Re: Proxy transparente squid sobre https
Buenas,
Yo tengo una duda como cierro facebook por ejemplo por https, he leido
buscando en google y he encontrado que no se hace por squid sino por
iptables, pero las soluciones que he visto me parecen algo confusas y
por supuesto no quiero cerrar el puerto 443 porque denegaria a ciertas
paginas web que si son importantes por https y yo solo quiero cerrar
el bendito facebook, pero no se como ya que las soluciones leidas me
parecen no se impracticas.
Gracias.
Nicolás Disquin
2013/7/9 Alberto <alberto@bersol.info>:
> El 09/07/13 21:56, Constantino Vargas escribió:
>>
>>
>> Mi config:
>>
>> http_port 3128 transparent
>> cache_mem 100 MB
>> cache_dir ufs /var/spool/squid3 150 16 256
>> cache_access_log /var/log/squid3/access.log
>> cache_log /var/log/squid3/cache.log
>> acl red_local src 10.100.0.0/16 <http://10.100.0.0/16>
>> acl localhost src 127.0.0.1/32 <http://127.0.0.1/32>
>>
>> acl all src all
>> httpd_accel_port 80
>> httpd_accel_with_proxy on
>> http_access allow localhost
>> http_access allow red_local
>>
>> Gracias por contestar.
>>
>> Saludos.
>>
>>
>>
>> Ya lo he solucionado. Para quien le interese, he agregado estas dos
>> lineas a squid.conf:
>>
>> acl https port 443
>>
>> http_access allow https
>>
>
> Caramba, este hilo no lo he visto yo... :-P
>
> supongo que tienes un Squid 3 o superior, o bien lo has compilado, ya que
> por defecto no solian venir compilados los binarios de paquetería con la
> opcion de ssl
>
> De hecho, me suena que seguian sin venir...
>
> root@localhost:~# squid3 -v
> Squid Cache: Version 3.1.20
> configure options: '--build=i486-linux-gnu' '--prefix=/usr'
> '--includedir=${prefix}/include' '--mandir=${prefix}/share/man'
> '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var'
> '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode'
> '--disable-dependency-tracking' '--disable-silent-rules'
> '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3'
> '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline'
> '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd'
> '--enable-removal-policies=lru,heap' '--enable-delay-pools'
> '--enable-cache-digests' '--enable-underscores' '--enable-icap-client'
> '--enable-follow-x-forwarded-for'
> '--enable-auth=basic,digest,ntlm,negotiate'
> '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM'
> '--enable-ntlm-auth-helpers=smb_lm,'
> '--enable-digest-auth-helpers=ldap,password'
> '--enable-negotiate-auth-helpers=squid_kerb_auth'
> '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
> '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2'
> '--disable-translation' '--with-logdir=/var/log/squid3'
> '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536'
> '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter'
> 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector
> --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall'
> 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2'
> 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat
> -Werror=format-security'
> --with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20
>
> Efectivamente!
>
> sigue sin venir compilado con la opcion "enable-ssl" en los binarios de
> paqueteria, con lo cual, esas opciones no funcionarian
>
>> Acabo de implementar squid con debian 7, buscando información sobre el
>> tema indican que hay que hacerlo de forma transparente para forma
>> automatica el resto de pcs puedan pasar por squid.
>>
>> esto es lo que hice en squid.conf
>>
>> http_port 3128
>> cache_mem 42 MB
>> cache_dir ufs /var/spool/squid 500 16 256
>> acl miredcasa src192.168.100.1/24 <http://192.168.100.1/24>
>>
>> acl noway url_regex"/etc/squid/prohidos"
>> http_access deny noway
>> http_access allow miredcasa
>>
>> Para que mi squid pueda trabajar en modo transparente tengo que agregar lo
>> que le diferencia de la configuración que compartes.
>>
>> Por otro lado en la información que hay en internet indican que un
>> servidor proxy debe haber dos interfaces de red, en mi caso mi servidor,
>> que esta actualmente como un DNS cache con BIND9 y Samba tiene dos
>> interfaces de red pero esta trabajan como switch o brigde.
>>
>> eth0 esta conectado a un dispositivo wifi de 5.8Ghz por donde tengo acceso
>> internet y la eth1 se conecta a una AP de 2.4 Ghz por donde mi pc de
>> personal, mi tablet y telefono movil se conecta via wifi
>>
>> esta es mi configuración en interfaces:
>>
>> auto lo
>> iface lo inet loopback
>>
>> auto br0
>> iface br0 inet static
>> address 192.168.100.10
>> netmask 255.255.255.0
>> gateway 192.168.100.1
>> network 192.168.100.0
>> broadcast 192.168.100.255
>> bridge_ports eth0 eth1
>> bridge_maxwait 0
>>
>> gracias por sus respuestas
>>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> Archive: [🔎] 51DC8CAE.5010902@bersol.info">http://lists.debian.org/[🔎] 51DC8CAE.5010902@bersol.info
>
Reply to: