Proxy transparente!!!!

Forums: 

Que tal compañeros, me pasó algo extraño al configurar un servidor proxy transparente. Bueno inicialmente configuré el proxy, el firewall y todo funciona muy bien hasta que empecé a configurar el proxy transparente, de modo que los clientes no deban configurar la direccion del servidor en sus browsers. Lo único que hice pa configurar el proxy transparente fue crear una regla que me redireccione del puerto 80 al 8080 donde escucha mi proxy y agregar unas líneas al squid.conf:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Ah, la regla es la siguiente:
$IPTABLES -A INPUT -p tcp -s $ETH0_NET -d $ALL --dport 8080 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -p tcp -s $ETH0_NET -d $ALL --dport 80 -j REDIRECT --to-port 8080

Ahora, el problema es que el proxy funciona, pero cuando quiero acceder a paginas como gmail o hotmail se traba. Cuando accedo a ecualug o a google, eso no sucede :( . Debo recalcar que el proxy manual funciona a la perfección asi que me confunde un poco esto.

Si se les ocurre algo por fa avisenme

Atte

Lenchanteur

Hola amigo que tal. Sabes

Imagen de NEO

Hola amigo que tal.
Sabes que a mi me ha pasado varias veces lo mismo.
Yo tenía una red en donde había configurado solo squid.(no como proxy transparente). POr lo tanto todos los browsers de los clientes estaban configruados para que trabajen con el proxy (ip_squid:3128).
Luego un día implemente proxy transparente y asi mismo algunas páginas especialmente las https se abrían a la mitad, solo el título y se quedaba pensando o a veces se recargaban una y otra vez.
Eso siempre me ocurria porque las computadoras que accedían a esas páginas mantenían todavía configurado el proxy manualmente en la configuración de su browser, cuando les quité toda configuración, es decir las dejaba en (detectar automaticamente) se solucionó el problema.

Ojala te sea de ayuda esta respuesta.

Saludos
NEO

Nada aún

Imagen de lenchanteur

La verdad si le habia quitado toda configuracion de proxy, pero el problema persiste, lo que me parece raro es que la proxyficacion transparente funciona para algunas paginas mientras que para otras como gmail no.

José Antonio

José Antonio L'enchanteur

Problemas con Proxy Transparente? chequea el dhcp

Tengo un servidor en el que le habia configurado con anterioridad el proxy transparente, trabajaba de maravilla, tuve que reinstalarle openSuSE 10.3 por capricho de mis jefes y reconfigure nuevamente todos los servicios, se me presento el mismo problema, cuando intentaba acceder a ciertas paginas no lo hacia de forma correcto o incluso me decia que habia problemas con la conexion, estuve chequeando si el problema era de mi firewall o alguna configuracion del squid, pero todo estaba bien, cuando se me ocurrio verificar servicio por servicio y note mi que configuracion dhcp era el problema, la opcion 'option routers' tenia a mi server como router y no a mi gateway, asi que lo cambie a 192.168.123.1 y reinicie el servicio y todas las paginas que no veia, empezaron a verse de manera rapida y sin problemas.

Asi que verifica si tienes bien configurado esa opcion. Ya que en ocasiones uno no presta atencion a la configuracion y se cometen errores.

Con respecto al squid, con anterioridad trabajaba con SUSE 9 y lo configuraba de igual forma como tu:
{{{
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
}}}

Pero en mi version de squid ya no me permite esas reglas ahora debo de configurarlo de la siguiente forma:
http_port $My_Ip:$My_Port transparent

Por ejemplo:
http_port 192.168.123.2:3128 transparent

Ademas con respecto al firewall, para activar el proxy transparente solo necesitas las siguientes reglas:
iptables -t nat -A PREROUTING -i eth# -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable

Y con respecto a lo que dijo DeathUser, no creo que sea buena idea hacer NAT, esto debido a que se quiere hacer pasar por el proxy, se hace NAT solo a las ip donde se desee no usar proxy se les hace el NAT.

Espero te sirva de algo.

Cita: Y con respecto a lo

Imagen de deathUser

[quote]Y con respecto a lo que dijo DeathUser, no creo que sea buena idea hacer NAT, esto debido a que se quiere hacer pasar por el proxy, se hace NAT solo a las ip donde se desee no usar proxy se les hace el NAT.[/quote]

Pues no dije que haga nat ...

Lo que dije es que HTTPS no permite proxy transparente y que no le veia la forma de hacerlo transparente, así que si no se natea o rutea (en caso de tener redes públicas) no veo la forma de acceder a HTTPS si no lo hace por el proxy configurado en el browser...

Lo de la configuración básica de red que mencionas, pues eso se soluciona si sigues el modelo OSI cuando analizas un problema ...

bye
:)

Cita:

Imagen de damage

[quote]$IPTABLES -A INPUT -p tcp -s $ETH0_NET -d $ALL --dport 8080 -j ACCEPT[/quote]
Ademas de esa Lines debes tener otra para el FORWARD al puerto 80 ya que por ese es el que los navegadores, etc, hacen la peticion no ve el enmascaramiento osea:

$IPT -t nat -A POSTROUTING -s $IF_RED -o eth0 -j MASQUERADE

Donde ETH0 esta conectada al internet e IF_RED es tu clase C osea tu RED LAN, además te recomiendo que hagas forward de los puertos que necesites abrir, de lo contrario no podras tener algunos servicios.

Algo más quees una recomendación, documentate mejor ya que veo que tienes la tipica idea que un proxy sea o no trans. debe dejar pasar toda la navegación y eso es un error, recuerda que un proxy es casi esclusivo para trafico http (por eso unas paginas si abren y otras no Hotmail es https, gmail igual, justo como comenta deathuser) y uno que otro protocolo más, pero no es proxy FTP (en un 100%) o socks o https en este caso.

P.D: Debes tener habilitado el ipforward mucho ojo.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

squid transparente con https

squid transparente con https

buenas tardes,
he leido de todo un poco
y no consigo hacer q squid transparente acceda a paginas https
es raro porque si en cada cliente especifico el proxy con el puerto 3128 en mi caso, sale sin ningun problema a paginas con https pero al hacer proxy transparente es decir con iptables REDIRECT, las paginas http habre normalmente pero las https no las abre, el explorador se queda pensando y al final sale error. y en los log tanto del firewall como del squid no me bloquea nada, no registra ningun bloqueo no registra nada en esos casos.

ayuda!!!!!

lo que hice fue hacer REDIRECT al puerto 3128 de todo lo que sale por el puerto 443 y me da un error del explorador (no de squid) q dice "Código de error: ssl_error_rx_record_too_long "

repito si configuro el proxy manualmente en cada cliente salgo sin problemas a paginas https como www.gmail.com por ejemplo

la version de squid q utilizo es 2.6
centos 5

ya he revisado todo t3engo bien las acl caso contrario no ingresara https ni especificando manualmente el proxy en los clientes, tengo abierto el puerto 443 trafico saliente a internet en mi firewall asi q no es nada de eso

he leido q proxy transparente no soporta https es verdad eso y si es asi he leido q debe hacerc nat pero no veo lo mas adecuado eso ya que me estaria saltando el proxy y justamente eso es lo q no quiero.

gracias
migrar /var a LVM ›