Buenos días, amigos, despues de todos sus aporte, logré implementar un proxy, pero como siempre saltan nuevas dudas, espero con tu experiencia, me puedan ayudar

1.-El problema es que al reinicar mi linux, tengo q volver a hacer las iptbales, ya lo probe 3 veces y si tengo q volver a hacer esto y como ven lineas abajo ya grabé dichas instrucciones (trabajo solo con 1 tarjeta de red)

[root@yproxy ~]# iptables -F
[root@yproxy ~]# iptables -X
[root@yproxy ~]# iptables -Z
[root@yproxy ~]# iptables -t nat -F
[root@yproxy ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
[root@yproxy ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
[root@yproxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@yproxy ~]# iptables-save > /etc/sysconfig/iptables
You have new mail in /var/spool/mail/root
[root@yproxy ~]# /etc/init.d/iptables restart
Expurgar reglas del cortafuegos: [ OK ]
Configuración de cadenas a la política ACCEPT: nat filter [ OK ]
Descargando módulos iptables: [ OK ]
Aplicando reglas del cortafuegos iptables: [ OK ]
Cargando módulos iptables adicionales:ip_conntrack_netbios_[ OK ]
[root@yproxy ~]#
[root@yproxy ~]# /sbin/service iptables save
Guardando las reglas del cortafuegos a /etc/sysconfig/iptab[ OK ]

2.-No puedo ver páginas https://, al querer acceder a ellas, no sale la pantalla de acceso denegado de squid, si no! el navegador dice que perdió la conexión y esta parte es importante porque nuestro correo coorporativo usa un google apps, que la url es https

A la espera de sus comentarios, gracias

Estas aplicando mal el enmascaramiento de 443 hacia el 80, revisa bien tus 2 reglas
Para que las reglas levanten cuando resetees el firewall o afin, debes colocarlo en /etc/rc.local (si es centOS tu script: firewall.sh)

Sls

Podrias ayudarme con las reglas, según tu experiencia como serian, te comento que también he descargado manuales de diferentes fechas y años y no sé exactamente cual es la regla correcta, gracias

veo que no tienes una regla para enmascarar tu red lan:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Luego irian las 2 reglas:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

Sls

No veo donde esta haciendo redireccion del 443 al 80, creo que te equivocaste....



Mira tus reglas estan bien, excepto que no pusiste la regla del enmascaramiento que seria la que daria salida a las peticiones hacia afuera...

Por otro lado, si estas redirigiendo al 3128 es porque tienes un proxyweb squid (creo) asi que debes configurar tu squid para que tambien acepte a 443.

Saludos !

Gracias por la ayuda, pero a raiz del HTTPS, estoy leyendo mucho y coinciden en que en proxy transparente no funciona el poder ver paginas https, y que tengo q haberlo no transparente. vaya que caray! osea tanto trabajo para regresar al principio, pueden confirmarme esto, no quiero terminar de desilucionarme del squid de linux, gracias

No se quien te dijo que hay que configurar mucho... solo que estas viendo el manual incorrecto.

La linea es simple y sencilla, asi lo tengo yo y no tengo problemas con sitios HTTPS:

# cat /etc/squid/squid.conf


Lo mas optimo es que nos pongas aqui tu squid.conf. Ya sea que lo pongas directo o dejes link a pastebin.

Saludos !

Genial amigo, eso haré colocaré mi squid, eres lo max, gracias amigo tu ayuda es invaluable, te mando un link con mi squid conf y en lineas rojas abajo la confi que agregué, gracias espero tus valiosos comentarios y sugerencias

https://skydrive.live.com/redir.aspx?ci ... AMOAi7shUE


Nota.- En estos momentos en mi squid esta como transparente, pero en mis 2 clientes de prueba uno con IExplore y otro con firefox, en el navegador he configurado el proxy, y normal se ven las páginas https,

Salu2

# WELCOME TO SQUID 2.6.STABLE21


# Squid normally listens to port 3128
http_port 192.168.1.12:3128 transparent

visible_hostname yproxy

#Listas de Control de Acceso
acl localhost src 192.168.1.12
acl miredlocal src 192.168.1.0/255.255.255.0
#acl https port 443
acl sitiosdenegados url_regex "/etc/squid/listas/sitiosdenegados"
acl porno dstdom_regex -i sex\..* #busca sex en cualquier parte de la url
acl porno2 dstdom_regex -i porn\..* #busca sex en cualquier parte de la url
acl porno3 dstdom_regex -i xxx\..* #busca sex en cualquier parte de la url
acl mp3 dstdom_regex -i mp3\..* #busca sex en cualquier parte de la url
acl extensiones url_regex "/etc/squid/listas/extensiones"


#Control de Acceso
http_access deny porno
http_access deny porno2
http_access deny porno3
http_access deny mp3
http_access deny sitiosdenegados
http_access deny extensiones
http_access allow localhost
#http_access allow Safe_ports
#http_access allow CONNECT SSL_ports
#http_access allow https
http_access allow miredlocal

gracias por publicar tu configuracion esperemos le sirva a otros.... y bien por ti, asi es como se avance en este mundo del linux. Aqui andamos para cualquier cosa !

Saludos !

A todos en especial a ti, por favor revísalo en cuando puedas y me indicas que hago mal, asi como también con el tema del https, gracias

Crei que ya habias resuelto el problema.....

Observando tu configuracion te recomiendo que lo primero que debes hacer es darle orden al script, vaya, primero debes declarar las ACL's, despues los Accesos, El Puerto, la Memoria y Errores Log.

Quedaria tu scrtip asi, observa bien los cambios que hice:

En el curso que lleve, bueno me enseñaron que todas las acl y http_access iban al final del squid, bueno creo q eso no tiene mucha relevancia, ahora las lineas en
# nueva linea
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl CONNECT method CONNECT

son similares a las q estan x defualt en el squid en la zona #Recommended minimum configuration:

La pregunta es comento las originales o las muevo y edito hasta el final del squid?

Y una pregunta más veo que has incluido la linea icp_access allow all, disculpa ese comando icp_access que es lo que hace

Gracias Diabliyo, un feliz año 2012 de todo corazón, saludos desde Perú, gracias por la ayuda, espero seguir en contacto, quiero seguir aprendiendo más de Linux, ya que leo varios post, manuales y siempre veo cosas nuevas, gracias

Feliz a~o igualmente desde Mexico .....

Bueno respecto a si las ACLs van al final o al inicio y si tengan efecto secundario eso si no lo he corroborado, siempre pongo las ACLs al principio y despues las demas reglas porque mas o menos asi esta organizado en el squid por default.

Sobre las ICP es la cache del squid, es muy importante tener la cache del squid funcionando ya que te permitiría mucho ahorro de banda, vaya, si un usuario accede a una dirección X y otro usuario (en otro PC dentro de tu red) accede a esa misma dirección X, el archivo, imagen, video o pagina que corresponde con la dirección X no tiene que volver a descargarse, sino que lo toma de la cache.

La cache es la informacion en disco duro que se almacena temporalmente en el servidor.

Otro dato importante del ICP, es que muchos admins lo usan como referencia estadística, ya que no solo guarda cache de datos, sino también un LOG, y este log lo usando para tener una referencia que contenido accede recurrentemente alguien Y a nivel empresa, suelen LIMITAR el acceso a internet gracias a esto .

Si piensas habilitar el ICP (cache) debe poner estas lineas:



Saludos !

Buenos días, he estado desconectado en estos dias, pero ya regresé, y sigo investigando esto del proxy y de los iptables, he encontrado este archivo, en su opinion experta esta bueno o ya esta desactualizado, por que me genera más preguntas q luego las haré, gracias

Ese manual esta muy bien, de echo cuando me introduje en IPTABLES fue el primero que lei..