Amigos, ainda sou iniciante nesse maravilhoso mundo do linux, estou com um problema aqui na empresa, é sobre o squid. O problema é que quando um usuario me pede para liberar um site para ele ter acesso, eu não tenho como liberar somente para o IP da maquina dele, ja tentei configurar uma ACL para liberar site para um determinado IP, mas não consegui e dava erro. Daí eu vou na rc.firewall e libero com um script na iptable, mas ele fica liberado geral igual a maquina da diretoria,.Aqui são 37 maquinas usando samba. Segue abaixo o squid.conf para que algum amigo possa me ajudar.
# Default
http_port 10.10.10.1:3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#autenticacao
#auth_param ntlm use_ntlm_negotiate off
#auth_param basic program /etc/squid/bin/ncsa_auth /etc/squid/passwd
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off
#
# Configuracao Padrao
cache_mem 64 MB
# cache_dir ufs /var/spool/squid/ 500 16 256
cache_access_log /etc/squid/var/logs/access.log
cache_log /etc/squid/var/logs/cache.log
cache_store_log /etc/squid/var/logs/store.log
#pid_filename /etc/squid/var/logs/squid/squid.pid
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
# Padrao sugerido
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# ACCESS CONTROL LISTS
# --------------------
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 10000 21 24001
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 24001 # ftp dpi
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
# Nega pedidos de portas desconhecidas
http_access deny !Safe_ports
# Nega CONNECT para portas diferentes das SSL_ports
http_access deny CONNECT !SSL_ports
# Regras especificas
# ------------------
acl redelocal src 10.10.10.0/255.255.255.0 127.0.0.1
#acl arq_usuarios_skyler url_regex "/usr/local/squid/etc/sites_usu_skyler"
#acl usuarios_skyler proxy_auth moratti julio antonio
acl Block url_regex -i "/etc/squid/Bloqueados"
acl bloq urlpath_regex -i "/etc/squid/Bloqueados"
acl bloqsites dstdomain -i "/etc/squid/SitesBloqueados"
acl NoBlock url_regex -i "/etc/squid/Desbloqueados"
acl nobloq urlpath_regex -i "/etc/squid/Desbloqueados"
acl nobloqsites dstdomain -i "/etc/squid/SitesDesbloqueados"
acl macaddress arp 00:1B:24:31:28:0D
#Blacklist
#acl black_porn1 dstdomain -i "/etc/blacklist/domains_porn"
#acl black_porn2 urlpath_regex -i "/etc/blacklist/urls_porn"
#Bloquear IP
#acl ip1 src 192.168.0.36
#acl ip2 src 192.168.0.95
acl hotmail_domains dstdomain .hotmail.msn.com
header_access Accept-Encoding deny hotmail_domains
http_access deny Block !NoBlock
http_access deny bloqsites !nobloqsites
http_access deny bloq !nobloq
#http_access deny !macaddress all
#http_access deny arq_usuarios_skyler
#http_access deny ip1
http_access allow redelocal
#http_access deny ip2
# Nega o acesso de todos por esse proxy
http_access deny all
http_reply_access allow all
# Permite pedidos ICP de todos
icp_access allow all
# Default
# cache_mgr [email protected]
# Configuracao para proxy transparente
# ------------------------------------
#httpd_accel_port 80
#httpd_accel_host virtual
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
coredump_dir /var/spool/squid
# Linhas acrescidas
visible_hostname proxy.localdomain.com.br
# Para monitoramento
#acl snmppublic snmp_community local_user
#snmp_port 3401
#snmp_access allow localhost
#snmp_access deny all
#error_directory /etc/squid/errors/Portuguese
error_directory /usr/share/squid/errors/Portuguese
-
19-07-2011, 10:02 #1
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Liberar site por determinado IP
-
20-07-2011, 09:20 #2 Re: Liberar site por determinado IP
Como é a política da sua rede?
É bloqueado o acesso a todas as máquinas e você tem que liberar apenas um ou outro site para um determinado ip? Você terá que casar regras.
Na ACL ips você vai colocar um ip por linha.Código :## ACL IPS LIBERADOS acl ips "/etc/squid3/ips" ## Dominios liberados acl dominios_liberados url_regex -i "/etc/squid3/dominios_liberados"
Na ACL dominios _liberados você vai fazer o mesmo, um domínio por linha.
Agora o que você tem que fazer é casar as duas regras que você acabou de criar.
Código :http_access allow ips dominios_liberados
Se você quer barrar apenas de uma máquina, você pode fazer por ip ou por mac address, aí você vai ter que continuar "brincando" com as regras.
A regra acima eu estou supondo que é tudo bloqueado e você quer liberar apenas alguns sites para alguns IPS.
Abraço
-
20-07-2011, 10:05 #3
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Ok Cristianff,
Fiquei muito contente por vc ter me respondido,
Vou testar aqui,
É como eu ja falei antes, sou como se fosee um iniciante no Linux, apesar de ter feito curso básico ha mais de 7 anos, não pratico no dia a dia, fico mexendo mais com Windows aqui na empresa que trabalho e tenho medo de fazer alguma m..... e ferrar o sistema.... Vou fazer uma cópia do squid.conf e utilizar a outra cópia "squid2.conf" para fazer uns testes. No final do expediente quando todos estiverem fora do expediente. Um grande abraço. Obrigadão.
-
20-07-2011, 10:12 #4 Re: Liberar site por determinado IP
OK
Isso que eu ia te falar, faça backup antes de fazer qualquer alteração, mas não tem erro.
Poste o resultado depois.
Abraço
-
20-07-2011, 11:40 #5
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Eu novamente amigo Cristianff !!!!
Coloquei as linhas que vc me indicou, criei os arquivos "ips" e "dominios_liberados" coloquei o meu Ip no arquivo "ips" coloquei os sites www.uol.com.br e "yahoo.com" no arquivo "dominios_liberados" - quando eu atualizo "squid -k reconfigure" aparee mensagem de erro:
AclParseAcLine: Invalid ACL type '"/etc/squid/ips"'
Fatal: Bungled squid.conf line 92:
acl ips "/etc/squid/ips"
Squid cache Version 2.7 STABE3:
Terminated abnornmally
Não sei se coloquei as linhas nos locais corretos.
As Acls coloquei após a linha:
#Bloquear IP
# xxxxxxxxxxx
#xxxxxxxxxxxxx
coloquei aqui.
A HTTP após a linha
#http_access deny ip2
coloquei aqui
Aproveitando qual a diferença entre dstdomain - url_regex e urlpath_regex ?
Abraço.
-
20-07-2011, 12:16 #6 Re: Liberar site por determinado IP
Jonas, faltou indicar o caminho "src" na ACL
Código :## ACL IPS LIBERADOS acl ips src "/etc/squid3/ips"
depois faça um restart no serviço do squid.
Código :/etc/init.d/squid restart
Quando você usa dstdomain você está se referindo ao domínio por completo, quando usar url_regex você trabalha com termos na URL.
Abraço
-
20-07-2011, 13:47 #7
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Amigo Cristianff,Agradecendo sua atenção comigo, fiz a alteração que vc pediu, quando acesso um dos sites que liberei no arquivo "Dominios liberados" ainda esta bloqueada a página.Criei os arquivos "ips" e "dominios_liberados" com o editor MCEDIT fiz o certo ? no arquivo "ips" coloquei o ip da minha máquina digitando apenas o ip (10.10.10.12) no arquivo "dominios_liberados" digitei de várias maneiras: iniciando com ponto ( .UOL - O melhor conte) sem o ponto (UOL - O melhor conte) sem www (uol.com.br) - o que será que fiz de errado. Abraço e obrigado pela paciência.
-
20-07-2011, 13:59 #8
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Amigo Cristianff,
Segue abaixo o squid.conf com as alterações que vc pediu.
###############
# Mirc - 2011
###############
# Default
http_port 10.10.10.1:3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#autenticacao
#auth_param ntlm use_ntlm_negotiate off
#auth_param basic program /etc/squid/bin/ncsa_auth /etc/squid/passwd
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off
#
# Configuracao Padrao
cache_mem 64 MB
# cache_dir ufs /var/spool/squid/ 500 16 256
cache_access_log /etc/squid/var/logs/access.log
cache_log /etc/squid/var/logs/cache.log
cache_store_log /etc/squid/var/logs/store.log
#pid_filename /etc/squid/var/logs/squid/squid.pid
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
# Padrao sugerido
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# ACCESS CONTROL LISTS
# --------------------
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 10000 21 24001
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 24001 # ftp dpi
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
# Nega pedidos de portas desconhecidas
http_access deny !Safe_ports
# Nega CONNECT para portas diferentes das SSL_ports
http_access deny CONNECT !SSL_ports
# Regras especificas
# ------------------
acl redelocal src 10.10.10.0/255.255.255.0 127.0.0.1
#acl arq_usuarios_skyler url_regex "/usr/local/squid/etc/sites_usu_skyler"
#acl usuarios_skyler proxy_auth moratti julio antonio
acl Block url_regex -i "/etc/squid/Bloqueados"
acl bloq urlpath_regex -i "/etc/squid/Bloqueados"
acl bloqsites dstdomain -i "/etc/squid/SitesBloqueados"
acl NoBlock url_regex -i "/etc/squid/Desbloqueados"
acl nobloq urlpath_regex -i "/etc/squid/Desbloqueados"
acl nobloqsites dstdomain -i "/etc/squid/SitesDesbloqueados"
acl macaddress arp 00:1B:24:31:28:0D
#Blacklist
#acl black_porn1 dstdomain -i "/etc/blacklist/domains_porn"
#acl black_porn2 urlpath_regex -i "/etc/blacklist/urls_porn"
#Bloquear IP
#acl ip1 src 192.168.0.36
#acl ip2 src 192.168.0.95
# ACLs IPs Liberados
acl ips src "/etc/squid/ips"
# ACLs Dominios Liberados
acl dominios_liberados url_regex -i "/etc/squid/dominios_liberados"
acl hotmail_domains dstdomain .hotmail.msn.com
header_access Accept-Encoding deny hotmail_domains
http_access deny Block !NoBlock
http_access deny bloqsites !nobloqsites
http_access deny bloq !nobloq
#http_access deny !macaddress all
#http_access deny arq_usuarios_skyler
#http_access deny ip1
http_access allow redelocal
#http_access deny ip2
http_access allow ips dominios_liberados
# Nega o acesso de todos por esse proxy
http_access deny all
http_reply_access allow all
# Permite pedidos ICP de todos
icp_access allow all
# Default
# cache_mgr [email protected]
# Configuracao para proxy transparente
# ------------------------------------
#httpd_accel_port 80
#httpd_accel_host virtual
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
coredump_dir /var/spool/squid
# Linhas acrescidas
visible_hostname proxy.localdomain.com.br
# Para monitoramento
#acl snmppublic snmp_community local_user
#snmp_port 3401
#snmp_access allow localhost
#snmp_access deny all
#error_directory /etc/squid/errors/Portuguese
error_directory /usr/share/squid/errors/Portuguese
-
20-07-2011, 15:31 #9 Re: Liberar site por determinado IP
Veja a ordem das regras, nas acls se você tem uma regra que bloqueia antes da que libera, ele vai assumir a primeira como verdadeira e não vai passar pela regra que libera.
Então coloque a regra que libera por primeiro na ordem:
Código :http_access allow ips dominios_liberados http_access deny Block !NoBlock http_access deny bloqsites !nobloqsites http_access deny bloq !nobloq #http_access deny !macaddress all #http_access deny arq_usuarios_skyler #http_access deny ip1 http_access allow redelocal #http_access deny ip2
Faça isso e reinicie o serviço.
Se não funcionar, reveja suas regras, veja se tem alguma que está interferindo na regra dos ips.
Abraço
-
20-07-2011, 16:39 #10
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Valeu Cristianff,
Deu certo, o problema agora é somente quando eu acesso por exemplo a página bol.com.br e tento entrar na página do email, daí ele bloqueia.
Será que tem que mudar a linha da acl do dominios_liberados para dstdomain ? como ficaria.?
um abraço, só mais essa amigão. Vou ficar devendo alguma com vc !!!!
-
20-07-2011, 17:22 #11 Re: Liberar site por determinado IP
Ele deve redirecionar para outro endereço.
Monitore a conexão do IP com o comando:
Código :tail -f /var/log/squid/access.log |grep 10.10.10.12
Veja depois que entra na página do e-mail, veja qual é a url e insira ela também no arquivo de dominios_liberados.
Que isso, que bom que deu certo, basta agradecer aí no post, hehehe (estrelinha).
Abraço
-
22-08-2011, 14:22 #12
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Caro Amigo CristianFF,
Novamente peço sua ajudaamigo, o problema agora é liberar streaming de radio e o hotmail. Por exemplo coloquei no arquivo Dominios_Liberados o site .hotmail.com e a radio .mfm.fr - eles abre a página principal mas não abre a pagina que toca, e nem a pagina com os emails no hotmail.
O squid.conf é o mesmo que vc me ajudou a liberar as paginas por Ip.
-
22-08-2011, 14:58 #13 Re: Liberar site por determinado IP
Jonas, boa tarde.
Indico a você que monitore os logs do squid.
tail -f /var/log/squid3/access.log | grep ip_da_maquina
pode ser que depois que o usuários faça login, o hotmail redireciona ele a
outra.
Veja qual url está sendo bloqueada e libere ela também.
Monitore os logs, eles vão te ajudar sempre.
Qualquer dúvida só perguntar.
Veja um exemplo de monitoramento do log de acesso ao hotmail.com:
Código :1314036017.037 506 10.1.1.87 TCP_MISS/302 1781 GET http://www.hotmail.com/ - DIRECT/64.4.56.55 text/html 1314036034.668 892 10.1.1.87 TCP_MISS/302 904 GET http://mail.live.com/default.aspx - DIRECT/64.4.56.23 - 1314036035.514 820 10.1.1.87 TCP_MISS/200 39646 GET http://sn134w.snt134.mail.live.com/default.aspx - DIRECT/187.59.4.26 text/html 1314036035.534 14 10.1.1.87 TCP_HIT/200 12816 GET http://css.wlxrs.com/7dzr7D9roNpMQRrr6sVQX7oUor!cTd5FsGMJWsDXw!Lrg8webMxFWyIPb2lazv8fhF1zt!is9XAytaMpT8wIMQ/Base/16.0.1798/NYKpPzcj59cwlx_hotmailHome.css? - NONE/- text/css 1314036035.634 11 10.1.1.87 TCP_HIT/200 12278 GET http://css.wlxrs.com/7dzr7D9roNpMQRrr6sVQX7oUor!cTd5FsGMJWsDXw!Lrg8webMxFWyIPb2lazv8fhF1zt!is9XAytaMpT8wIMQ/base/16.0.1798/img/default_final_ltr.jpg - NONE/- image/jpeg 1314036036.506 786 10.1.1.87 TCP_MISS/200 446 GET http://geo.messenger.services.live.com/actions/presignin? - DIRECT/65.55.64.249 application/x-javascript 1314036036.655 847 10.1.1.87 TCP_MISS/200 1185 GET http://accountservices.msn.com/loginmsn.srf? - DIRECT/65.54.234.77 image/gif 1314036037.195 332 10.1.1.87 TCP_MISS/200 1299 GET http://sn134w.snt134.mail.live.com/mail/OptionsWriter.aspx? - DIRECT/187.59.4.26 text/html 1314036037.440 220 10.1.1.87 TCP_MISS/200 1396 POST http://sn134w.snt134.mail.live.com/mail/mail.fpp? - DIRECT/187.59.4.26 application/x-javascript 1314036037.565 724 10.1.1.87 TCP_MISS/302 1028 GET http://h.live.com/c.gif? - DIRECT/65.55.206.60 - 1314036037.877 169 10.1.1.87 TCP_MISS/200 2438 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.192.10 text/html 1314036037.924 204 10.1.1.87 TCP_MISS/200 1980 GET http://sn134w.snt134.mail.live.com/handlers/adpopover.mvc? - DIRECT/187.59.4.26 text/html 1314036038.357 10 10.1.1.87 TCP_MEM_HIT/200 31346 GET http://ads2.msads.net/CIS/65/000/000/000/018/757.swf? - NONE/- application/x-shockwave-flash 1314036038.462 832 10.1.1.87 TCP_MISS/302 1301 GET http://h.atdmt.com/c.gif? - DIRECT/64.4.21.42 - 1314036038.810 339 10.1.1.87 TCP_MISS/304 295 GET http://fpdownload2.macromedia.com/get/flashplayer/update/current/xml/version_en_win_ax.xml - DIRECT/187.59.4.10 text/xml 1314036038.830 339 10.1.1.87 TCP_MISS/200 751 GET http://h.live.com/c.gif? - DIRECT/65.55.206.60 image/gif 1314036039.020 550 10.1.1.87 TCP_MISS/404 703 GET http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml10.3.183.5~installVector=4&lang=en&cpuWordLength=32&playerType=ax&os=win&osVer=7 - DIRECT/187.59.4.10 text/html 1314036039.464 761 10.1.1.87 TCP_MISS/200 1098 GET http://a.rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.192.10 text/html 1314036039.530 10 10.1.1.87 TCP_HIT/200 16918 GET http://a.ads2.msads.net/CIS/103/000/000/000/012/015.png - NONE/- image/png 1314036042.457 268 10.1.1.87 TCP_MISS/200 19214 GET http://sn134w.snt134.mail.live.com/mail/EditMessageLight.aspx? - DIRECT/187.59.4.26 text/html 1314036042.706 194 10.1.1.87 TCP_MISS/304 405 GET http://sn134w.snt134.mail.live.com/mail/RteFrame_16.0.1770.0804.html? - DIRECT/187.59.4.26 - 1314036043.067 178 10.1.1.87 TCP_MISS/200 544 GET http://h.live.com/c.gif? - DIRECT/65.55.206.60 image/gif 1314036043.797 13 10.1.1.87 TCP_HIT/200 3892 GET http://css.wlxrs.com/7dzr7D9roNpMQRrr6sVQX7oUor!cTd5FbMgFdWdZ6KkZvBdNfvZhirHRfABvJm6LEbNgX6Modj6s5TIqOVU1iw/Base/16.0.1798/NYKpPzcj59cwlx_webimui.css? - NONE/- text/css 1314036043.959 940 10.1.1.87 TCP_MISS/200 64974 GET http://sn134w.snt134.mail.live.com/mail/ContactList.aspx? - DIRECT/187.59.4.26 text/javascript 1314036047.490 8 10.1.1.87 TCP_HIT/200 881 GET http://geo.messenger.services.live.com/xmlProxy.htm? - NONE/- text/html 1314036047.955 420 10.1.1.87 TCP_MISS/200 1203 POST http://geo.messenger.services.live.com/actions/signinstatus/ - DIRECT/65.55.64.249 application/json 1314036050.863 2683 10.1.1.87 TCP_MISS/200 92762 POST http://geo.messenger.services.live.com/actions/signin/ - DIRECT/65.55.64.249 application/json 1314036051.703 206 10.1.1.87 TCP_MISS/200 2676 GET http://sn134w.snt134.mail.live.com/handlers/resourcespreload.mvc? - DIRECT/187.59.4.26 text/html 1314036053.146 720 10.1.1.87 TCP_MISS/200 840 GET http://sn1msg3010809.gateway.messenger.live.com/xmlProxy.htm? - DIRECT/65.55.71.75 text/html
Compare com o seu.
Abraço
-
22-08-2011, 16:46 #14
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Valeu Cristian,
Irei verificar, pensei que tinha que colocar alguma coisa no squid.conf para poder ouvir a radio, pois quando eu liberei geral na iptable a radio abriu e tocou. Abração.
-
22-08-2011, 17:23 #15 Re: Liberar site por determinado IP
Olha, vai depender das suas regras do firewall.
Pois se a regra que você está usando padrão é negar tudo, pode ser que abra o site e não toque o streaming. Aí você vai ter que fazer uma regra no iptables para o o site, por exemplo:
Código :## Regra para Radio UOL /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d 200.147.0/17 -j MASQUERADE
200.147.0/17 é a faixa de IP que o uol usa, se você quiser ser mais específico.
você pode até mesmo fechar mais ainda a regra adicionando a porta tcp que o streaming usa, aí você terá que monitorar a conexão com tcpdump por exemplo.Código :proxy:~# ping radio.uol.com.br PING amazonas.uol.com.br (200.147.3.199) 56(84) bytes of data. ... /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d radio.uol.com.br -j MASQUERADE ...
Abraço
-
23-08-2011, 10:15 #16
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Valeu Cristian,
Vou tentar com a regra iptable qe vc passou,sobre tcpdump eu não sei usar, como ja falei ainda não sou expert em Linux, estou batalhando pra isso. Abraço e obrigado pela ajuda amigão...
-
23-08-2011, 10:44 #17 Re: Liberar site por determinado IP
Pelo que eu estava vendo, o site da rádio transfere o streaming para esse endereço:
MFMRadio Nouvelle Scene
o player é executado aqui:
http://static.infomaniak.ch/infomani.../player.v2.swf
... então além de liberar o site:
MFM Radio, Ma French Musique - Le site officiel de la radio MFM
você terá que fazer uma regra para o infomaniak.ch no proxy, já no iptables, a regra será:
Código :/sbin/iptables -t nat -A POSTROUTING -s 0/0 -d infomaniak.ch -j MASQUERADE
Mas não esqueça de monitor os logs para liberar o conteúdo do site primeiro, aí você entra com a regra pra liberar o streaming do audio.
Abraço
-
23-08-2011, 14:31 #18
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Amigo Cristianff, então, eu libero o site no squid no aqruivo "dominios_liberados" e crio a regra no firewal ? estou colocando abaixo o meu firewall pra vc ver como é.
-
23-08-2011, 14:32 #19
- Ingresso
- Jul 2011
- Localização
- Fortaleza - Ce
- Posts
- 14
Re: Liberar site por determinado IP
Desculpe segue abaixo:
# Firewall - Mirc Informatica
# !/bin/bash
# LIMPAR FIREWALL PARA RODAR DEPOIS DE MODIFICAR
iptables -F
iptables -t nat -F
# REDE LOCAL E INTERNET
IPT='/usr/sbin/iptables'
NET_IFACE='eth0'
LAN_IFACE='eth1'
LAN_RANGE='10.10.10.0/24'
# CARREGA MODULOS INICIAIS
modprobe ip_conntrack
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_nat
modprobe ip_nat_ftp
# DEFINE REGRAS
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t filter -P FORWARD DROP
iptables -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
iptables -t filter -A INPUT -i $LAN_IFACE -m state --state NEW -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -d 0/0 -s $LAN_RANGE -o $NET_IFACE -j ACCEPT
iptables -t filter -A FORWARD -d $LAN_RANGE -s 0/0 -i $NET_IFACE -j ACCEPT
iptables -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE
iptables -t filter -A INPUT -s $LAN_RANGE -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -s $LAN_RANGE -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -s $LAN_RANGE -d 0/0 -j ACCEPT
# LIBERA PORTAS
iptables -A INPUT -p tcp --destination-port 22 -j REJECT
iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5800 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
iptables -A INPUT -p udp --destination-port 21 -j ACCEPT
iptables -A INPUT -p udp --destination-port 20 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 30002 -j ACCEPT
# SITES LIBERADOS SEM PASSAR PELO PROXY
iptables -t nat -I PREROUTING -s 10.10.10.62 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.83 -d portal.anvisa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.64 -d FASTJOB - As melhores oportunidades est -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.65 -d FASTJOB - As melhores oportunidades est -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.64 -d M -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.63 -d Fastweb : Scholarships, Financial Aid, Student Loans and Colleges -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.62 -d FASTJOB - As melhores oportunidades est -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.58 -d Mundo Oi – Moda, música, esporte e cultura pra você e pro seu Oi. -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.58 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.58 -d torpedo.oiloja.com.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.82 -d Yahoo! Brasil -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.62 -d Yahoo! Brasil -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d SUFRAMA - Superintend -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d https://login.yahoo.com/config/mail?&.intl=br -p tcp --dport 80 -j ACCEPT
# PROXY TRANSPARENTE COM SQUID SE NAO FOR PARA ESSE COMPUTADOR
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
### NAVEGACAO LIBERADA PARA DETERMINADO COMPUTADOR (IP)
iptables -t nat -N SRed
# COMPUTADOR DO GERARDO
iptables -t nat -I PREROUTING -s 10.10.10.67 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.67 -p tcp --dport 80 -j SRed
# MAC BOOK DO DR. GERARDO
iptables -t nat -I PREROUTING -s 10.10.10.112 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.112 -p tcp --dport 80 -j SRed
# COMPUTADOR DO DR SIDNEY
iptables -t nat -I PREROUTING -s 10.10.10.152 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.152 -p tcp --dport 80 -j SRed
# NOTE BOOCK DO DR SIDNEY
iptables -t nat -I PREROUTING -s 10.10.10.150 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.150 -p tcp --dport 80 -j SRed
# CELULAR DO GERARDO - Xperia
iptables -t nat -I PREROUTING -s 10.10.10.159 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.159 -p tcp --dport 80 -j SRed
# COMPUTADOR DO TI
#iptables -t nat -I PREROUTING -s 10.10.10.12 -d 0/0 -j RETURN
#iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.12 -p tcp --dport 80 -j SRed
iptables -t nat -I PREROUTING -s 10.10.10.69 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.69 -p tcp --dport 80 -j Sred
# COMPUTADOR DAS CAMERAS
iptables -t nat -I PREROUTING -s 10.10.10.14 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.14 -p tcp --dport 80 -j SRed
# COMPUTADOR GER.FINANCEIRO
iptables -t nat -I PREROUTING -s 10.10.10.161 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.161 -p tcp --dport 80 -j SRed
# COMPUTADOR GQ./SERVER 2003
iptables -t nat -I PREROUTING -s 10.10.10.108 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.108 -p tcp --dport 80 -j SRed
#GQ - DRA MARTA/DP1
iptables -t nat -I PREROUTING -s 10.10.10.83 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.83 -p tcp --dport 80 -j SRed
iptables -t nat -I PREROUTING -s 10.10.10.64 -d 0/0 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.64 -p tcp --dport 80 -j SRed
# Regra para Radio MFM
iptables -t nat -A POSTROUTING -s 0/0 -d 217.174.206.97 -j MASQUERADE
## Fim Navegacao Liberada
#Navegao Bloqueada
#iptables -A INPUT -s 10.10.10.36 -j DROP
#iptables -A INPUT -s 10.10.10.93 -j DROP
# NAVEGACAO LIBERADA PARA TODOS - SEM PROXY
#iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.0/24 -p tcp --dport 80 -j SRed
#ssh log
#iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "AcessoSSH"
# LIBERA DETERMINADO COMPUTADOR (IP) PARA USO DO ULTRAVNC
#
# REDIRECIONAMENTO DAS PORTAS 5800 E 5900
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to-dest 10.10.10.1
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3306 -j DNAT --to-dest 10.10.10.1
iptables -A FORWARD -p tcp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT
#Redirecionamento terminal server 2003
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
#Redirecionamento VPN
iptables -A FORWARD -p tcp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT
#cameras
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-dest 10.10.10.14
iptables -A FORWARD -p tcp -i eth0 --dport 8080 -d 10.10.10.14 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4550 -j DNAT --to-dest 10.10.10.14
iptables -A FORWARD -p tcp -i eth0 --dport 4550 -d 10.10.10.14 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5550 -j DNAT --to-dest 10.10.10.14
iptables -A FORWARD -p tcp -i eth0 --dport 5550 -d 10.10.10.14 -j ACCEPT
#sap
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 10.10.10.108
iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
#ssh
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 10.10.10.254
iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 10.10.10.254 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 4550 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 5550 -j ACCEPT
# RECARGA DE MODULOS
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe ipt_layer7
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
#bloqueio msn-por-ip
#iptables -I FORWARD -s 10.10.10.57/24 -p tcp --dport 1863 -j DROP
-
23-08-2011, 15:20 #20 Re: Liberar site por determinado IP
Cara, bem confuso seu script, ele poderia ser bem mais simples e ser muito mais eficiente.
O que eu faço é definir as regras padrão antes, INPUT e FORWARD como DROP e OUTPUT como ACCEPT.
Depois eu faço MASQUERADE apenas nas portas TCP e UDP que realmente são necessárias para o uso na minha rede.
Depois eu faço as regras individuais, como essas da rádio, redirecionamentos para terminal server, vnc, etc.
Por fim a regra para usar proxy transparente.
Veja como eu fiz uma adaptação do seu script, fica mais simplificado e mais transparente.
Código :#!/bin/sh #Carrega módulos de connection tracking /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe ip_nat_ftp #Define políticas de acesso padrão /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT #Limpa regras e cadeias de usuário prévias /sbin/iptables -X /sbin/iptables -F /sbin/iptables -t nat -F #Habilita repasse de pacotes echo 1 > /proc/sys/net/ipv4/ip_forward ######################## ### Define variáveis ### ######################## ##Interface externa EXT_IF=eth0 ##Interface Interna INT_IF=eth1 #Rede interna INT_NET=10.10.10.0/24 ### Habilita comunicação interna entre processos locais /sbin/iptables -A INPUT -i lo -j ACCEPT ### Habilita acesso pela rede interna a esse host /sbin/iptables -A INPUT -i $INT_IF -j ACCEPT /sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT ### Habilita SSH /sbin/iptables -A INPUT -i $EXT_IF -m tcp -p tcp --dport 22 -j ACCEPT ### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada) /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # LIBERA DETERMINADO COMPUTADOR (IP) PARA USO DO ULTRAVNC # # REDIRECIONAMENTO DAS PORTAS 5800 E 5900 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to-dest 10.10.10.1 iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3306 -j DNAT --to-dest 10.10.10.1 iptables -A FORWARD -p tcp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT iptables -A FORWARD -p udp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT #Redirecionamento terminal server 2003 iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT iptables -A FORWARD -p udp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT #Redirecionamento VPN iptables -A FORWARD -p tcp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT iptables -A FORWARD -p udp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT #cameras iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-dest 10.10.10.14 iptables -A FORWARD -p tcp -i eth0 --dport 8080 -d 10.10.10.14 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4550 -j DNAT --to-dest 10.10.10.14 iptables -A FORWARD -p tcp -i eth0 --dport 4550 -d 10.10.10.14 -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5550 -j DNAT --to-dest 10.10.10.14 iptables -A FORWARD -p tcp -i eth0 --dport 5550 -d 10.10.10.14 -j ACCEPT #sap iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 10.10.10.108 iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT #ssh iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 10.10.10.254 iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 10.10.10.254 -j ACCEPT ### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), Gmail(465,587,955), MSN (1863) RECEITANET(3456), CONECTIVIDADE SOCIAL (2631) TERMINAL SERVER (3389) OPENVPN(5000,5001) OnixSat(1433,8080) VNCPONTOELETRONICO(5501) SMB(139,445) SINTEGRA(8017) DOMINIOSISTEMAS(81) VOIP(5060,5061) NTP(123) /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,81,110,143,139,443,445,465,587 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 993,995,1433,1863,2083,2631,3456,3389,5017,5900,5901,8017,8080,8082 