seting squid transparent https

February 16, 2012 by gregor · Leave a Comment
Filed under: internet, linux, security, slow internet connection 

Belum lama berselang seorang teman mengeluh karena usahanya untuk membatasi akses ke situs jejaring sosial seperti facebook dan twitter kurang berhasil. Pembatasan dilakukan dengan filtering di squid. Untuk akses ke port http sudah berhasil dibatasi. Karyawan yang mengakses http://www.facebook.com pada browsernya akan ditampilkan halaman pemberitahuan bahwa dilarang mengakses situs tersebut pada jam kerja. Namun rupanya karyawan tak kalah cerdik.  Mereka mengakses melalui https://www.facebook.com yang ternyata berhasil dengan lancar.

Saya mencoba untuk membantu teman tersebut dengan bertanya pada mbah google. Si mbah menyarankan untuk mencoba situs ini namun setelah saya coba ternyata ada beberapa typo sehingga saya harus mencari-cari supaya dapat berhasil. Setelah berhasil, saya putuskan untuk mendokumentasikan kembali di tulisan ini dengan harapan orang yang membutuhkan info yang sama bisa lebih menghemat waktu.

Kondisi yang saya alami sedikit berbeda dari apa yang ada pada tulisan Rahul. Jika pada Rahul linux router dan squid berada pada satu mesin maka pada saya linux router dan server proxy squid ada di mesin yang terpisah. Tulisan ini mengasumsikan bahwa squid proxy sudah terinstal dan berjalan dengan baik, hanya belum mampu menerima koneksi https. Openssl juga sudah terinstal dengan baik. Perlu saya sampaikan bahwa ketika melakukan proses seting saya mengalami keanehan/anomali yang sampai sekarang belum saya pahami. Karena keterbatasan waktu saya tidak coba untuk explorasi lebih jauh.

Anomali tersebut terkait dengan mengapa saya gunakan port 443 pada  IPTABLES DNAT. Sebelum menggunakan port 443 saya mencoba menggunakan port 3130 seperti tulisan Rahul namun paket tidak mau dialihkan ke mesin squid. Saya ganti menggunakan port 3333 dan 8080 juga tidak berhasil. Saya menggunakan bantuan tcpdump di mesin squid untuk mengetahui apakah paket dialihkan atau tidak. Ketika menggunakan port 80 dan 443 tcpdump mengindikasikan bahwa paket berhasil dialihkan. Maka kemudian saya putuskan untuk memakai port 443.

Urutan pengerjaannya adalah sebagai berikut :

pada mesin squid :

$ su -

$ cd /etc/squid

$ openssl genrsa -des3 -out server.Key 1024

$ openssl req -new -keyout server.csr

$ openssl req -new -key server.Key -out server.csr

$ cp server.Key server.Key.old

$ openssl rsa -in server.Key.old -out server.Key

$ openssl x509 -req -days 7305 -in server.csr -signkey server.Key -out server.crt

$ vi /etc/squid/squid.conf

tambahkan/edit baris :

http_port 3128 transparent
https_port 443 transparent cert=/etc/squid/server.crt key=/etc/squid/server.Key

simpan dan keluar dari vi

pada mesin linux router :

untuk mengalihkan semua permintaan https dari semua subnet, berikan perintah :

$ iptables -t nat -A PREROUTING -p tcp –dport 443 -j DNAT –to 172.16.10.2:443

untuk mengalihkan hanya subnet tertentu, misalnya 172.16.14.0/24 berikan perintah :

$ iptables -t nat -A PREROUTING -p tcp -s 172.16.14.0/255.255.255.0 –dport 443 -j DNAT –to 172.16.10.2:443

untuk menyisipkan aturan ini diantara aturan yang sudah ada maka perlu mengetahui nomer-nomer baris aturan yang sudah dengan perintah :

$ iptables –line-number -t nat -nVL PREROUTING

misalnya jika ingin menyisipkan aturan pada baris 80 berikan perintah :

iptables -t nat -I PREROUTING 80 -p tcp -s 172.16.14.0/255.255.255.0 –dport 443 -j DNAT –to 172.16.10.2:443

demikian semoga bermanfaat.

