[Ayuda] iptables https

Gunnar Wolf gwolf en gwolf.org
Jue Dic 7 10:24:52 CST 2006 

Wilson Acha dijo [Wed, Dec 06, 2006 at 02:01:01PM -0400]:
> hola, hasta ahora he configurado mi squid para permitir que las pcs de
> mi Lan tengan acceso a internet, he probado configurando el proxy en
> el browser y todo ok, pero cuando queiro que sea transaparente
> haciendo uso de iptables, tengo el inconveniente que los sitios con
> https no pueden ser accedidos, como pudo hacer para que esto funcione?
> 
> este es mi script de iptables:
> (...)
> #squid
> iptables -t nat -A PREROUTING -i $LAN_NIC -p tcp --dport 80 -j REDIRECT --to-ports 3128
> #iptables -t nat -A PREROUTING -i $LAN_NIC -p tcp --dport 443 -j REDIRECT --to-ports 3128
> (...)
> #HTTP y HTPPS
> iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Hola,

Lamento decirte que esto no va a funcionar - Al menos, no así de
simple, y no de manera transparente. ¿Por qué? Porque https va cifrado
- La razón de ser del protocolo es que nadie entre el navegador y el
servidor pueda enterarse de qué se trata la solicitud, ni modificar la
solicitud o el contenido. Lo único que puedes ver desde fuera es un
paquete entre la IP de cada una de tus máquinas, y puedes saber que es
un flujo cifrado principalmente porque el puerto 443. Squid podría,
sí, "encaminar" esta solicitud [1], pero en realidad no ganarías
nada. 

Leí hace algún tiempo que es posible montar un esquema en el que Squid
efectivamente entendiera y actuara como proxy en este caso - Nunca lo
he probado ni sabría describirte cómo hacerlo. Tienes que montar un
certificado SSL en Squid, y a cada uno de tus clientes configurarle
que le asigne confianza absoluta. Manualmente indicas a tus clientes
que usen a Squid como su proxy para https. Claro, te será imposible
verificar el certificado de cada uno de los proveedores de contenido
cifrado (esto es, no puedes darle doble clic al candadito para ver si
realmente estás conectado a mibancote.com y no a fraudeenlinea.com),
pues tu conexión cifrada punto a punto va contra el Squid, no contra
el servidor destino.

[ Esto aplica para Squid y para _cualquier_ otro proxy de http/https ]

Saludos,

[1] http://www.squid-cache.org/Doc/FAQ/FAQ-1.html#ss1.12

-- 
Gunnar Wolf - gwolf en gwolf.org - (+52-55)5623-0154 / 1451-2244
PGP key 1024D/8BB527AF 2001-10-23
Fingerprint: 0C79 D2D1 2C4E 9CE4 5973  F800 D80E F35A 8BB5 27AF

 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda