iptables: permite 2 excessões ?

O caso completo em: https://under-linux.org/modules.php?...=152869#152869

Resumo:
O iptables permite usar mais de um IP como excessão a uma regra ???

Regra Atual:
$IPT -t nat -A PREROUTING -s $LAN -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Pergunta:
Se aparecer outro programa doido do governo/ bancos que não permita o uso de proxy, como eu faço?

Estou com o mesmo problema, tem um post com algo que talvez possa ajudar em https://under-linux.org/modules.php?...313&highlight=

Eu ainda não tive como testar se realmente funciona pois o cara que utiliza o programa esta fazendo um curso, mas assim que chegar vou testar e posto o que aconteceu.

Itagildo Garbazza

Citação:

---

Postado originalmente por whinston

O caso completo em: https://under-linux.org/modules.php?...=152869#152869

Resumo:
O iptables permite usar mais de um IP como excessão a uma regra ???

Regra Atual:
$IPT -t nat -A PREROUTING -s $LAN -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Pergunta:
Se aparecer outro programa doido do governo/ bancos que não permita o uso de proxy, como eu faço?

---

Mas se você deixar suas máquinas sairem por NAT direto, se o destino for 200.201.174.0 ??
Será que não resolve??

[]'s

Aqui eu tenho proxy transparente tbm e o que eu faço pra resolver minha vida aqui quanto ao programa conectividade social está assim:

iptables -t nat -A PREROUTING -p TCP -s IP_DE_ORIGEM -d IP_DA_CAIXA --dport 80 -j RETURN

iptables -t nat -A PREROUTING -p TCP -s REDELOCAL -d Any/0 --dport 80 -j REDIRECT --to-port 3128

Explicando:

A regra que tem o TARGET RETURN estará fora da regra seguinte. Ou seja, você tem uma regra padrão redirecionando todos os acessos da porta 80 para o SQUID e se você quiser excluir mais de um IP de destino é só ir adicionando uma regra/linha (com RETURN) por IP antes da linha que redireciona para o SQUID.

Este TARGET RETURN não serve apenas para estes casos. Por exemplo, se você usa marcação de pacotes para uma rede inteira para fazer controle de banda, e quiser dar privilégio pra um só IP desta rede tbm funciona. Seria algo como:

iptables -t nat -A PREROUTING -p TCP -s 192.168.0.10 -d Any/0 -j RETURN

iptables -t nat -A PREROUTING -p TCP -s 192.168.0.0/24 -d Any/0 -j MARK --set-mark 2

No exemplo acima, toda a rede 192.168.0.x estará marcada para o controle de banda, exceto a regra anterior (com o IP 192.168.0.10).

Espero que tenha ajudado. Se não fui bem claro, pode me contactar para tirar dúvidas.