El 18/02/11 09:58, Jorge Toro escribió:
Hola lista,
Características del servidor:
Por favor, comienza con la descripción de tu problema, así es más fácil
ver de una mirada si te podemos ayudar o no
Tabla de iptables:
gate100:~# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0
0.0.0.0/0
ACCEPT all -- 192.168.0.0/24 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
gate100:~# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0
0.0.0.0/0
tcp dpt:80 redir ports 1212
REDIRECT tcp -- 0.0.0.0/0
0.0.0.0/0
tcp dpt:443 redir ports 1212
REDIRECT tcp -- 0.0.0.0/0
0.0.0.0/0
tcp dpt:80 redir ports 1212
REDIRECT tcp -- 0.0.0.0/0
0.0.0.0/0
tcp dpt:443 redir ports 1212
REDIRECT tcp -- 0.0.0.0/0
0.0.0.0/0
tcp dpt:80 redir ports 1212
REDIRECT tcp -- 0.0.0.0/0
0.0.0.0/0
tcp dpt:443 redir ports 1212
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0
MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0
MASQUERADE all -- 192.168.0.0/24 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Donde tengo como destino predeterminado para las tablas INPUT, OUTPUT y
FORWARD = ACCEPT
Este servidor funciona como puerta de enlace para la red 192.168.0.0/24
el problema radica en que cuando la configuración de squid permite a
toda la subred salir trasparentemente y sin restricciones pero el
problema que tengo es cuando intento ingresar a gmail.com o hotmail.com con
los siguiente errores:
Cuando ingreso por cualquier navegador me dice:
Fallo en conexión segura
Un error ha ocurrido al conectarse a login.live.com.
SSL received a record that exceeded the maximum permissible length.
(Código de error: ssl_error_rx_record_too_long)
# tail -f /var/log/squid/access.log
1297980746.225 318 192.168.0.211 TCP_MISS/302 1114 GET http://mail.google.com/mail/
- DIRECT/74.125.45.19
text/html
1297980746.229 0 192.168.0.211 TCP_DENIED/400 1550 NONE
error:invalid-request - NONE/- text/html
# squidview
0.211 mail.google.com/mail/
0.211 d error:invalid-request
Mi conclusión es que no pude bajar las SSL para poderse conectar, pero
porque me sucede esto ya que he intentado de todo hasta comente las
lineas de bloquean los puertos:
# Deny requests to unknown ports
#http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
#http_access deny CONNECT !SSL_ports
#http_access allow localnet
http_access allow LAN
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
y nada que me funciona. Si me pueden dar alguna idea seria de gran
ayuda ya que hoy debo dejar esto solucionado.
Por su atención y respuestas muchas gracias,
Creo que debería asumir que estás configurando un proxy transparente
que escucha en el puerto 1212 y has redirigido mediante iptables todas
las peticiones al puerto 80 y 443 al puerto 1212 de squid.
Si es así, el problema radica en que no se pueden hacer pasar por un
proxy transparentes conexiones a los puertos http seguros (443),
justamente los que usan gmail y hotmail principalmente para la
autenticación. No se trata de un error, es una característica de las
conexiones SSL, en este caso tienes que natear o enmascarar todo lo que
vaya al puerto 443 y *no* hacerlo pasar por el proxy transparente
(squid).
En realidad hay una forma de hacer pasar las peticiones seguras a un
proxy transparente pero no es una solución recomendada, rompe los
estándares y significa un problema de seguridad y hasta legal (hay que
"engañar" a los servidores con el tema de certificados y demás)
En fin, la solución es natear
--
Jorge A. Toro Hoyos
Ing. Teleinformático.
CumbiaTIC, Dir. División de Informática COR, Esp. GNU/Linux, Esp.
Desarrollo de Software.
http://jolthgs.wordpress.com/
--------------------------------------------------------------
Powered By Debian.
Developer Bullix GNU/Linux.
--------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQBIWWH6q7mzdgTzI5ARAkX5AJ9TR6hL2ocLMOUDRfhts8DlVl+jpwCeNw5x
p4+4FNUHPDUx1lU9F8WSKCA=
=zRhQ
-----END PGP SIGNATURE-----
Este correo esta protegido bajo los términos de la Licencia
Atribución-Compartir Obras Derivadas Igual a 2.5 Colombia de Creative
Commons. Observé la licencia visitando este sitio http://creativecommons.org/licenses/by-sa/2.5/co/.
Saludos
|