Linux shorewall + squid. Se bloquea pag https

Eliezar · 10 Enero 2011

Actualmente tengo un water con Centos corriendo dhcp , dns cache , squid y otros servicios que los levanto cuando los necesito.

El tema es que para controlar la banda chancha toy utilizando shorewall. Pero surge el problema de que al iniciarlo me bloquea el trafico por paginas https. E probado varios policy , rules y siempre pasa lo mismo. dando paso al puerto 443 y naipe. Bug , problema de versiones ?.

Si bien squid corriendo transparente sin shorewall anda bien , pero la mezcla de los 2 me refusa conexiones https. Por que ? anda la osa a saber tu :troll

, antes habia hecho lo mismo y nunca tuve problemas.

Fichero de squid. config simple "Squid Cache: Version 3.1.8"

Código:

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl LAN src 192.168.1.0/24      # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow LAN
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 192.168.1.1:3128 transparent

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

maximum_object_size_in_memory 128 KB

cache_mem 288 MB

cache_dir ufs /var/spool/squid 7000 16 256

maximum_object_size 10240 KB

visible_hostname redsconf.no-ip.org

error_default_language /etc/squid/errors/es/
access_log /var/log/squid/access.log squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Ficheros de shorewall v 4.4.15.3

Policy

Código:

$FW             all             ACCEPT

loc             net             DROP
loc             $FW             DROP

net             $FW             DROP
net             loc             DROP

all     all     REJECT          info

Rules

Código:

ACCEPT          all     all                     icmp

ACCEPT          net     $FW                     tcp     22,80,443


REDIRECT        loc     3128                    tcp     www     -       -

ACCEPT          loc     $FW                     tcp     22,53,443,3128
ACCEPT          loc     $FW                     udp     53

ACCEPT          loc     net                     tcp     443,445
ACCEPT          net     loc                     tcp     443,445

Otro error que antes no salia es. Leyendo algo habia un bug pero no era relacionado con mi esquema

Código:

kernel: ip_tables: MARK target: only valid in mangle table, not filter

.

Ahora probare bajando versiones. Quisas sea solo problema de versionitism :xd

.

Cualquier dato o comentario con respecto al problema lo agradesco.

Saludos.

pd: cualquier aberracion en las configuraciones mias , diganmelas plis :troll

yakko · 10 Enero 2011

squid te da un DENIED en el log? (para ver donde est el filtro, por que en shorewall no es.)

PD: postea tus archivos zones, interfaces y masq, ademas de un ifconfig.

Eliezar · 10 Enero 2011

lo reviso enseguida y edito.

ifconfig . eth1 lan , eth0 con ip para llegar a modem.

Código:

eth0      Link encap:Ethernet  HWaddr 00:40:F4:66:15:36
          inet addr:10.0.0.2  Bcast:10.0.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:97105 errors:0 dropped:0 overruns:0 frame:0
          TX packets:105041 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:76155298 (72.6 MiB)  TX bytes:24779503 (23.6 MiB)
          Interrupt:11 Base address:0xa000

eth1      Link encap:Ethernet  HWaddr 00:40:F4:65:70:09
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:101478 errors:0 dropped:0 overruns:0 frame:0
          TX packets:113749 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:23927160 (22.8 MiB)  TX bytes:98396208 (93.8 MiB)
          Interrupt:12

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1715 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1715 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:239847 (234.2 KiB)  TX bytes:239847 (234.2 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:190.21.207.148  P-t-P:10.52.153.3  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:39550 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32239 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:42891968 (40.9 MiB)  TX bytes:5241798 (4.9 MiB)

Zone

Código:

fw      firewall
net     ipv4
loc     ipv4

Interfaces

Código:

net     ppp+            detect          dhcp
loc     eth1            detect          dhcp

En masq no tengo nada . El masquerade lo hago con iptables directo.

En squid , te refieres al log de access.log ?

:foreveralone
----
alguna idea chicos :foreveralone

yakko · 11 Enero 2011

por que la eth0 que no debera tener ningn dato y levantar con bootproto=none, est con ip? :sconf

usa el masq, no uses iptables mezclado.

y si, el log de acceso.

Eliezar · 11 Enero 2011

La eth0 esta con ip para poder meterme al modem. Ahora si no es la via adecuada :zippy

. Aunke siempre lo tuve con "none" y ahora por ver el snr del modem le di esa ip.

En el access.log filtre por palabras o los ultimos log por ejemplo al login de facebook y no arroja ningun reporte de que rechaze la conexion.

Lo raro es que anteriormente ocupe squid + shorewall y funkaba bien :pedobear

. Podria ser por versiones , variables nuevas , variables obsoletas ?.

yakko · 11 Enero 2011

#iptables -nvL

yakko · 11 Enero 2011

el navegador tiene alguna config en la seccin de redes?

que otras reglas cargas en iptables adems del masquerade?

Eliezar · 11 Enero 2011

la de masquerade y la redireccion .

En los navegadores no tengo nada , pasa en cualkier pc :zippy

.

Voy a hacer un downgrade de squid y shorewall
----
Puse Squid Cache: Version 2.6.STABLE21 y anda igual :foreveralone.

Voy a terminar formateando :zippy

.
----
downgrade la version de shorewall a una que use antes y sigue igual :pedobear

charlypeppers · 11 Enero 2011

porque no pruebas agregandole al squid

acl https port 443
http_access allow https

como dice yakko la eth0 no deberia tener datos .

aer q mas puede ser ?

en la config de shorewall de zones - policy .-etc
dejaste el
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
ni idea si influye en algo.

tengo una config parecida , pero en

ACCEPT loc $FW no le tengo puesto el p. 443

Eliezar · 11 Enero 2011

si probe con incluir una acl .

Pero el tema va que parece que mi centos ta pifiao :zippy

. Como comente antes , tambien de prueba habia montado centos + squid + shorewall y nunca tuve problemas con https.

Lo de eth0 a mi parecer no influye en nada (estando o no estando con datos). Ya que antes lo tenia con bootproto = none. Solo le di ip para meterme al modem desde mi pc.

En fin a la noche cuando no tenga gente conectada hare una instalacion nueva con lo justo. Ya que el water ademas de rutear la red lo ocupo para fines de aprendizaje :troll

y hago y deshago. Mejor ocupo maquinas virtuales nomas.

Saludos.

yakko · 11 Enero 2011

el #last line no se usa hace rato en shorewall.

K3rnelpanic · 4 Julio 2016

Creo que aún está arreglando la falla el ELiezar :troll

Eliezar · 4 Julio 2016

Miguelwill · 7 Julio 2016

VittokoX dijo:
Creo que aún está arreglando la falla el ELiezar

Jaja

Enviado desde mi HUAWEI KII-L23 mediante Tapatalk

Linux shorewall + squid. Se bloquea pag https

Eliezar

mi gato :D

yakko

pingüino mal genio

Eliezar

mi gato :D

yakko

pingüino mal genio

Eliezar

mi gato :D

yakko

pingüino mal genio

yakko

pingüino mal genio

Eliezar

mi gato :D

charlypeppers

Miembro Activo

Eliezar

mi gato :D

yakko

pingüino mal genio

K3rnelpanic

non serviam

Eliezar

mi gato :D

Miguelwill

I am online