Re: proxy transparente (squid 3) y SSL
William Alexander Brito Viñas wrote:
> 1- Bajar y compilar squid con soporte para SSL y redirigir con iptables el
> trafico del 443 hacia el 3128.
> Duda: Antes de hacerlo, en una busqueda encuentro con que existen
> infinidad de paginas donde manifiestan que no es posible utilizar un
> proxy transparente en conexiones SSL.
> http://www.faqs.org/docs/Linux-mini/TransparentProxy.html por ejemplo,
> es una de estas paginas. ¿Esto significaría que compilar squid no me
> resolvería nada? Aclaro que estoy tratando de evitar esta solucion en
> la medida de lo posible.
Esa información es vieja, hoy en dia squid sí funciona como https proxy
cache, tienes que generar certificados en el propio servidor.
> 2- Renunciar a proxy transparente y redirigir todo el trafico saliente
> --dport 80 hacia un web server con una sola pagina en la que indique a los
> usuarios como configurar opera, firefox, ie8....o lo que sea para que usen
> el proxy.
No, hacer eso es cualquier cosa menos efectivo.
> 3- Enmascarar el trafico del puerto 443 hacia afuera.
> Duda: Esto es lo que hago ahora y como tal no satisface ninguno de los
> dos objetivos.
Ya lo estas haciendo, porque ahora estas haciendo nat hacia afuera en el
puerto 443, cualquier usuario puede poner un ssh externo escuchando en el
puerto 443 y túnel mediante navegar de incógnito (lo puedes descubrir
mediante las consultas dns).
> LA PREGUNTA:
> ¿Qué otra "alternativa de solucion" se le puede dar esta situacion que por
> lo demas no debe ser muy fuera de lo común y que satisfaga ambos
> objetivos?
No la hay, si los usuarios especifican en sus browsers que usen tu
proxy:3128 para todos los protocolos (ftp, http, https) podrán navegar sin
problemas porque squid hace un bypass en el tráfico https.
El paquete squid en Debian no esta compilado con soporte ssl, asi que te
bajas el source con apt-get source squid y lo compilas y empiezas a
probar.
Saludos
--
La Voluntad es el único motor de nuestros logros.
http://ngen.com.ar/blog
Reply to: