directamente a internet los clientes o que no te permite acceder el proxy.
Re: Proxy Transparente
Es que debes usar iptables -L -n -t nat
Saludos
On Mon, 14 Jun 2004 [EMAIL PROTECTED] wrote:
{Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme...
{
{Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A
{PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128),
{ejecuto iptables -L -n y esta regla no me aparece en el listado
{
{No se que estoy haciendo mal o que me dejo...
{
{Te agradeceria si me puedes ayudar
{
{Saludos
{
{El Domingo, 13 de Junio de 2004 17:15, Antonio Lemus escribió:
{ Mensaje citado por [EMAIL PROTECTED]:
{ Hola a todos,
{
{ tengo una maquina (debian sid) con squid en la cual quiero realizar un
{ proxy
{
{ transparente, es decir redireccionar las salidas por el puerto 80 al
{ puerto
{
{ 3128 del squid para que filtre las paginas que visita el usuario.
{
{ iptables me funciona sin ningun problema, ya que si bloqueo algun puerto
{ me
{
{ funciona a la perfección. En el kernel, creo que he marcado todas las
{ opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6.
{
{ La instrucción que utilizo es:
{ iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j
{ REDIRECT
{
{ --to-port 3128
{
{ el problema esta en que no me hace caso, es como si no hubiera
{ introducido la
{
{ instruccion en el iptables, y no se que estoy haciendo mal.
{
{
{ Gracias por la ayuda prestada.
{
{ Saludos a todos
{
{ --
{ Xavi Vila
{
{ La Web del Programador
{ http://www.lawebdelprogramador.com
{
{ Tienes que tambián editar el squid con unas lineas.
{
{ Estás son:
{
{
{ httpd_accel_host virtual
{ httpd_accel_port 80
{
{ Las que tienes que poner tal cuál
{
{ Estan en la sección:
{
{ # HTTPD-ACCELERATOR OPTIONS
{ #
{ ---
{--
{
{ # TAG: httpd_accel_host
{ # TAG: httpd_accel_port
{ # If you want to run Squid as an httpd accelerator, define the
{ # host name and port number where the real HTTP server is.
{ #
{ # If you want virtual host support then specify the hostname
{ # as virtual.
{ #
{ # NOTE: enabling httpd_accel_host disables proxy-caching and
{ # ICP. If you want these features enabled also, then set
{ # the 'httpd_accel_with_proxy' option.
{ #
{ #httpd_accel_host hostname
{ #httpd_accel_port port
{
{ Cambias nada mas hostame y puerto por lo que te puse.
{
{
{ Saludos lista.
{
{
{ -
{ A world inside
{ the computer
{ where man
{ has never been.
{
{ Antonio Lemus
{ -
{
{
{ ---
{
{
Re: Proxy Transparente
LWP wrote: Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme... Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128), ejecuto iptables -L -n y esta regla no me aparece en el listado No se que estoy haciendo mal o que me dejo... Te agradeceria si me puedes ayudar Saludos Hola, por casualidad tienes los modulos del kernel cargados?, me parece que son ip_tables ip_conntrack ipt_REDIRECT -- Marco Salgado Arellano counter.li.org #295511 Estudiante Ing. Civil Informatica - UTFSM Cel.: 0-93124689 to code is to suffer, and suffering is the way to ilumination,therefore to code is a bless...
Re: Proxy Transparente
Mensaje citado por jcmd [EMAIL PROTECTED]:
Es que debes usar iptables -L -n -t nat
Saludos
On Mon, 14 Jun 2004 [EMAIL PROTECTED] wrote:
{Hola Antonio, muchas gracias por comentarmelo, pero sigue sin funcionarme...
{
{Una cosa muy rara, es que una vez aplico la regla (iptables -t nat -A
{PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128),
{ejecuto iptables -L -n y esta regla no me aparece en el listado
{
{No se que estoy haciendo mal o que me dejo...
{
{Te agradeceria si me puedes ayudar
{
{Saludos
{
{El Domingo, 13 de Junio de 2004 17:15, Antonio Lemus escribió:
{ Mensaje citado por [EMAIL PROTECTED]:
{ Hola a todos,
{
{ tengo una maquina (debian sid) con squid en la cual quiero realizar un
{ proxy
{
{ transparente, es decir redireccionar las salidas por el puerto 80 al
{ puerto
{
{ 3128 del squid para que filtre las paginas que visita el usuario.
{
{ iptables me funciona sin ningun problema, ya que si bloqueo algun
puerto
{ me
{
{ funciona a la perfección. En el kernel, creo que he marcado todas las
{ opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6.
{
{ La instrucción que utilizo es:
{ iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j
{ REDIRECT
{
{ --to-port 3128
{
{ el problema esta en que no me hace caso, es como si no hubiera
{ introducido la
{
{ instruccion en el iptables, y no se que estoy haciendo mal.
{
{
{ Gracias por la ayuda prestada.
{
{ Saludos a todos
{
{ --
{ Xavi Vila
{
{ La Web del Programador
{ http://www.lawebdelprogramador.com
{
{ Tienes que tambián editar el squid con unas lineas.
{
{ Estás son:
{
{
{ httpd_accel_host virtual
{ httpd_accel_port 80
{
{ Las que tienes que poner tal cuál
{
{ Estan en la sección:
{
{ # HTTPD-ACCELERATOR OPTIONS
{ #
{
---
{--
{
{ # TAG: httpd_accel_host
{ # TAG: httpd_accel_port
{ # If you want to run Squid as an httpd accelerator, define the
{ # host name and port number where the real HTTP server is.
{ #
{ # If you want virtual host support then specify the hostname
{ # as virtual.
{ #
{ # NOTE: enabling httpd_accel_host disables proxy-caching and
{ # ICP. If you want these features enabled also, then set
{ # the 'httpd_accel_with_proxy' option.
{ #
{ #httpd_accel_host hostname
{ #httpd_accel_port port
{
{ Cambias nada mas hostame y puerto por lo que te puse.
{
{
{ Saludos lista.
{
{
{ -
{ A world inside
{ the computer
{ where man
{ has never been.
{
{ Antonio Lemus
{ -
{
{
{ ---
{
{
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]
Ciertamente, pense que lo tenía ya. Pero la red no necesita de NAT si el squid
esta en una máquina donde tiene una ip pública y privada no es forzoso. A menos
que quieran salir sus máquinas a internet para buscar correo FTP pero web con
squid no es forzosamente necesario tener NAT activado.
Saludos.
-
A world inside
the computer
where man
has never been.
Antonio Lemus
-
---
Re: Proxy Transparente
Mensaje citado por [EMAIL PROTECTED]: Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. Gracias por la ayuda prestada. Saludos a todos -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com Tienes que tambián editar el squid con unas lineas. Estás son: httpd_accel_host virtual httpd_accel_port 80 Las que tienes que poner tal cuál Estan en la sección: # HTTPD-ACCELERATOR OPTIONS # - # TAG: httpd_accel_host # TAG: httpd_accel_port # If you want to run Squid as an httpd accelerator, define the # host name and port number where the real HTTP server is. # # If you want virtual host support then specify the hostname # as virtual. # # NOTE: enabling httpd_accel_host disables proxy-caching and # ICP. If you want these features enabled also, then set # the 'httpd_accel_with_proxy' option. # #httpd_accel_host hostname #httpd_accel_port port Cambias nada mas hostame y puerto por lo que te puse. Saludos lista. - A world inside the computer where man has never been. Antonio Lemus - ---
Re: Proxy Transparente
On Tue, Jun 08, 2004 at 09:36:40AM +0200, [EMAIL PROTECTED] wrote: Date: Tue, 8 Jun 2004 09:36:40 +0200 From: [EMAIL PROTECTED] Subject: Proxy Transparente To: debian-user-spanish@lists.debian.org Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. saludos a todos, fijate si en el squid tenes descomentada las líneas httpd_accel_host virtual, httpd_accel_port 80, httpd_accel_with_proxy on httpd_accel_uses_host_header on, ésto hace que squid funcione de forma transparente ... suerte -- __ Walter Osoria - Debian GNU/Linux 3.0 [EMAIL PROTECTED] - LIcq 2277064 Linux registered user #124360 GnuPG Public Key: http://www.keyserver.net FingerPrint = 2D31 FE71 D7A7 20E7 D1EB 5593 CFE2 2D72 FFAC 33FA
RE: Proxy Transparente
Yo tengo el mismo problema y estoy trabajando con Debian woody. La verdad no he podido filtrar las páginas que se visitan. Yo utilizo el puerto 8080 y el 3128. Las peticiones del puerto 80 las redirecciono al puerto 8080. Sin embargo, no me funciona. Yo creo que en el squid.conf debo hacer algo para que en realidad trabaje como proxy transparente. En iptables utilizo: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 Exitos, EAGP -Mensaje original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Enviado el: Martes, 08 de Junio de 2004 02:37 a.m. Para: debian-user-spanish@lists.debian.org Asunto: Proxy Transparente Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. Gracias por la ayuda prestada. Saludos a todos -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com
RE: Proxy Transparente
Solo por hacer un check list, tienen que poner a la IP de sus proxy
transparente como default gateway en todas las demas maquinas que tengan
en su red, con eso hecho,.
la linea de Iptables que muestran es correcta, yo uso esta:
-A PREROUTING -s 99.15.10.0/255.255.255.0 -i eth0 -p tcp -m multiport
--dport 80,8080,81,82,85,8088 -j REDIRECT --to-ports 8080
Le marco con -i desde que interfaz espero esto, y de varios puertos los
mando al 8080, funciona bastante bien,..
Saludos
On Tue, 8 Jun 2004, Edwin A. Gelves P. wrote:
{Yo tengo el mismo problema y estoy trabajando con Debian woody. La verdad no
{he podido filtrar las páginas que se visitan.
{Yo utilizo el puerto 8080 y el 3128. Las peticiones del puerto 80 las
{redirecciono al puerto 8080. Sin embargo, no me funciona. Yo creo que en el
{squid.conf debo hacer algo para que en realidad trabaje como proxy
{transparente.
{
{En iptables utilizo:
{iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
{REDIRECT --to-port 8080
{
{Exitos,
{EAGP
{
{-Mensaje original-
{De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]
{Enviado el: Martes, 08 de Junio de 2004 02:37 a.m.
{Para: debian-user-spanish@lists.debian.org
{Asunto: Proxy Transparente
{
{Hola a todos,
{
{tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy
{transparente, es decir redireccionar las salidas por el puerto 80 al puerto
{3128 del squid para que filtre las paginas que visita el usuario.
{
{iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me
{funciona a la perfección. En el kernel, creo que he marcado todas las
{opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6.
{
{La instrucción que utilizo es:
{iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j
{REDIRECT
{--to-port 3128
{
{el problema esta en que no me hace caso, es como si no hubiera introducido
{la
{instruccion en el iptables, y no se que estoy haciendo mal.
{
{
{Gracias por la ayuda prestada.
{
{Saludos a todos
{
{--
{Xavi Vila
{
{La Web del Programador
{http://www.lawebdelprogramador.com
{
{
{
RE: Proxy Transparente
date una vuelta por la seccion de manuales de www.linuxparatodos.com, alli encontraras un buen manual sobre proxy. dale una revisada a squid.conf, seguro se te escapo algo por alli. :) - Original Message - From: Edwin A. Gelves P. [EMAIL PROTECTED] To: [EMAIL PROTECTED]; debian-user-spanish@lists.debian.org Sent: Tuesday, June 08, 2004 10:34 AM Subject: RE: Proxy Transparente Yo tengo el mismo problema y estoy trabajando con Debian woody. La verdad no he podido filtrar las páginas que se visitan. Yo utilizo el puerto 8080 y el 3128. Las peticiones del puerto 80 las redirecciono al puerto 8080. Sin embargo, no me funciona. Yo creo que en el squid.conf debo hacer algo para que en realidad trabaje como proxy transparente. En iptables utilizo: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 Exitos, EAGP -Mensaje original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Enviado el: Martes, 08 de Junio de 2004 02:37 a.m. Para: debian-user-spanish@lists.debian.org Asunto: Proxy Transparente Hola a todos, tengo una maquina (debian sid) con squid en la cual quiero realizar un proxy transparente, es decir redireccionar las salidas por el puerto 80 al puerto 3128 del squid para que filtre las paginas que visita el usuario. iptables me funciona sin ningun problema, ya que si bloqueo algun puerto me funciona a la perfección. En el kernel, creo que he marcado todas las opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6. La instrucción que utilizo es: iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j REDIRECT --to-port 3128 el problema esta en que no me hace caso, es como si no hubiera introducido la instruccion en el iptables, y no se que estoy haciendo mal. Gracias por la ayuda prestada. Saludos a todos -- Xavi Vila La Web del Programador http://www.lawebdelprogramador.com -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy Transparente
Para el resto de maquinas de la red todavia no lo he provado, pero en la misma
maquina que esta el squid (woody sid) no me funciona, no entiendo que puede
estar pasando.
Agradeceria cualquier ayuda al respecto ya que no se que puede ser...
mil gracias a todos
El Martes, 8 de Junio de 2004 17:23, jcmd escribió:
Solo por hacer un check list, tienen que poner a la IP de sus proxy
transparente como default gateway en todas las demas maquinas que tengan
en su red, con eso hecho,.
la linea de Iptables que muestran es correcta, yo uso esta:
-A PREROUTING -s 99.15.10.0/255.255.255.0 -i eth0 -p tcp -m multiport
--dport 80,8080,81,82,85,8088 -j REDIRECT --to-ports 8080
Le marco con -i desde que interfaz espero esto, y de varios puertos los
mando al 8080, funciona bastante bien,..
Saludos
On Tue, 8 Jun 2004, Edwin A. Gelves P. wrote:
{Yo tengo el mismo problema y estoy trabajando con Debian woody. La verdad
no {he podido filtrar las páginas que se visitan.
{Yo utilizo el puerto 8080 y el 3128. Las peticiones del puerto 80 las
{redirecciono al puerto 8080. Sin embargo, no me funciona. Yo creo que en
el {squid.conf debo hacer algo para que en realidad trabaje como proxy
{transparente.
{
{En iptables utilizo:
{iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
{REDIRECT --to-port 8080
{
{Exitos,
{EAGP
{
{-Mensaje original-
{De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]
{Enviado el: Martes, 08 de Junio de 2004 02:37 a.m.
{Para: debian-user-spanish@lists.debian.org
{Asunto: Proxy Transparente
{
{Hola a todos,
{
{tengo una maquina (debian sid) con squid en la cual quiero realizar un
proxy {transparente, es decir redireccionar las salidas por el puerto 80 al
puerto {3128 del squid para que filtre las paginas que visita el usuario. {
{iptables me funciona sin ningun problema, ya que si bloqueo algun puerto
me {funciona a la perfección. En el kernel, creo que he marcado todas las
{opciones posibles... he probado con el kernel 2.4.26 y el 2.6.6.
{
{La instrucción que utilizo es:
{iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p TCP --dport 80 -j
{REDIRECT
{--to-port 3128
{
{el problema esta en que no me hace caso, es como si no hubiera introducido
{la
{instruccion en el iptables, y no se que estoy haciendo mal.
{
{
{Gracias por la ayuda prestada.
{
{Saludos a todos
{
{--
{Xavi Vila
{
{La Web del Programador
{http://www.lawebdelprogramador.com
{
{
{
--
Xavi Vila
La Web del Programador
http://www.lawebdelprogramador.com
