[opensuse-es] Problemas con proxy transparente (squid)
Tengo instalado, configurado y en produccion un Servidor Poxy/Gateway en SLES 10.0 Funciona bien, PERO No funciona al solo poner como enlace(gateway) al ip del servidor Cuando lo hago de esa manera me funcionan en las maquinas cliente todas las paginas que son http pero no las https Me imagino que es porque en el /etc/sysconf/SuSEfirewall2 solamente agregue un FW de toda red del puerto 80 al 3128 Pero como manejo el puerto 443(https) ??? En teoria manejo que no debe de cachearse esas paginas por el hecho que son privadas y pues de hecho no se pueden cachear :p ** OJO ** Cuando pongo la configuracion del proxy en los exploradores y especifico utilizar el proxy en todos los puertos FUNCIONA DE MARAVILLA con todos los puertos (incluyendo 443) Lo raro es que en los logs sale registrado la peticion y coneccion 443 ========== Un poco mas de datos ... Solo estoy usando 1 sola tarjeta de red Y el server es quien esta configurado para dirigir todo el trafico hacia el modemADSL con mi coneccion a internet :) ========== Alguien tiene alguna idea de que puede estar pasando ??? -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 16/07/08, Alex Rodriguez escribió:
Tengo instalado, configurado y en produccion un Servidor Poxy/Gateway en SLES 10.0
Funciona bien, PERO No funciona al solo poner como enlace(gateway) al ip del servidor
Mira a ver si te sirve lo que pone en el manual de sles 10: Configuring a Transparent Proxy http://www.novell.com/es-es/documentation/sles10/sles_admin/data/sec_squid_p... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/7/16 Camaleón
El 16/07/08, Alex Rodriguez escribió:
Tengo instalado, configurado y en produccion un Servidor Poxy/Gateway en SLES 10.0
Funciona bien, PERO No funciona al solo poner como enlace(gateway) al ip del servidor
Mira a ver si te sirve lo que pone en el manual de sles 10:
Configuring a Transparent Proxy http://www.novell.com/es-es/documentation/sles10/sles_admin/data/sec_squid_p...
NADA :( Hice estos cambios En el SuSEfirewall2 ### iptables nat ### Chain PREROUTING (policy ACCEPT 164K packets, 10M bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT tcp -- * * 192.168.73.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128 0 0 REDIRECT tcp -- * * 192.168.73.0/24 0.0.0.0/0 tcp dpt:443 redir ports 3128 En el squid.conf ya esta segun el manual La unica diferencia que tengo es que solo ocupo una eth1 para RED / INTERNET Saludos -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/7/16, Alex Rodriguez:
NADA :(
Ouch.
Hice estos cambios
En el SuSEfirewall2 ### iptables nat ### Chain PREROUTING (policy ACCEPT 164K packets, 10M bytes) pkts bytes target prot opt in out source destination 0 0 REDIRECT tcp -- * * 192.168.73.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128 0 0 REDIRECT tcp -- * * 192.168.73.0/24 0.0.0.0/0 tcp dpt:443 redir ports 3128
En el squid.conf ya esta segun el manual
¿Y en los registros de squid ves alguna cosa cuando intentas acceder a alguna página bajo ssl?
La unica diferencia que tengo es que solo ocupo una eth1 para RED / INTERNET
Ahí me has "pillao". ¿Es necesario dos adaptadores de red para enrutar el tráfico hacia / desde el proxy? :-? Espera mejor que venga algún gurú del "calamar" O:-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 16 de julio de 2008 12:03, Camaleón
¿Y en los registros de squid ves alguna cosa cuando intentas acceder a alguna página bajo ssl?
En el /var/log/squid/access.log Ni siquiera aparecen ... Es como si nunca llegaran al squid (las peticiones de 80 www aparecen inmediatamente) Reitero .. Al poner las configuraciones en los exploradores web clientes y usar la misma configuracion en todos los puertos FUNCIONA y ahi si marca el LOG los accesos al 443, https
La unica diferencia que tengo es que solo ocupo una eth1 para RED / INTERNET
Ahí me has "pillao". ¿Es necesario dos adaptadores de red para enrutar el tráfico hacia / desde el proxy? :-?
Normalmente lo que se sugiere es que tengas 2 tarjeta de red 1. Coneccion con la red internta 2. Coneccion con la internet Para poder controlar lo que se hace internamente y lo que se hace externamente en dos espacios separados :) Solo se hace una enmascaracion de las dos tarjetas de red en el server y vas sobre :) Yo no lo quise hacer de ese modo porque cuando lo configure no me habia venido la segunda tarjeta de red :p Y de pronto paso al olvido el server :p (en Produccion) -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 16/07/08, Alex Rodriguez escribió:
En el /var/log/squid/access.log Ni siquiera aparecen ... Es como si nunca llegaran al squid (las peticiones de 80 www aparecen inmediatamente)
Reitero .. Al poner las configuraciones en los exploradores web clientes y usar la misma configuracion en todos los puertos FUNCIONA y ahi si marca el LOG los accesos al 443, https
Es decir, que en modo "no transparente", funciona :-? ¿Has probado con varios navegadores? No vaya a ser alguna trastada del explorer :-P Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/7/16 Camaleón
El 16/07/08, Alex Rodriguez escribió:
En el /var/log/squid/access.log Ni siquiera aparecen ... Es como si nunca llegaran al squid (las peticiones de 80 www aparecen inmediatamente)
Reitero .. Al poner las configuraciones en los exploradores web clientes y usar la misma configuracion en todos los puertos FUNCIONA y ahi si marca el LOG los accesos al 443, https
Es decir, que en modo "no transparente", funciona :-?
Veamos El modo "no transparente" si funciona El modo "transparente" funciona solo con www, 80 (no va con https) El modo "transparente" funciona cuando configuro las propiedades del proxy en el explorador
¿Has probado con varios navegadores? No vaya a ser alguna trastada del explorer :-P
Ahi si me ofendiste .... jejejejejeje Lo he probado con OPERA, FIREFOX, ICEWEASEL, KONQUEROR y con todos es el mismo clavo queda "colgado" cuando quiere conectarse a una https en cuanto lo configuro el proxy sale de inmediato -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2008/7/16, Alex Rodriguez:
Veamos El modo "no transparente" si funciona El modo "transparente" funciona solo con www, 80 (no va con https) El modo "transparente" funciona cuando configuro las propiedades del proxy en el explorador
Hum... por la "webe" se dice, se comenta que con proxy transparente no hay https que valga, al menos en squid 2.6 :-P.
Ahi si me ofendiste .... jejejejejeje
El explorer es uno de esos "males necesarios" :-)
Lo he probado con OPERA, FIREFOX, ICEWEASEL, KONQUEROR y con todos es el mismo clavo queda "colgado" cuando quiere conectarse a una https en cuanto lo configuro el proxy sale de inmediato
Pues espera a que alguien que sepa de squid te confirme si es posible lo del proxy transparente y el tráfico cifrado :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Alex Rodriguez
-
Camaleón