Squid + Turtle firewall + red windows
Miguel Oyarzo
miguelaustro en gmail.com
Jue Mayo 12 09:35:29 CLT 2011
Seguro que es tu firewall ipatables el que deja pasar la conexion
conexion HTTPS en forma directa,
mediante un FORWARD -j ACCEPT o algo similar.
Supongo que es una mala idea que al redirijir conexiones SSL/HTTPS hacia
un proxy Port cualquiera este pueda desencriptar un paquete encriptado
por algoritmos utra seguros, crear una nueva conexion con el servidor
final y trabajar transparentemente en el medio como si nada pasara.
En principio suena un poco peligroso desde el punto de vista de
seguridad, no obstante no creo que sea imposible, quizas creando
certificados publicos y privados e instalandolos en Squid este pueda
manejar estra tremenda tarea de desencriptar y re-encriptar con el host
de destino... no se si una maquina chica aguante tal operacion sin que
le salga humito a la cpu y relentice la conexion.
Saludos,
=====================================
Miguel Oyarzo O.
ICT Network Engineer
Melbourne, Australia
miguelaustro en gmail.com
Linux User: # 483188 - counter.li.org
=====================================
On 12/05/2011 3:49 AM, Alpha Beta wrote:
> Yo hago la siguiente prueba...
>
> Configuro el browser para que siempre salga por el proxy. Luego le pido al
> browser que me pida autenticacion de usuario. Si no le entrego los datos de
> autenticacion (user pass) el browser me entrega el tipico error de
> autenticacion (acces denied). Sobre la misma pantalla digito la direccion
> httpS://www.facebook.com y el navegador la encuentra!!!! Entiendo que el que
> me responde es el FW no el proxy. ¿o me equivoco?
>
> ABH.
>
>
>
> El 11 de mayo de 2011 12:50, Marcos Ramirez<mramireza en sanidadnaval.cl>escribió:
>
>> On Wed, 2011-05-11 at 11:47 -0400, Alpha Beta wrote:
>>> Tengo en un servidor *SuSE 9.3* + squid 2.5 transparente y Turtle
>> firewall
>>> [...]
>>> Se me presentó el problema que no logro bloquear facebook por el puerto
>> 443,
>>> osea httpS://www.facebook.com.
>>>
>>> Segun lo que he leido, solo tengo la opcion de bloquearlo por ip a traves
>> del FW.
>>
>>> REJECT tcp(443) mh7-net --> fcbook5
>>> [...]
>>> REJECT tcp(443) mh7-net --> fcbook3
>>>
>>> Donde mh7-net es la ip de mi red interna (lan)
>>> Y fcbook..n contiene las ips publicas de facebook (son varias)
>>> Aqui viene lo extraño... si el usuario quita la configuracion del
>>> proxy en la opciones del navegador el FW lo bloquea...
>>> pero si deja la configuracion en el navegador la pagina si la carga.
>> Por supuesto!
>>
>> Cuando actua el proxy transparente, la conexion del browser se redirije
>> del puerto 443 al proxy, por lo que actua el firewall. Cuando configura
>> el browser para que use el proxy, la conexion cliente -> servidor se
>> realiza /siempre/ a traves del proxy por lo que el fw jamas detecta la
>> conexion por el puerto 443.
>>
>> En resumen, no sacas mucho con bloquear en el fw, sino que deberias
>> hacerlo en la configuracion del squid (acl deny).
>>
>> atte.
>>
>>
>>
>>
Más información sobre la lista de distribución Linux