Proxy Tranparente con iptables

FlacoNet · #1 (**permalink**) 11/11/2003, 18:54

Hola a Todos.....

Tengo un RD 9 con squid instalado y mi intencion es la de usarlo como proxy transparente....
Segui un manual que me decia que para que el proxy sea transparente debia recompilar el kernel con ipnetfilter, masquerade y algunas otras opciones mas..Bueno ..a esto ya lo hice a el proxy esta andando bien.....Solo necesito poner la puerta de enlace en cada cliente y puedo navegar (por ahora solo navegar)..

Ahora bien, aqui va mi problema y es que no puedo desde los clientes usar el puerto 433 (https), para conectarme a hotmail..por ejemplo.
Puse una regla en iptables que me dirige los paquetes recibidos en el 80 hacia el 3128.. asi:
En el proxy tengo 2 placas de red como corresponde..

Código:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

...donde eth1 es la placa de red que accede a la lan...

probe realmente y lei de todo pero no encuentro nada para solucionar el problema...Llevo dias en esto y no se que puedo hacer

Una cosa..cdo configuro el navegador para salir por el proxy no tengo problemas pero en la caso no estaria usando el proxy transparente...
Tengo varios ejemplos pero ninguno usa REDIRECT , quizas es por que no esta configurado como transparente..
Saben Uds. que debo hacer....Les agrezco su atencion!!

yalta · #2 (**permalink**) 11/11/2003, 20:32

intenta
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.2 -J MASQUERADE

donde eth0 esta conctada a internet y 192.168.1.2 la maquina que le quieres dar paso libre a todo

a, y el navegador configurado como conexion (no por proxy) por lan

gomo · #3 (**permalink**) 11/11/2003, 21:55

Imagino que estás usando el proxy configurado de modo tal que use un cache para acelerar las páginas estáticas.
El tema es que las páginas seguras (https) no son puestas en cache por squid por cuestiones obvias de seguridad (ataque "man in the middle" y afines). Aun así, squid es capaz de hacer tunneling de conexion https (directiva https_port en squid.conf) pero NO es recomendable.
Deberías simplemente hacer NAT de los requests que van hacia puertos externos TCP 433 en lugar de usar proxy transparente para esto, ya que carece de utilidad.
Saludos ;)

FlacoNet · #4 (**permalink**) 12/11/2003, 14:22

Gracias por tu comentario pero ya proble esa regla de iptables y no me dio resultado......

Cita:

Mensaje Original por gomo
Deberías simplemente hacer NAT de los requests que van hacia puertos externos TCP 433 en lugar de usar proxy transparente para esto, ya que carece de utilidad.
Saludos ;)

Aqui hay algo que no entiendo...hacer nat es usar las reglas de iptables con la tabla NAT (PREROUTING y POSTROUTING)? en definitiva seria realizar una redireccion?
Como tu dices no es seguro formar esta situacion pero como resolveria entonces?

La idea mia es simple. Configurar un servidor proxy con squid que sea transparente..es decir, que no sea necesario configurar cada uno de los programas utilizados en los clientes , donde baste con poner la puerta de enlace solamente.
En tal caso como redirijo las peticiones al 433?
Todo lo que se solicita por el puerto 80 se direcciona bien, pero al usar el 433 tengo problemas...lo mismo me pasa con el 110 y 25.

Bueno...espero que se entienda mi problema...
Yo mientras tanto sigo buscando en internet que me de como crear dichas reglas...

yalta · #5 (**permalink**) 12/11/2003, 16:47

mira tengo una maquina con squid sin reglas iptables es decir el demonio ni esta cargado.
el squid esta configurado todo abierto y de cualquier maquina de red salgo a hotmail cuentas de banco y todo.
no redirecciono nada solo configuro las maquinas para que salgan a internet por un proxi 192.168.1.1 puerto 3128 y ya esta

el iptables es para proteger puertos y acceso de usuarios no autorizados..

FlacoNet · #6 (**permalink**) 12/11/2003, 19:18

Cita:

Mensaje Original por yalta
solo configuro las maquinas para que salgan a internet por un proxi 192.168.1.1 puerto 3128 y ya esta. El iptables es para proteger puertos y acceso de usuarios no autorizados..

Hola de Nuevo , Yalta, como vos decis estarias configurando un proxy convencional, no seria transparente. Lo bueno, desde mi punto de vista de crear un proxy transparente es que no debo cambiar la configuracion de cada cliente para poder salir a internet. A eso quiero llegar.
Por que lo que hago con NAT es redireccionar puertos, por ejemplo cdo hay una peticion hacia el puerto 80 lo redirecciono hacia el 3128 (donde escucha el squid) y funciona..
Mi problema, es con otros puertos como el 443, que no se como crear una regla que funcione en tal caso..

Saludos y quedo a la espera de sus mensajes..

gomo · #7 (**permalink**) 12/11/2003, 19:24

No se a que te refieres con "el demonio no esta cargado". Iptables no usa ningun demonio.
Squid si puede hacer "tunneling" de https, como tu dices, te conectas con este protocolo a través del squid. Sin embargo esto carece de utilidad y incluso puede no ser muy beneficioso desde el punto de la seguridad.
El objetivo del proxy transparente es hacer cache de las páginas para así hacer mas rápida la navegación para muchos clientes. Si no necesitas esta funcionalidad entonces simplemente usas una regla de postrouting.
HTTPS funciona perfectamente sobre NAT si no te anda deberías ver tus líneas de iptables.
Saludos ;)

FlacoNet · #8 (**permalink**) 13/11/2003, 18:31

Muy bien, entonces voy a habilitar el https_port del squid como dices.
Pero si hago esto no es conveniente para la seguridad,
Como podria tener seguridad ,proxy transparente y cache a la vez?

Mi intencion de proxy transparente era de no tener que configurar todos los clientes con la configuracion del proxy(Tipica configuracion de un cyber) Acaso estoy equivocado???

Tengo un duda!. Solo si el proxy es transparente hace cache? Mmm, la verdad que esto es nuevo para mi, creia que no tenia nada que ver. Que opinas?

Espero sus comentarios, estoy casi por descubrir el problema....
No me dejen solo!!

jaaa
Hasta pronto