No carga paginas HTTPS

Tema: 

Hola a todos
Favor si alguien sabe como solucionar la siguiente incidencia, configure un proxy con las opciones basicas funciona bien carga todas las paginas a excepción de las Https no lo hice proxy transparente por este inconveniente, pero resulta que tengo este problema, favor indicarme si debo configurar algo adicional el squid, agregar reglas con el iptables, a continuacion detallo lo unico que configure en el squid y en iptables les detallo a continuación

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
# Comento las 5 siguientes lineas
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Se agrego las siguientes lineas
#acl ippermitidas src "/etc/squid/listas/ippermitidas"
acl macpermitidas arp "/etc/squid/listas/macpermitidas"

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
# comento la linea siguiente
#http_access allow localnet
http_access allow localhost
#http_access allow ippermitidas
http_access allow macpermitidas

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
# Comento la siguiente linea y agrego 2 lineas
#http_port 3128
http_port 192.168.0.254:3128
http_port 192.168.0.254:8080

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256
# Agrego la siguiente linea
cache_dir aufs /var/spool/squid 2048 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
# se agrega las siguientes lineas
maximum_object_size 48 MB
cache_swap_low 90
cache_swap_high 95
visible_hostname proxysrv

Y la unica regla que puse en el Iptables es
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

Comentarios

aca veo algo obscuro

Imagen de falcom

aca veo algo obscuro
[quote]# Squid normally listens to port 3128
# Comento la siguiente linea y agrego 2 lineas
#http_port 3128
http_port 192.168.0.254:3128
http_port 192.168.0.254:8080[/quote]
squid deberia correr en un solo pto sea el 3128 o el 8080, no veo para q hacerlo correr en dos ptos...

De pronto y tiene muchos

Imagen de deathUser

De pronto y tiene muchos usuarios con sus browsers configurados unos con 8080 y otros con 3128 y le da pereza configurar :) ... independientemente de eso, si no da problemas en el momento del arranque del SQUID, este tema no debería causar problemas al momento de traer contenido vía HTTPS, si se va a forzar el uso del proxy en los browsers, no debería enmascararse el tráfico, es decir, la línea de masquerade del iptables no es requerida a no ser que se quiera dejar que lo usuarios se salten el proxy fácilmente (desconfigurandolo de su browser) ...

A todo esto, qué dicen los logs ...???

bye
;)

lo voy a configurar solo que

lo voy a configurar solo que escuche por 3128, y con respecto a la regla del iptable no entiendo, la borro e ingreso
de la siguiente manera o no ingreso ninguna regla
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j

La regla:

Imagen de deathUser

La regla:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

Lo que hace es enmascarar (natear) el tráfico de la red interna para que se pueda tener acceso a servicios externos sin el uso de proxys, es decir, con esa regla, si un usuario tiene configurado como gateway el servidor linux que tiene esta regla, adicionalmente si tiene configurado DNSs que puedan resolver nombres, bien pudiera navegar, usar skype, ftp (seguramente con problemas :D) pop3, imap, https, y un montón de protocolos más que son fácilmente nateables (enmascarables) solamente quitando el proxy de su browser,

Si no quieres que esto pase, puedes natear solamente los puertos (servicios) que te interesen que los usuarios tengan acceso, y claro eliminar la regla antes mencionada, para las pruebas de tu prox, puedes de igual manera eliminar la regla que en el caso del uso del proxy no es necesaria, y así te aseguras que todo el tráfico pasa efectivamente por el proxy y no está siendo nateado ...

Insisto, que dicen los logs ...???

bye
;)

Estimado DeathUser

Estimado DeathUser
te copio los logs, ya le saque esa regla al iptables quedo sin reglas el iptables ya que era la unica, como tengo configurado por defecto que entre a google cuando entra el navegador se queda colgado y no responde luego sale el error, pero en el log no veo nada extraño, en el log que te envio entre bien al www.msp.gob.ec, pero nada que ver al google ni a la pagina del banco bnf

