Hola,

Intento permetre l'accés a gmail i https sense haver de modificar els navegadors, que és tal com se suggereix a la secció "HTTPS" de
http://linkat.x…_Comunicacions

He trobat aquesta forma:
http://grokbase…ygzrozi62nb3wa

Suggereixen l'script següent:



però em dóna l'error següent:

Bad argument `207.46.113.222' i totes les iP que s'indiquen al fitxer ipfile.txt que l'executable va a buscar i que conformarien una llista blanca d'IP a les qual SÍ es podia accedir.

He intentat afegir una llista blanca amb el domini gmail.com i continua sortint l'error:

"Ha fallat la connexió segura
S'ha produït un error durant la connexió a accounts.google.com.
L'SSL ha rebut un registre que excedeix la longitud màxima permesa.
(Codi d'error: ssl_error_rx_record_too_long)"

Aquest script us pot donar alguna pista com resoldre aquest problema?

Gràcies

Joan Padró



Editat per joanpadro63 el 09/Gen/2012 - 13:13.

Hola Joan,

Per solucionar aquest problema s'està provant la versió 3 del Squid que permet el direccionament transparent del port 443 sense tocar la configuració del navegador. Aquesta implementació es durà a terme a la nova versió del servidor de comunicacions sobre la Linkat Edu 11.4.

Salut.

Projecte Linkat

Hola, Pablo.

Gràcies per la informació.

A veure si és possible trobar una forma de resoldre aquest problema.

Joan Padró

Hola de nou,

Estic investigant com resoldre aquest problema i poder visitar gmail, etc, i blocar https://facebook i l'ultrasuft.

Faig servir el fitxer /usr/share/lustitia/nat següent


iptables -t nat -A PREROUTING -i ${ETH_IN}+ -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i ${ETH_IN}+ -p tcp --dport 443 -j REDIRECT --to-port 3128

# Evitem ultrasurf

iptables -I FORWARD -p tcp --dport 443 --tcp-flags SYN,ACK,FIN,RST,PSH ACK,PSH -m string --to 77 --hex-string '|16030100410100003d0301|' --algo bm -j DROP

iptables -I FORWARD -p tcp --dport 443 --tcp-flags SYN,ACK,FIN,RST,PSH ACK,PSH -m string --to 512 --hex-string '|00040005000a00090064006200030006001300120063|' --algo bm -j DROP

# Evitem https://facebook.com

iptables -A FORWARD -m tcp -p tcp --dst 66.220.114.0/20 --dport 443 -j DROP
iptables -A FORWARD -m tcp -p tcp --dst 66.220.144.0/20 --dport 443 -j DROP
iptables -A FORWARD -m tcp -p tcp --dst 69.63.176.0/20 --dport 443 -j DROP
iptables -A FORWARD -m tcp -p tcp --dst 69.63.184.142/20 --dport 443 -j DROP
iptables -A FORWARD -m tcp -p tcp --dst 69.63.187.17/20 --dport 443 -j DROP
iptables -A FORWARD -m tcp -p tcp --dst 69.63.187.19/20 --dport 443 -j DROP
iptables -A FORWARD -m tcp -p tcp --dst 69.63.181.11/20 --dport 443 -j DROP
iptables -A FORWARD -m tcp -p tcp --dst 69.63.181.12/20 --dport 443 -j DROP


En un client Linux, el Firefox NO pot accedir a https://facebook.com, ja és això.

Un client Windows, de vegades accedeix i de vegades no, sense haver reiniciat el servidor de comunicacions, només reiniciant el client Windows, obrim el Firefox i de vegades dóna error de temps excedit, que ja és això, NO ES CONNECTA a https://facebook.com, però el reinicies i algun cop es connecta.

El mateix que l'Ultrasurf, de vegades es connecta i de vegades no, quan convindria que mai es pogués connectar.

Algun suggeriment?

Gràcies

Joan Padró



Editat per joanpadro63 el 13/Gen/2012 - 17:16.

Hola Joan,

Per connectar al Facebook hi han unmunt de IP, crec jo. Si faig un ping a facebook em surt aquesta IP que no tens a la llista, per això a vegades et connecta i a vegades no, tot depèn de la IP que resolgui el DNS.


Lo mateix passarà amb el ultrasurf.

Salut.

Projecte Linkat

Hola, Pablo,

Gràcies.

Joan Padró