Seguro que es tu firewall ipatables el que deja pasar la conexion
conexion HTTPS en forma directa,
mediante un FORWARD -j ACCEPT o algo similar.
Supongo que es una mala idea que al redirijir conexiones SSL/HTTPS hacia
un proxy Port cualquiera este pueda desencriptar un paquete encriptado
por algoritmos utra seguros, crear una nueva conexion con el servidor
final y trabajar transparentemente en el medio como si nada pasara.
En principio suena un poco peligroso desde el punto de vista de
seguridad, no obstante no creo que sea imposible, quizas creando
certificados publicos y privados e instalandolos en Squid este pueda
manejar estra tremenda tarea de desencriptar y re-encriptar con el host
de destino... no se si una maquina chica aguante tal operacion sin que
le salga humito a la cpu y relentice la conexion.
Saludos,
=====================================
Miguel Oyarzo O.
ICT Network Engineer
Melbourne, Australia
miguelaus...@gmail.com
Linux User: # 483188 - counter.li.org
=====================================
On 12/05/2011 3:49 AM, Alpha Beta wrote:
Yo hago la siguiente prueba...
Configuro el browser para que siempre salga por el proxy. Luego le pido al
browser que me pida autenticacion de usuario. Si no le entrego los datos de
autenticacion (user pass) el browser me entrega el tipico error de
autenticacion (acces denied). Sobre la misma pantalla digito la direccion
httpS://www.facebook.com y el navegador la encuentra!!!! Entiendo que el que
me responde es el FW no el proxy. ¿o me equivoco?
ABH.
El 11 de mayo de 2011 12:50, Marcos Ramirez<mramir...@sanidadnaval.cl>escribió:
On Wed, 2011-05-11 at 11:47 -0400, Alpha Beta wrote:
Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle
firewall
[...]
Se me presentó el problema que no logro bloquear facebook por el puerto
443,
osea httpS://www.facebook.com.
Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves
del FW.
REJECT tcp(443) mh7-net --> fcbook5
[...]
REJECT tcp(443) mh7-net --> fcbook3
Donde mh7-net es la ip de mi red interna (lan)
Y fcbook..n contiene las ips publicas de facebook (son varias)
Aqui viene lo extraño... si el usuario quita la configuracion del
proxy en la opciones del navegador el FW lo bloquea...
pero si deja la configuracion en el navegador la pagina si la carga.
Por supuesto!
Cuando actua el proxy transparente, la conexion del browser se redirije
del puerto 443 al proxy, por lo que actua el firewall. Cuando configura
el browser para que use el proxy, la conexion cliente -> servidor se
realiza /siempre/ a traves del proxy por lo que el fw jamas detecta la
conexion por el puerto 443.
En resumen, no sacas mucho con bloquear en el fw, sino que deberias
hacerlo en la configuracion del squid (acl deny).
atte.