[root@174 Escritorio]# tail -f /var/log/squid/access.log
1394468460.188 223 192.168.0.40 TCP_MISS/304 411 GET http://static.chartbeat.com/js/chartbeat.js - DIRECT/199.27.72.185 -
1394468460.439 224 192.168.0.40 TCP_MISS/200 287 GET http://ping.chartbeat.net/ping? - DIRECT/54.225.215.244 image/gif
1394468460.445 293 192.168.0.40 TCP_MISS/200 407 GET http://c.couponsvc.com/DealsService.ashx? - DIRECT/70.186.131.103 text/xml
1394468475.336 109 192.168.0.40 TCP_MISS/200 287 GET http://ping.chartbeat.net/ping? - DIRECT/54.225.215.244 image/gif
1394468490.318 106 192.168.0.40 TCP_MISS/200 287 GET http://ping.chartbeat.net/ping? - DIRECT/54.225.215.244 image/gif
1394468520.314 107 192.168.0.40 TCP_MISS/200 287 GET http://ping.chartbeat.net/ping? - DIRECT/54.225.215.244 image/gif
1394468550.915 34 192.168.0.40 TCP_MISS/304 440 GET http://apilookinglinkin-a.akamaihd.net/gfbs2 - DIRECT/186.46.140.210 application/javascript
1394468551.185 184 192.168.0.40 TCP_MISS/302 939 GET http://www.google.com/ - DIRECT/74.125.229.211 text/html
1394468557.069 5883 192.168.0.40 TCP_MISS/302 938 GET http://www.google.com.ec/? - DIRECT/74.125.229.216 text/html
1394468574.422 183 192.168.0.40 TCP_MISS/200 497 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/74.125.229.164 application/vnd.google.safebrowsing-update
1394468619.759 167 192.168.0.40 TCP_MISS/302 665 GET http://www.google.com/ - DIRECT/74.125.229.208 text/html
1394468620.012 250 192.168.0.40 TCP_MISS/302 914 GET http://www.google.com.ec/? - DIRECT/74.125.229.223 text/html
1394468625.491 6025 192.168.0.40 TCP_MISS/304 440 GET http://apilookinglinkin-a.akamaihd.net/gfbs2 - DIRECT/186.46.140.210 application/javascript
1394468669.389 439 192.168.0.40 TCP_MISS/200 16868 GET http://search.conduit.com/? - DIRECT/199.101.113.79 text/html
1394468670.826 1304 192.168.0.40 TCP_MISS/304 409 GET http://search.conduit.com/favicon.ico? - DIRECT/199.101.113.79 -
1394468685.962 56 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 287 GET http://www.salud.gob.ec/wp-content/plugins/download-monitor/page-addon/styles.css? - DIRECT/190.152.98.28 -
1394468685.994 86 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 287 GET http://www.salud.gob.ec/wp-includes/js/jquery/jquery-migrate.min.js? - DIRECT/190.152.98.28 -
1394468685.994 88 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 286 GET http://www.salud.gob.ec/wp-content/plugins/wp-polls/polls-css.css? - DIRECT/190.152.98.28 -
1394468685.994 87 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 287 GET http://www.salud.gob.ec/wp-content/plugins/promotion-slider/css/slide.css? - DIRECT/190.152.98.28 -
1394468685.994 86 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 288 GET http://www.salud.gob.ec/wp-includes/js/jquery/jquery.js? - DIRECT/190.152.98.28 -
1394468686.022 114 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 287 GET http://www.salud.gob.ec/wp-content/plugins/promotion-slider/js/promo_slider.js? - DIRECT/190.152.98.28 -
1394468686.196 288 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 286 GET http://www.salud.gob.ec/wp-content/plugins/wp-banners-lite/css/front.css? - DIRECT/190.152.98.28 -
1394468686.963 1055 192.168.0.40 TCP_MISS/404 26194 GET http://www.salud.gob.ec/wp-content/plugins/jquery-vertical-accordion-menu/js/jquery.hoverIntent.minified.js? - DIRECT/190.152.98.28 text/html
1394468688.976 3068 192.168.0.40 TCP_MISS/200 774 GET http://www.salud.gob.ec/wp-content/plugins/jquery-vertical-accordion-menu/skin.php? - DIRECT/190.152.98.28 text/css
1394468688.980 3074 192.168.0.40 TCP_REFRESH_UNMODIFIED/304 286 GET http://www.salud.gob.ec/wp-content/plugins/wordpress-popular-posts/style/wpp.css? - DIRECT/190.152.98.28 -
1394468689.613 3706 192.168.0.40 TCP_MISS/404 26187 GET http://www.salud.gob.ec/wp-content/plugins/jquery-vertical-accordion-menu/js/jquery.cookie.js? - DIRECT/190.152.98.28 text/html
1394468689.709 3802 192.168.0.40 TCP_MISS/404 26192 GET http://www.salud.gob.ec/wp-content/plugins/jquery-vertical-accordion-menu/js/jquery.dcjqaccordion.2.9.js? - DIRECT/190.152.98.28 text/html
1394468690.502 759 192.168.0.40 TCP_MISS/404 26194 GET http://www.salud.gob.ec/wp-content/plugins/jquery-vertical-accordion-menu/js/jquery.hoverIntent.minified.js? - DIRECT/190.152.98.28 text/html
1394468691.702 1159 192.168.0.40 TCP_MISS/404 26186 GET http://www.salud.gob.ec/wp-content/plugins/jquery-vertical-accordion-menu/js/jquery.cookie.js? - DIRECT/190.152.98.28 text/html
1394468692.582 840 192.168.0.40 TCP_MISS/404 26191 GET http://www.salud.gob.ec/wp-content/plugins/jquery-vertical-accordion-menu/js/jquery.dcjqaccordion.2.9.js? - DIRECT/190.152.98.28 text/html
1394468692.824 80 192.168.0.40 TCP_MISS/304 440 GET http://apilookinglinkin-a.akamaihd.net/gcrs2? - DIRECT/186.46.140.210 application/javascript
1394468692.963 217 192.168.0.40 TCP_MISS/200 532 GET http://www.google-analytics.com/__utm.gif? - DIRECT/74.125.229.167 image/gif
1394468693.047 169 192.168.0.40 TCP_MISS/200 457 GET http://c.mscimg.com/stub/js/www.msp.gob.ec - DIRECT/23.39.136.19 application/x-javascript

1394468768.972 31 192.168.0.40 TCP_MISS/304 440 GET http://apilookinglinkin-a.akamaihd.net/gfbs2 - DIRECT/186.46.140.210 application/javascript
1394468769.231 168 192.168.0.40 TCP_MISS/302 665 GET http://www.google.com/ - DIRECT/74.125.229.209 text/html
1394468769.426 192 192.168.0.40 TCP_MISS/302 914 GET http://www.google.com.ec/? - DIRECT/74.125.229.223 text/html

1394468867.428 39 192.168.0.40 TCP_MISS/302 523 GET http://www.bnf.fin.ec/ - DIRECT/190.152.71.150 text/html
1394468876.437 186 192.168.0.40 TCP_MISS/200 497 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/74.125.229.169 application/vnd.google.safebrowsing-update

una buena herramienta para

Imagen de falcom

una buena herramienta para ver donde se quedan los paquetes es un addon de firefox llamado httpfox, instalalo y cuando ingreses a los sitios problematicos dale start, luego pega los logs para ver de pronto se estan quedando los packages en algun lado!

alli te envio cuando quiero

alli te envio cuando quiero entrar a google me sale esto y no carga

00:00:24.963 4.988 309 0 GET (Aborted) NS_BINDING_ABORTED https://apilookinglinkin-a.akamaihd.net/gd2?r=20140310
00:00:24.980 5.033 309 0 GET (Aborted) NS_BINDING_ABORTED https://apilookinglinkin-a.akamaihd.net/ga2?r=20140310
00:00:24.995 5.019 348 0 GET (Aborted) NS_BINDING_ABORTED https://api.lookinglink.info/gu?r=85427434895816920000&g=BA66CD2F-72A0-4B52-B679-71539D57FFC2
00:00:54.963 4.987 309 0 GET (Aborted) NS_BINDING_ABORTED https://apilookinglinkin-a.akamaihd.net/gd2?r=20140310
00:00:54.979 5.039 309 0 GET (Aborted) NS_BINDING_ABORTED https://apilookinglinkin-a.akamaihd.net/ga2?r=20140310
00:00:54.991 5.066 348 0 GET (Aborted) NS_BINDING_ABORTED https://api.lookinglink.info/gu?r=49099532001314570000&g=BA66CD2F-72A0-4B52-B679-71539D57FFC2

cuando entra al www.msp.com alli si entra y me sale esto

00:00:34.513 0.462 343 (13966) GET (Cache) application/x-shockwave-flash http://hdapp1001-a.akamaihd.net/App/DddWrapper.swf?c=6
00:00:34.529 0.465 339 (9580) GET (Cache) application/x-shockwave-flash http://hdapp1003-a.akamaihd.net/app/easyInline.swf
00:00:34.540 0.477 562 (1150) GET (Cache) text/plain http://www.msp.gob.ec/favicon.ico
00:00:34.549 0.488 532 (1150) GET (Cache) text/plain http://www.msp.gob.ec/favicon.ico
00:00:34.975 0.063 266 (15746) GET (Cache) text/javascript http://www.google-analytics.com/ga.js
00:00:35.067 0.049 370 (887) GET (Cache) image/jpeg http://hdapp1003-a.akamaihd.net/app/images/google.jpg
00:00:35.086 0.048 373 (549) GET (Cache) image/jpeg http://hdapp1003-a.akamaihd.net/app/images/wikipedia.jpg
00:00:35.093 0.053 371 (947) GET (Cache) image/jpeg http://hdapp1003-a.akamaihd.net/app/images/youTube.jpg

ayuda por favor no se que hacer me estoy volviendo loco

haber yo tuve un problema

Imagen de falcom

haber yo tuve un problema algo parecido al acceder a algunas paginas de gobierno como senacyt, iece, etc. etc..
bueno esto debido a politicas del algun admin q coloco un firewall el cual bloquea conexiones q procedan detras de un proxy.
aca puse el como solucionarlo de pronto te sirve
http://www.ecualug.org/?q=20131205/redes/problema_acceso_snigobec_desde_una_lan_detras_de_un_proxy_squid

[quote]Lo malo es q los administradores de estos sites colocan restricciones a quienes trabajamos detras de un proxy,

Cita:
(McAfee Web Gateway 7.3.2.3.0.16052)[/quote]

Páginas