Tags: ,

paket internet murah dari smart telecom

December 2, 2008 by gregorgede · 54 Comments
Filed under: slow internet connection, smart telecom 

Kualitas koneksi internet smart makin lama makin buruk. Sudah beberapa kali saya mengalami setelah mengaktifkan langganan internet harian smart, tidak bisa browsing sepanjang hari hingga waktu langganan habis. Padahal pulsa sudah terlanjur dipotong. Benar-benar sangat mengecewakan. Kalo dalam masa langganan ada waktu tertentu yang tidak bisa browsing masih bisa dimaklumi, tapi kalau sepanjang waktu langganan tidak bisa browsing tentu saya sangat kecewa karena dirugikan oleh smart. Sudah membayar tapi tidak mendapat layanan yang seharusnya diberikan oleh smart telecom.

________________________________________________________________

setelah beberapa waktu menimbang-nimbang untuk mencari koneksi internet pengganti starone, akhirnya pilihan jatuh pada paket promosi dari smart telecom. dengan membayar Rp.289.000,- saya mendapat bonus data akses sebesar 2Gb per bulan dan sebuah handphone Haier D1200P yang sekaligus berfungsi sebagai modem.

pertama kali datang ke kantor smart, saya bertemu dengan pelanggan lain yang juga sedang antri untuk dilayani oleh customer service smart. saya perhatikan dia membawa kotak yang sepertinya adalah handphone promosi smart. saya pun berasumsi bahwa dia telah mencoba menggunakan smart dan jadi tertarik untuk menggali informasi bagaimana kualitas smart, mumpung belum beli.

dia bilang bahwa dia kecewa dengan smart karena meskipun sinyal penuh (dia tinggal di daerah yg termasuk dalam kota jogja) tapi tidak bisa ngenet dengan lancar. sulit sekali untuk membuka halaman website, malahan sekarang handphonenya rusak. bahkan ketika pertama kali mencoba, tidak bisa konek sama sekali. ternyata driver yang ada di cd paket promosi smart tidak bagus dan dia harus update driver yang harus dicopy dari customer service smart. Read more

Tags: , ,

i won’t recommend starone anymore

October 23, 2008 by gregorgede · Leave a Comment
Filed under: indosat, slow internet connection, starone 

i’ve been using starone from indosat for my internet connection at home for about a year. i chose them because they offer a package which is affordable for me, the cheapest that i could find :). i have to pay 99.000 rupiah a month for maximum 1 Gig of usage. if i use more than that, they’ll charge me 300 rupiah per Meg. i usually pay around 100.000 to 125.000 rupiah a month.

at first i was quite satisfied with the connection, i could browse the internet and login to remote server comfortably. and everytime i meet a friend, i always recommend them to use starone too. it’s cheap and fast enaugh. but starting about a couple of months ago, i don’t remember exactly, i feel the connection is no longer stable. on certain period of time the connection is very slow, it’s no longer comfortable to browse the internet. but it was still tolerable because it happened only for a while, an hour or so.

but lately it’s getting worst, i can’t open even a single page, and it happen for hours. like yesterday for example. i had been online for about 2 hours and then around 3 pm i felt the connection was slow, some pages couldn’t get loaded completely, so i decided to go offline. at the evening my wife started to get online about 8 pm, 30 minutes later she complained because the connection was slow. so she went offline. about 9 pm i started to get online, i could not open a single page. i was very upset.

this thought about stop recommending starone has been on my mind for the last few days…… i finally put it on my blog so people would think at least twice before applying for starone.

here are some tests i did to test the connection lastnight. because i couldn’t open speedtest.net page at all, i login by ssh to a remote server (very slow to connect) and tried to download a file to see how the speed was. here’s my first capture (look at the transfer rate, it’s only 0,1 KB/sec) :

about an hour later the capture turned like this (no progress, transfer rate is now 0,0KB/sec) :


so from now on i would recommend “please think twice before you apply for starone”
look at the ping capture above, very unstable connection, wasting my time….. :((

Tags: