Forums:
Amigos Buenas tardes. Estoy configurando mi proxy tranasparente. He superado varios onconvenientes con su acertada ayuda, pero hoy me encuentro con otro problema: Bloquear el puerto 443 de https, pero no cerrarlo totalmente. El tema es que si lo cierro, los usuarios de mi red no podran ver las páginas https que si tienen permiso ver (Bancos, IESS etc). pero quiero cerrar el https://www.facebook.com, entre otras. He visto en varios foros, pero no encuentro una solución eficiente... Si alguien me ayuda con unas reglas de iptables pa esto, se loagaradecería.
falcom
amigo falcom llevo tiempo y la verdad repite y repite tus posts.
Seria dable y con apoyo tuyo crear un how to de como instalar layer7 en centos ? sea cual sea la version 5 o 6.
La verdad que yo he tratado de hacerlo y no resulta facil :S !
gracias por tus comentarios
Necesito Aprender !!
jeje quien repite y repite
jeje quien repite y repite mis post ? jeje es complejo la verdad, funciona bien en centos 5x en 6 no he probado!
probado usando proxy
probado usando proxy transparente no funcionan las reglas de squid al cerrar el pto 443! es decir no tienen acceso a webs seguras, seguire probando
Que opinas de esto???
Reglas del Firewall
Para poder configurar este tipo de proxy transparente, tendremos que configurar reglas de firewall, en nuestro caso usaremos reglas de iptables ya que es la herramienta mas utilizada en todas distribuciones GNU/Linux. Pero para que funcione de manera transparente debemos de aplicar la siguiente regla en iptables.
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128
Con esto estamos desviando el trafico que venga por la LAN que vaya por web al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se pueden desplegar las paginas seguras, para eso necesitamos aplicar otras reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente manera:
Crees q sea factible?
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT --to-port 3128
Lo tomé del sitio: http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base%20de%20Conocimiento/Servidor+Proxy
Fernando Lara
100% Linux
Proxy transparente no
Proxy transparente no funciona con HTTPS por la encripción ...
si quieres controlar con squid tienes que hacerlo con el proxy declarado en los clientes.
bye
;)
Entiendo
Pero la regla q sale en ese manual de JOel B. Dueñas no vale entonces?
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT --to-port 3128.
Aún no la he probado...
Sólo lo configuro en cada cliente, no modifico nada en el squid?
Fernando Lara
100% Linux
No sirve squid solo hace de
No sirve squid solo hace de proxy http no hace cache de https osea no hace cache de trafico encriptado!! esta muy bien detallado en este mismo post esa regla no sirve
con la 1era regla no haces
con la 1era regla no haces proxy transparente te falta agregar en el squid.conf algo mas, la segunda regla no sirve
Prueba este código, yo lo
Prueba este código, yo lo tengo en mi red, las ips son de facebook, tengo proxy transparente
iptables -A FORWARD -s $LAN -d 69.63.189.16 -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s $LAN -d 69.63.189.11 -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s $LAN -d 69.63.189.12 -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s $LAN -d 66.220.156.11 -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s $LAN -d 66.220.149.21 -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s $LAN -d 64.13.161.61 -p tcp --dport 443 -j REJECT
es relativo ya q facebook
es relativo ya q facebook tiene cientos de ips en varias partes del mundo y constantemente las cambia!! asi q si te funciono unos dias puede q luego no!
Páginas