Squid y HTTPS



  • Buenas!
    Tengo el proxy en modo transparente, pero de vez en cuando, no he detectado cuando… las paginas https me las redirige directamente a google (pagina de inicio) , pero si configuro el proxy el Firefox con la IP de Pfsense funciona correctamente,
    He leido pero la verdad que no he encontrado
    Hice este NAT, pero sigue igual:

    Firewall: NAT: Port Forward
    LAN TCP/UDP 80 (HTTP) 192.168.1.254  3128  HTTP--> Proxy 
    LAN TCP/UDP 443 (HTTPS) 192.168.1.254  3128  HTTPS--> Proxy

    Gracias y un saludo.



  • Tengo entendido que tienes que configurar los puertos para que use el squid… en este caso asegurate que squid tenga los puertos seguros habilitados



  • ADjunto imagen con configuracion NAT.
    Donde se configura para que squid tenga los puertos seguros habilitados???

    ![error pfsense.jpg](/public/imported_attachments/1/error pfsense.jpg)
    ![error pfsense.jpg_thumb](/public/imported_attachments/1/error pfsense.jpg_thumb)



  • Sigo con los mimos problemas, que no es siempre, es a veces….
    Y si configuro el navegador para usar el proxy no hay problemas....help??¿¿?



  • @mansi:

    Sigo con los mimos problemas, que no es siempre, es a veces….
    Y si configuro el navegador para usar el proxy no hay problemas....help??¿¿?

    la regla solo deberia habilitar tcp y no udp para ambos casos. lo otro creo que debes dejar la regla asi

    Source :
    Destination*:80
    Translation 10.0.0.1:8080
    para modo transparente
    saludos



  • He probado esto y muchas cosas…y nada... solo funciona cuando configuro los clientes el proxy...y es un problema....!! HELP!!!!!



  • squid transparente no puede ser https.

    Esto se ha hablado varias veces…

    Si el navegador no sabe que tiene un proxy detrás establece la comunicación encriptada, incluída la URL. Por tanto, el proxy transparente recibe una petición que no puede conocer.

    Si deseas filtrado con squidGuard con https el proxy debe estar configurado en el navegador y debe ser NO transparente.

    No es una limitación de pfSense, es del proxy.

    Si se quiere seguridad (filtrado, control de usuarios...) los proxys deben configurarse en el navegador de forma manual o autómatica. En Documentación hay un apartado donde se explican métodos de deteccción.



  • Hola Bellera, gracias por la respuesta, pero perdona, porque no acabo de entenderlo bien y he revisado la documentación.
    Mi duda es: Es imposible tener el Proxy en modo transparente y navegar por paginas https sin configurar el navegador??
    Tengo squid+squid guard en varios clientes y solo me falla en uno…(o no se han dado cuenta en el resto...)
    Esto es lo que me hace dudar.. gracias!



  • Si el navegador no sabe que tiene un proxy detrás establece la comunicación encriptada, incluída la URL. Por tanto, el proxy transparente recibe una petición que no puede conocer.

    La respuesta es que no. No puedes filtrar https en modo transparente.

    http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Concepts_of_Interception_Caching

    Interception Caching only supports the HTTP protocol, not gopher, SSL, or FTP. You cannot setup a redirection-rule to the proxy server for other protocols other than HTTP since it will not know how to deal with it.

    Tampoco puedes tener usuarios en un proxy transparente.

    http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#Concepts_of_Interception_Caching

    Proxy authentication does not work, and IP based authentication conceptually fails because the users are all seen to come from the Interception Cache's own IP address.



  • Pues vaya…..... bueno configurare el proxy por directivas (si puedo) y veré como funciona!
    Gracias por todo.


Locked