[LUG.ro] Squid / proxy forzado
Alberto Ferrer
lugro@lugro.org.ar
Wed, 16 Aug 2006 10:58:49 -0300
------=_Part_213505_4441970.1155736729861
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Con respecto a Squid y SSL, algo que encontre navegando por la red:
squid + transparent proxying + ssl prots ?:
Short answer: You can't.
Long answer: SSL is specifically designed to prevent "man in the middle"
attacks, and setting up squid in such a way would be the same as such a "ma=
n
in the middle" attack. You might be able to successfully achive this, but
not without breaking the encryption and certification that is the point
behind SSL.
2006/8/15, Omar Arino <oarino@fagdut.org.ar>:
>
> Gustavo Guillermo P=E9rez escribi=F3:
> > El Martes, 15 de Agosto de 2006 09:48, Omar Arino escribi=F3:
> >
> >> El proxy transparente con squid puede hacer que los clientes se
> conenten
> >> al puerto 80 (HTTP) sin necesidad de configurar nada, pero cuando
> quiera
> >> ingresar por ejemlo a Hotmail (nada personal, pero los usuarios de mi
> >> red me rompen lo cocos cuando no pueden ingresar), tuve que configurar
> >> el cliente (FIREFOX, o IE) para que utilicen Squid. El problema tambi=
=E9n
> >> ocurre con los clientes de mensajer=EDa instant=E1nea que tambi=E9n de=
ben
> >> configurarse para utiliza el proxy.
> >>
> > Yo no tengo ese problema, podr=EDas mencionar cuales son tus versiones =
de
> SQUID,
> > kernel e IPTABLES que est=E1s usando?. S=F3lo por curiosidad?, estoy
> pensando en
> > actualizar servidores que est=E1n muy bien protegidos y tal vez me sea
> =FAtil.
> >
> > Saludos.
> >
>
> Normalmente los programas de mensajer=EDa instant=E1nea utilizan su propi=
o
> puerto y si esto deben comunicase desde adentro de una red tenes que
> como m=EDnimo enmascarar ese puerto para que pueden ser utilizado.
> En mi caso particular para no enmascarar puertos directamente obligo a
> los clientes a configurar los mensajeros para utilizar el proxy, de esta
> manera si o si controlo quien se conecta y quien no y adem=E1s verifico e=
l
> tr=E1fico y el uso de la conexi=F3n a internet (en mi caso particular est=
a
> es un recurso educativo y su utilizaci=F3n debe estar relacionada a esta
> actividad).
>
> Por esto toda conexi=F3n a internet se realiza a travez del proxy.
>
> En cuanto al soft estoy utilizando Debian Sarge 3.1 como gateway para la
> red.
>
> squid 2.5.9-10sarge2
> iptables 1.2.11-10
> squidguard 1.2.0-5
>
>
> Exitos
>
> Omar
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>
------=_Part_213505_4441970.1155736729861
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Con respecto a Squid y SSL, algo que encontre navegando por la red:<br>squi=
d + transparent proxying + ssl prots ?:<br><tt>Short answer: You can't.</tt=
><br>
<br>
<tt>Long answer: SSL is specifically designed to prevent "man in the m=
iddle"=20
attacks, and setting up squid in such a way would be the same as such a=20
"man in the middle" attack. You might be able to successfully ach=
ive=20
this, but not without breaking the encryption and certification that is=20
the point behind SSL.</tt><br><br><div><span class=3D"gmail_quote">2006/8/1=
5, Omar Arino <<a href=3D"mailto:oarino@fagdut.org.ar">oarino@fagdut.org=
.ar</a>>:</span><blockquote class=3D"gmail_quote" style=3D"border-left: =
1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;=
">
Gustavo Guillermo P=E9rez escribi=F3:<br>> El Martes, 15 de Agosto de 20=
06 09:48, Omar Arino escribi=F3:<br>><br>>> El proxy transparente =
con squid puede hacer que los clientes se conenten<br>>> al puerto 80=
(HTTP) sin necesidad de configurar nada, pero cuando quiera
<br>>> ingresar por ejemlo a Hotmail (nada personal, pero los usuario=
s de mi<br>>> red me rompen lo cocos cuando no pueden ingresar), tuve=
que configurar<br>>> el cliente (FIREFOX, o IE) para que utilicen Sq=
uid. El problema tambi=E9n
<br>>> ocurre con los clientes de mensajer=EDa instant=E1nea que tamb=
i=E9n deben<br>>> configurarse para utiliza el proxy.<br>>><br>=
> Yo no tengo ese problema, podr=EDas mencionar cuales son tus versiones=
de SQUID,
<br>> kernel e IPTABLES que est=E1s usando?. S=F3lo por curiosidad?, est=
oy pensando en<br>> actualizar servidores que est=E1n muy bien protegido=
s y tal vez me sea =FAtil.<br>><br>> Saludos.<br>><br><br>Normalme=
nte los programas de mensajer=EDa instant=E1nea utilizan su propio
<br>puerto y si esto deben comunicase desde adentro de una red tenes que<br=
>como m=EDnimo enmascarar ese puerto para que pueden ser utilizado.<br>En m=
i caso particular para no enmascarar puertos directamente obligo a<br>los c=
lientes a configurar los mensajeros para utilizar el proxy, de esta
<br>manera si o si controlo quien se conecta y quien no y adem=E1s verifico=
el<br>tr=E1fico y el uso de la conexi=F3n a internet (en mi caso particula=
r esta<br>es un recurso educativo y su utilizaci=F3n debe estar relacionada=
a esta
<br>actividad).<br><br>Por esto toda conexi=F3n a internet se realiza a tra=
vez del proxy.<br><br>En cuanto al soft estoy utilizando Debian Sarge 3.1 c=
omo gateway para la<br>red.<br><br>squid  =
; 2.5.9-10sarge2<br>iptables =
=20
1.2.11-10<br>squidguard 1.2.0-5<br><br>=
<br>Exitos<br><br>Omar<br>_______________________________________________<b=
r>Lugro mailing list<br><a href=3D"mailto:Lugro@lugro.org.ar">Lugro@lugro.o=
rg.ar</a><br><a href=3D"http://www.lugro.org.ar/mailman/listinfo/lugro">
http://www.lugro.org.ar/mailman/listinfo/lugro</a><br></blockquote></div><b=
r>
------=_Part_213505_4441970.1155736729861--