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,81,123,137,138,443,1194,5000,5001,5060,5061,8017 -j MASQUERADE ### Libera ping da rede interna para fora /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -p icmp -m limit --limit 1/s -j MASQUERADE ## Liberar micros para acessar internet sem passar pelo proxy /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.12 -p tcp -j MASQUERADE ## ti /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.12 -p udp -j MASQUERADE ## ti /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.14 -p tcp -j MASQUERADE ## cameras /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.14 -p udp -j MASQUERADE ## cameras /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.64 -p tcp -j MASQUERADE ## dra marta dp1 /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.64 -p udp -j MASQUERADE ## dra marta dp1 /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.67 -p tcp -j MASQUERADE ## gerardo /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.67 -p udp -j MASQUERADE ## gerardo /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.69 -p tcp -j MASQUERADE ## ti /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.69 -p udp -j MASQUERADE ## ti /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.83 -p tcp -j MASQUERADE ## dra marta dp1 /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.83 -p udp -j MASQUERADE ## dra marta dp1 /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.108 -p tcp -j MASQUERADE ## 2003 server /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.108 -p udp -j MASQUERADE ## 2003 server /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.112 -p tcp -j MASQUERADE ## gerardo mac /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.112 -p udp -j MASQUERADE ## gerardo mac /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.150 -p tcp -j MASQUERADE ## sidney notebook /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.150 -p udp -j MASQUERADE ## sidney notebook /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.152 -p tcp -j MASQUERADE ## sidney /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.152 -p udp -j MASQUERADE ## sidney /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.159 -p tcp -j MASQUERADE ## gerardo xperia /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.159 -p udp -j MASQUERADE ## gerardo xperia /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.161 -p tcp -j MASQUERADE ## financeiro /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.161 -p udp -j MASQUERADE ## financeiro ## Regra para rádio /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d infomaniak.ch -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d 217.174.206.97 -j MASQUERADE ## Regra para proxy transparente /sbin/iptables -t nat -A PREROUTING -i $INT_IF -p tcp --dport 80 -j REDIRECT --to-port 3128
Se quiser usar, faça backup do seu arquivo atual, revise as regras que eu coloquei.
Esse conjunto de regras aqui funcionam?
Código :# SITES LIBERADOS SEM PASSAR PELO PROXY iptables -t nat -I PREROUTING -s 10.10.10.62 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.83 -d portal.anvisa.gov.br -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.64 -d [URL="http://www.fastjob.com.br/"]FASTJOB - As melhores oportunidades est[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.65 -d [URL="http://www.fastjob.com.br/"]FASTJOB - As melhores oportunidades est[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.64 -d [URL="http://www.radio.uol.com.br/"]M[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.63 -d [URL="http://www.fastjob.com/"]Fastweb : Scholarships, Financial Aid, Student Loans and Colleges[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.62 -d [URL="http://www.fastjob.com.br/"]FASTJOB - As melhores oportunidades est[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.58 -d [URL="http://www.mundooi.oi.com.br/"]Mundo Oi – Moda, música, esporte e cultura pra você e pro seu Oi.[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.58 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.58 -d torpedo.oiloja.com.br -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.82 -d [URL="http://www.yahoo.com.br/"]Yahoo! Brasil[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.62 -d [URL="http://www.yahoo.com.br/"]Yahoo! Brasil[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d [URL="http://www.suframa.gov.br/"]SUFRAMA - Superintend[/URL] -p tcp --dport 80 -j ACCEPT iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d [URL]https://login.yahoo.com/config/mail?&.intl=br[/URL] -p tcp --dport 80 -j ACCEPT
ficaria mais interesante você fazer um MAQUERADE da sua rede interna para esses hosts.
tipo:
Código :iptables -t nat -A POSTROUTING -s 10.10.10.62 -d oitorpedoweb.oi.com.br -p tcp -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.10.10.83 -d portal.anvisa.gov.br -p tcp -j MASQUERADE
ou faça para a rede inteira
Código :iptables -t nat -A POSTROUTING -s $INT_NET -d oitorpedoweb.oi.com.br -p tcp -j MASQUERADE iptables -t nat -A POSTROUTING -s $INT_NET -d portal.anvisa.gov.br -p tcp -j MASQUERADE
Bom, acho que vale a pena você testar aí o que fica mais eficiente pra você, achei que suas regras estão um pouco confusas.
Abraço
Citação
