Problemas para acceder a las paginas de correo con un proxy squid

Forums: 

Acabo de configurar un servidor proxy squid transparente, puedo navegar por la red sin problemas pero cuando kiero acceder a las paginas de correo(yahoo, hotmail, gmail, entre otros), no logro accesar a k puede deberse esta situacion, ¿Alguien podria asesorarme?, la configuracion k utilizo es la siguiente:

para el archivo squid.conf:

*******************************************************
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl permitidos src "/etc/squid/directions"
acl deny_sites url_regex "/etc/squid/deny_sites"
acl deny_files urlpath_regex "/etc/squid/deny_files"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# "Esto viene por defaul'
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# "http's Access agregados"
http_access allow localhost
http_access deny deny_files
http_access deny deny_sites
http_access allow permitidos
http_access deny all
******************************************************

tengo un archivo firewall.sh con lo siguiente:
//////////////////////////////////////////////////////
#limpieza general de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#politica por defecto para lo que cruza
iptables -P FORWARD DROP

#crear conexion de tarjetas y salida de LAN a internet
echo 1 >/proc/sys/net/ipv4/ip_forward

#generar salida de la red LAN hacia el internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#forzar a que toda salida http pase por Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#permitir salida de DNS
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT

#permitir salida al puerto FTP
iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -p tcp --sport 20:21 -j ACCEPT
//////////////////////////////////////////////////////////

Anteriormente habia levantado otro proxy, el cual tenia dos intefaces de red Eth0 y Eth1 respectivamente. En las estaciones de trabajo si yo keria comprobar conexion con la puerta de enlace y el dns establecido de forma estatica a traves de un ping me arrojaba datos satisfactorios pero ahora solo establece conexion con la puerta de enlace y con el dns no obtengo ningun resultado solo me informa que tiempo de espera se ha agotado, ¿quizas tenga k ver la configuracion de las tarjetas de red? de antemano agradesco cualquier ayuda y asesoria.

Atte:osopal

Problemas para acceder a las paginas de correo con un proxy squi

Imagen de burjans

Problema un poco raro, si puedes navegar a traves de tu proxy deberías ver las páginas de correos que mencionas en cuestión. Yo recuerdo una vez que instalando un Squid en Debian me sucedia algo parecido porque el trae (no se ahora) el puerto 443 bloqueado por defecto y este puerto lo utulizan casi todos (Gmail, Yahoo, etc) mira ver si por aho anda el asunto. Por otra parte espero que esas direcciones no estén en tu fichero:

acl deny_sites url_regex "/etc/squid/deny_sites" 8)

No dices que distribución usas .... pero espero que ya tengas este manual:

http://www.com-sl.org/docs/joel_barrios/Implementacion_Servidores_Linux-SEPTIEMBRE-20090910.pdf.tar.bz2

salu2

Comunidad del Software Libre
Lic. Burjans L. Garcia. Disotuar
Com-SL http://www.com-sl.org

Versiones

Utilizo la distribucion de fedora 9, y conrespecto a squid es la version 3 espero k esto pueda ayudar un poco mas, por cierto en el archivo deny_sites solo se encuentran paginas de videos,peliculas e imagenes, las paginas de correo no estan bloqueadas en ningun momento gracias nuevamente

Squid tenia bloqueado el

Imagen de damage

Squid tenia bloqueado el puerto de SSL 443, seguro, lo dudo, el problema radica en que squid es un proxy HTTP más no HTTPS (osea 443), aqui es cuando se debe por medio de Iptables y hacer un FORWARD de el mensionado puerto:

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

Con eso tendrás acceso a los sitios que usen HTTPS.

Con esa regla estás

Imagen de xime

Con esa regla estás descartando todo el tráfico que va en forward, en otras palabras cierras el tráfico a todos los puertos. Luego en tu script solo redireccionas el tráfico del puerto 80 al squid, y dejas pasar el 20-21 y 53. Todo lo demas queda descartado por default.

En otras palabras tiene que habilitar el forward al puerto 443

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT

Si con esto no te funciona, quitala =P y acepta el forward

iptables -A FORWARD -i eth1 -j ACCEPT

Suponiendo que eth1 es tu interfaz de LAN

http://poquiblog.blogspot.com/

iptables -p FORWARD DROP se

Imagen de damage

iptables -p FORWARD DROP se refiere a la política pro defecto de la cadena de FORWARD, pero así este en DROP, si se hace accept del puerto en mencion debería poder salir, quizás sea algo más alguna ACL que este denegando.

Problemas con Squid

Imagen de richard007

Hola osopal lei tu problema y weno por lo q segun veo en tu squid.conf en tus acl no has definido tu redlocal, bueno es lo que veo , deberia haber algo asi:

acl mired src 192.168.1.0/24, con su respectiva regla de control de acceso

Ahora veo que usa un firewall con DROP como politica por defecto las reglas serian algo diferente a lo que hiciste, claro que deberias abrir los puertos 80 (http) y 443 (https) para acceder a las paginas que deseas te dejo algunas reglas que yo uso para abrir puertos...cuando se trata de DROP como politicas x defecto ....

PNPV:"1024:65535"
#ACCESO A LOS SERVICIOS WEB EXTERNOS
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -s $LAN --sport $PNPV --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED ! --syn --sport 80 -d $LAN --dport $PNPV -j ACCEPT

#ACCESO A SERVIDORES HTTPS EXTERNOS (SERVIDORES DE CORREO VIA WEB, POR EJEMPLO : GOOGLE, YAHOO, HOTMAIL)
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -s $LAN --sport $PNPV --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED ! --syn --sport 443 -d $LAN --dport $PNPV -j ACCEPT

spero te ayude revisa informacion sobre estados de paquetes....

######richard007####

---------richard007-----------
Red Hat Certified Technician
Linux Registered User # 493753
RedLinux SRL www.redlinux.com.pe
www.colisol.org

Hola richard gracias por los

Hola richard gracias por los comentarios k me hiciste llegar, he solucionado el problema de acceso a las paginas de correo, ahora intento integrar una regla k permita k una de las ip's de mi intranet tenga acceso a todo sin restriccion alguna de cualquier puerto, espero tengas algunas opciones para mi intencion, de antemano agradesco cualquier aporte.

atte: osopal

Páginas