Re: Problema con Squid y las paginas de gmail y hotmail

El 18 de febrero de 2011 11:42, Alberto Corona <helioomd@gmail.com> escribió:

El día 18 de febrero de 2011 08:04, Federico Alberto Sayd
<fsayd@uncu.edu.ar> escribió:

> El 18/02/11 09:58, Jorge Toro escribió:
>
> Hola lista,
>
> Características del servidor:
>
> Por favor, comienza con la descripción de tu problema, así es más fácil ver
> de una mirada si te podemos ayudar o no
>
>
> Tabla de iptables:
>
> gate100:~# iptables -L -n
> Chain INPUT (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     all -- 0.0.0.0/0            0.0.0.0/0
> ACCEPT     all -- 192.168.0.0/24       0.0.0.0/0
>
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
> gate100:~# iptables -L -n -t nat
> Chain PREROUTING (policy ACCEPT)
> target     prot opt source               destination
> REDIRECT   tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:80
> redir ports 1212
> REDIRECT   tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:443
> redir ports 1212
> REDIRECT   tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:80
> redir ports 1212
> REDIRECT   tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:443
> redir ports 1212
> REDIRECT   tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:80
> redir ports 1212
> REDIRECT   tcp -- 0.0.0.0/0            0.0.0.0/0           tcp dpt:443
> redir ports 1212
>
> Chain POSTROUTING (policy ACCEPT)
> target     prot opt source               destination
> MASQUERADE all -- 192.168.0.0/24       0.0.0.0/0
> MASQUERADE all -- 192.168.0.0/24       0.0.0.0/0
> MASQUERADE all -- 192.168.0.0/24       0.0.0.0/0
>
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination
>
> Donde tengo como destino predeterminado para las tablas INPUT, OUTPUT y
> FORWARD = ACCEPT
>
> Este servidor funciona como puerta de enlace para la red 192.168.0.0/24 el
> problema radica en que cuando la configuración de squid permite a toda la
> subred salir trasparentemente y sin restricciones pero el problema que tengo
> es cuando intento ingresar a gmail.com o hotmail.com con los siguiente
> errores:
>
> Cuando ingreso por cualquier navegador me dice:
>
> Fallo en conexión segura
>
> Un error ha ocurrido al conectarse a login.live.com.
>
> SSL received a record that exceeded the maximum permissible length.
>
> (Código de error: ssl_error_rx_record_too_long)
>
>
>
> # tail -f /var/log/squid/access.log
>
> 1297980746.225    318 192.168.0.211 TCP_MISS/302 1114 GET
> http://mail.google.com/mail/ - DIRECT/74.125.45.19 text/html
> 1297980746.229      0 192.168.0.211 TCP_DENIED/400 1550 NONE
> error:invalid-request - NONE/- text/html
>
> # squidview
>
> 0.211         mail.google.com/mail/
> 0.211      d error:invalid-request
>
>
>
> Mi conclusión es que no pude bajar las SSL para poderse conectar, pero
> porque me sucede esto ya que he intentado de todo hasta comente las lineas
> de bloquean los puertos:
>
> # Deny requests to unknown ports
> #http_access deny !Safe_ports
> # Deny CONNECT to other than SSL ports
> #http_access deny CONNECT !SSL_ports
>
> #http_access allow localnet
> http_access allow LAN
> http_access allow localhost
>
> # And finally deny all other access to this proxy
> http_access deny all
>
>
> y nada que me funciona. Si me pueden dar alguna idea seria de gran ayuda ya
> que hoy debo dejar esto solucionado.
>
> Por su atención y respuestas muchas gracias,
>
>
>
> Creo que debería asumir que estás configurando un proxy transparente que
> escucha en el puerto 1212 y has redirigido mediante iptables todas las
> peticiones al puerto 80 y 443 al puerto 1212 de squid.
>
> Si es así, el problema radica en que no se pueden hacer pasar por un proxy
> transparentes conexiones a los puertos http seguros (443), justamente los
> que usan gmail y hotmail principalmente para la autenticación. No se trata
> de un error, es una característica de las conexiones SSL, en este caso
> tienes que natear o enmascarar todo lo que vaya al puerto 443 y *no* hacerlo
> pasar por el proxy transparente (squid).
>
> En realidad hay una forma de hacer pasar las peticiones seguras a un proxy
> transparente pero no es una solución recomendada, rompe los estándares y
> significa un problema de seguridad y hasta legal (hay que "engañar" a los
> servidores con el tema de certificados y demás)
>
> En fin, la solución es natear
>
> --
> Jorge A. Toro Hoyos
> Ing. Teleinformático.
> CumbiaTIC, Dir. División de Informática COR, Esp. GNU/Linux, Esp. Desarrollo
> de Software.
> http://jolthgs.wordpress.com/
> --------------------------------------------------------------
> Powered By Debian.
> Developer Bullix GNU/Linux.
> --------------------------------------------------------------
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
>
> iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x
> p4+4FNUHPDUx1lU9F8WSKCA=
> =zRhQ
> -----END PGP SIGNATURE-----
> Este correo esta protegido bajo los términos de la Licencia
> Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative
> Commons. Observé la licencia visitando este sitio
> http://creativecommons.org/licenses/by-sa/2.5/co/.
>
> Saludos
>

concuedo con Federico en Squid no puedes pasar las conexines hhtps (puerto 443)
solo elimina esa regla de iptables y de iptables y debera funcionar

--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Archive: http://lists.debian.org/AANLkTik-ccbLrfwkOaUtM2yWQhP1CgMkwnKjmDZ7iP_@mail.gmail.com