[LUG.ro] Squid / proxy forzado

Alberto Ferrer lugro@lugro.org.ar
Wed, 16 Aug 2006 11:00:58 -0300 

------=_Part_213585_28590156.1155736858439
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Tambien te recomiendo pegarte una vuelta por LinuxDevCenter:

http://www.linuxdevcenter.com/pub/a/linux/2001/10/25/transparent_proxy.html



El d=EDa 16/08/06, Alberto Ferrer <albertof@barrahome.com.ar> escribi=F3:
>
> Con respecto a Squid y SSL, algo que encontre navegando por la red:
> squid + transparent proxying + ssl prots ?:
> Short answer: You can't.
>
> Long answer: SSL is specifically designed to prevent "man in the middle"
> attacks, and setting up squid in such a way would be the same as such a "=
man
> in the middle" attack. You might be able to successfully achive this, but
> not without breaking the encryption and certification that is the point
> behind SSL.
>
> 2006/8/15, Omar Arino <oarino@fagdut.org.ar>:
>
> > Gustavo Guillermo P=E9rez escribi=F3:
> > > El Martes, 15 de Agosto de 2006 09:48, Omar Arino escribi=F3:
> > >
> > >> El proxy transparente con squid puede hacer que los clientes se
> > conenten
> > >> al puerto 80 (HTTP) sin necesidad de configurar nada, pero cuando
> > quiera
> > >> ingresar por ejemlo a Hotmail (nada personal, pero los usuarios de m=
i
> > >> red me rompen lo cocos cuando no pueden ingresar), tuve que
> > configurar
> > >> el cliente (FIREFOX, o IE) para que utilicen Squid. El problema
> > tambi=E9n
> > >> ocurre con los clientes de mensajer=EDa instant=E1nea que tambi=E9n =
deben
> > >> configurarse para utiliza el proxy.
> > >>
> > > Yo no tengo ese problema, podr=EDas mencionar cuales son tus versione=
s
> > de SQUID,
> > > kernel e IPTABLES que est=E1s usando?. S=F3lo por curiosidad?, estoy
> > pensando en
> > > actualizar servidores que est=E1n muy bien protegidos y tal vez me se=
a
> > =FAtil.
> > >
> > > Saludos.
> > >
> >
> > Normalmente los programas de mensajer=EDa instant=E1nea utilizan su pro=
pio
> > puerto y si esto deben comunicase desde adentro de una red tenes que
> > como m=EDnimo enmascarar ese puerto para que pueden ser utilizado.
> > En mi caso particular para no enmascarar puertos directamente obligo a
> > los clientes a configurar los mensajeros para utilizar el proxy, de est=
a
> >
> > manera si o si controlo quien se conecta y quien no y adem=E1s verifico=
 el
> > tr=E1fico y el uso de la conexi=F3n a internet (en mi caso particular e=
sta
> > es un recurso educativo y su utilizaci=F3n debe estar relacionada a est=
a
> > actividad).
> >
> > Por esto toda conexi=F3n a internet se realiza a travez del proxy.
> >
> > En cuanto al soft estoy utilizando Debian Sarge 3.1 como gateway para l=
a
> > red.
> >
> > squid            2.5.9-10sarge2
> > iptables         1.2.11-10
> > squidguard       1.2.0-5
> >
> >
> > Exitos
> >
> > Omar
> > _______________________________________________
> > Lugro mailing list
> > Lugro@lugro.org.ar
> > http://www.lugro.org.ar/mailman/listinfo/lugro
> >
>
>

------=_Part_213585_28590156.1155736858439
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Tambien te recomiendo pegarte una vuelta por LinuxDevCenter:<br><br><a href=
=3D"http://www.linuxdevcenter.com/pub/a/linux/2001/10/25/transparent_proxy.=
html">http://www.linuxdevcenter.com/pub/a/linux/2001/10/25/transparent_prox=
y.html
</a><br><br><br><br><div><span class=3D"gmail_quote">El d=EDa 16/08/06, <b =
class=3D"gmail_sendername">Alberto Ferrer</b> &lt;<a href=3D"mailto:alberto=
f@barrahome.com.ar">albertof@barrahome.com.ar</a>&gt; escribi=F3:</span><bl=
ockquote class=3D"gmail_quote" style=3D"border-left: 1px solid rgb(204, 204=
, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>Con respecto a Squid y SSL, algo que encontre navegando por la red:<br=
>squid + transparent proxying + ssl prots ?:<br><tt>Short answer: You can't=
.</tt><br>
<br>
<tt>Long answer: SSL is specifically designed to prevent &quot;man in the m=
iddle&quot;=20
attacks, and setting up squid in such a way would be the same as such a=20
&quot;man in the middle&quot; attack. You might be able to successfully ach=
ive=20
this, but not without breaking the encryption and certification that is=20
the point behind SSL.</tt><br><br><div><span class=3D"gmail_quote">2006/8/1=
5, Omar Arino &lt;<a href=3D"mailto:oarino@fagdut.org.ar" target=3D"_blank"=
 onclick=3D"return top.js.OpenExtLink(window,event,this)">oarino@fagdut.org=
.ar
</a>&gt;:</span></div><div><span class=3D"e" id=3D"q_10d1746f8ec1d86c_1"><b=
lockquote class=3D"gmail_quote" style=3D"border-left: 1px solid rgb(204, 20=
4, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Gustavo Guillermo P=E9rez escribi=F3:<br>&gt; El Martes, 15 de Agosto de 20=
06 09:48, Omar Arino escribi=F3:<br>&gt;<br>&gt;&gt; El proxy transparente =
con squid puede hacer que los clientes se conenten<br>&gt;&gt; al puerto 80=
 (HTTP) sin necesidad de configurar nada, pero cuando quiera
<br>&gt;&gt; ingresar por ejemlo a Hotmail (nada personal, pero los usuario=
s de mi<br>&gt;&gt; red me rompen lo cocos cuando no pueden ingresar), tuve=
 que configurar<br>&gt;&gt; el cliente (FIREFOX, o IE) para que utilicen Sq=
uid. El problema tambi=E9n
<br>&gt;&gt; ocurre con los clientes de mensajer=EDa instant=E1nea que tamb=
i=E9n deben<br>&gt;&gt; configurarse para utiliza el proxy.<br>&gt;&gt;<br>=
&gt; Yo no tengo ese problema, podr=EDas mencionar cuales son tus versiones=
 de SQUID,
<br>&gt; kernel e IPTABLES que est=E1s usando?. S=F3lo por curiosidad?, est=
oy pensando en<br>&gt; actualizar servidores que est=E1n muy bien protegido=
s y tal vez me sea =FAtil.<br>&gt;<br>&gt; Saludos.<br>&gt;<br><br>Normalme=
nte los programas de mensajer=EDa instant=E1nea utilizan su propio
<br>puerto y si esto deben comunicase desde adentro de una red tenes que<br=
>como m=EDnimo enmascarar ese puerto para que pueden ser utilizado.<br>En m=
i caso particular para no enmascarar puertos directamente obligo a<br>los c=
lientes a configurar los mensajeros para utilizar el proxy, de esta
<br>manera si o si controlo quien se conecta y quien no y adem=E1s verifico=
 el<br>tr=E1fico y el uso de la conexi=F3n a internet (en mi caso particula=
r esta<br>es un recurso educativo y su utilizaci=F3n debe estar relacionada=
 a esta
<br>actividad).<br><br>Por esto toda conexi=F3n a internet se realiza a tra=
vez del proxy.<br><br>En cuanto al soft estoy utilizando Debian Sarge 3.1 c=
omo gateway para la<br>red.<br><br>squid&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp=
;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2.5.9-10sarge2<br>iptables&nbsp;&nbsp;=
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;=20
1.2.11-10<br>squidguard&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.2.0-5<br><br>=
<br>Exitos<br><br>Omar<br>_______________________________________________<b=
r>Lugro mailing list<br><a href=3D"mailto:Lugro@lugro.org.ar" target=3D"_bl=
ank" onclick=3D"return top.js.OpenExtLink(window,event,this)">
Lugro@lugro.org.ar</a><br><a href=3D"http://www.lugro.org.ar/mailman/listin=
fo/lugro" target=3D"_blank" onclick=3D"return top.js.OpenExtLink(window,eve=
nt,this)">
http://www.lugro.org.ar/mailman/listinfo/lugro</a><br></blockquote></span><=
/div><div></div><br>

</div></blockquote></div><br>

------=_Part_213585_28590156.1155736858439--