enero 21, 2019, 05:30:04 am

Noticias:

Por motivos de la actualización realizada en Septiembre 2018, es necesario restablecer la contraseña. Si tienes problemas, escribe a [email protected]


Buscar en el sitio


Servidor de este foro

Iniciado por chaco, agosto 15, 2006, 02:33:45 pm

« anterior - próximo »

0 Usuarios y 1 Visitante están viendo este tema.

Ir Abajo

chaco

Cita de: "JorgeAVM"Este foro está montado sobre un Athlon XP 1700+, 512MB DDR266, 40 GB Disco Duro IDE, como ven no es la gran cosa, pero funciona bien, quizá le noten algo lento pero es por nuestra conexión a Internet, estamos en Pérez Zeledón y nos conectamos a Heredia (Sede Central de la UNA) mendiante un enlace dedicado de 256K. Esto suma mucha latencia. Heredia se conecta a Internet a 10 MBps. Esperamos subir nuestro enlace a 2 MBps

Este servidorcito, tiene a cargo el foro y un servidor proxy encargado de brindar servicio a todo el campus, que cuenta con más de 120 PCs.

Sistema Operativo: Linux (Debian). :wink:

No era para menos, el DIOS DEBIAN.

Como proxy no dudo en pensar que es squid verdad ? Con Iptables tal vez con proxy transparente ?

Tiene las X arriba el server ?
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

JorgeAVM

Cita de: "chaco"No era para menos, el DIOS DEBIAN.

Como proxy no dudo en pensar que es squid verdad ? Con Iptables tal vez con proxy transparente ?

Tiene las X arriba el server ?

Así es, usa squid.
El proxy transparente está instalado parcialmente, es decir, no funciona para páginas seguras ... :roll: no estoy muy seguro de cómo solucionarlo. Leí por ahí un procedimiento para que funcione con páginas seguras, instalando no sé qué cosas de seguridad, no sé si Chaco pueda darme una luz, seguro que será bueno abrir un hilo aparte para eso ... :wink: (hecho)

Y eso de las X a qué te refieres? :?:

chaco

Cita de: "JorgeAVM"
Cita de: "chaco"No era para menos, el DIOS DEBIAN.

Como proxy no dudo en pensar que es squid verdad ? Con Iptables tal vez con proxy transparente ?

Tiene las X arriba el server ?

Así es, usa squid.
El proxy transparente está instalado parcialmente, es decir, no funciona para páginas seguras ... :roll: no estoy muy seguro de cómo solucionarlo. Leí por ahí un procedimiento para que funcione con páginas seguras, instalando no sé qué cosas de seguridad, no sé si Chaco pueda darme una luz, seguro que será bueno abrir un hilo aparte para eso ... :wink: (hecho)

Y eso de las X a qué te refieres? :?:

Ok, voy a recolectar info sobre eso.
Con las X me refiero a si el servidor tienes la parte grafica instalada y corriendo
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

JorgeAVM

Ah ya ...
Pues no, la interfaz gráfica no se la instalé, de hecho el monitor pasa apagado todo el tiempo jeje :D

Si puedes darme una luz con eso del proxy transparente para páginas seguras, te lo agradecería ... :wink:
Un saludo.

chaco

Cita de: "JorgeAVM"Ah ya ...
Pues no, la interfaz gráfica no se la instalé, de hecho el monitor pasa apagado todo el tiempo jeje :D

Si puedes darme una luz con eso del proxy transparente para páginas seguras, te lo agradecería ... :wink:
Un saludo.

El problema con el proxy trasnparente y las paginas seguras es por que Squid no puede NI DEBE hacer cache de paginas https dado que viajan encriptadas.

Las comunicaciones HTTP van por el puerto 80 las HTTPS por el 443
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

chaco

Intento de Solucion Proxy Transparente + Iptables + SSL


#En el archivo de squid
#Proxy Acelerado: Opciones para Proxy Transparente.

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

Re-direccionamiento de peticiones.
En un momento dado se requerirá tener salida transparente hacia Internet para ciertos servicios, pero al mismo tiempo se necesitará re-direccionar peticiones hacia servicio Web, Web SSL, ftp, gopher o WAIS hacia el el puerto donde escucha peticiones Squid (3128), de modo que no haya salida alguna hacia alguno de estos protocolos sin que ésta pase antes por Squid.
El re-direccionamiento lo hacemos a través de iptables. Considerando para este ejemplo que la red local se accede a través de una interfaz eht0, el siguiente esquema ejemplifica un re-direccionamiento:

 
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

 

Lo anterior hace que cualquier petición hacia el puerto 80 (servicio HTTP) hecha desde la red local hacia el exterior, se re-direccionará hacia el puerto 3128 del servidor.
Considerando lo anterior, con el fin de re-direccionar peticiones hacia los puertos 20 (FTP-data), 21 (FTP), 70 (GOPHER), 80 (HTTP), 210 (WAIS) y 443 (HTTPS), podemos añadir al guión del muro contrafuegos lo siguiente:

 
Re-direccionamiento de servicios ordinarios con iptables.
# FTP-data

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20 -j REDIRECT --to-port 3128

# FTP

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j REDIRECT --to-port 3128

# GOPHER

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 70 -j REDIRECT --to-port 3128

# HTTP

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# WAIS

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 210 -j REDIRECT --to-port 3128

# HTTPS

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

 

Puede añadirse re-direccionamiento hacia otros puertos menos usuales pero que llegan ser utilizados para acceder hacia algún servicio, com por ejemplo el 81, utilizado en ocasiones como alternativo para HTTP, y el 563, utilizado para NNTP sobre SSL.

También se pueden re-direccionar los puertos utilizados por los clientes de mensajería instantánea, siempre que estos permitan hacer uso de un servidor proxy, ya que de lo contrario quedarían bloqueados, como sería el caso del protocolo ICQ, mismo que no tiene soporte para servidor proxy.

    * AIM: puertos 9898, 5190 al 5193.
    * Yahoo! Messenger: puertos 5050 u 80 para mensajes, 5000 al 5010 para conversaciones por voz y 5100 para vídeo.
    * MSN Messenger: puerto 1863, y 80 si no puede usarse el primero.

 
Re-direccionamiento de otros servicios con iptables.
# A veces utilizado para HTTP

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 -j REDIRECT --to-port 3128

# NNTP sobre SSL

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 563 -j REDIRECT --to-port 3128

# AIM

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9898 -j REDIRECT --to-port 3128

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5190:5193 -j REDIRECT --to-port 3128

# Yahoo! Messenger

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5000:5010 -j REDIRECT --to-port 3128

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5050 -j REDIRECT --to-port 3128

# MSN Messenger

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

JorgeAVM

Eso ...
Pero ese no es el problema, lo difícil consiste en que las peticiones del navegador van encriptadas, así que el squid no las va a entender cuando funciona como proxy transparente.
Leí por ahí un supuesto artilegio para lograr que funcione ... a ver si lo vuelvo a encontrar ... :roll:

JorgeAVM

Bien ... una solución que me parece aceptable, es la de no hacer pasar el protocolo https por el proxy, sino que el servidor haga las de un gateway o router, que ya de por sí, no se hace cacheo de las páginas seguras.

Cómo NATeo eso? :?:

chaco

Cita de: "JorgeAVM"Bien ... una solución que me parece aceptable, es la de no hacer pasar el protocolo https por el proxy, sino que el servidor haga las de un gateway o router, que ya de por sí, no se hace cacheo de las páginas seguras.

Cómo NATeo eso? :?:


# HTTPS

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

JorgeAVM

Cita de: "chaco"/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

Esto serviría para hacerlo pasar por el squid ... :roll:

chaco

Cita de: "JorgeAVM"
Cita de: "chaco"/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

Esto serviría para hacerlo pasar por el squid ... :roll:


DEBERIA DE FUNCIONAR.

Con esa regla de iptables se redirecciona el trafico del puerto 443 (SSL) al puerto 3128 del squid
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

JorgeAVM

Cita de: "chaco"El problema con el proxy trasnparente y las paginas seguras es por que Squid no puede NI DEBE hacer cache de paginas https dado que viajan encriptadas.

...

Apenas me quede un chance vuelvo a hacer pruebas, si Dios me da vida claro! :wink:

chaco

Bueno, ahi nos contas a ver como sale.
This is Unix-Land. In quiet nights, you can hear the Windows machines reboot"

Ir Arriba
 

Redes Sociales

Bienvenido, Invitado.
Por favor inicia sesión o regístrate.
 
 
 
¿Olvidó su contraseña?

Buscar en el sitio

Powered by EzPortal