Redirecionar para 3128 menos alguns ips

[fajo]

Olá galera, estou precisando fazer com q alguns ips passem direto sem serem redirecionados pelo proxy, a linha no firewall tá assim:

iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

o ip 200.201.174.207 é do conectividade social, q tive tb de deixar passar direto pra funcionar;

a regra teria q ficar assim: tudo q entrar pela rede 1 com destino ao ip acima OU a origem seja (relação de ip's) deve passa direto pela porta 80;

[timidboy]

iptables -t nat -A PREROUTING -i eth1 -s ipquevcquer -j ACCEPT

Porem, essa regra deve ficar antes da regra de redirecionamento do proxy. caso voce queira que o ip faça acesso ao proxy, porem somente a esse ip que ele não deve passar pelo proxy, é só complementar a regra, lembrando que na ordem, ela tem que ficar antes da regra de redirecionamento da 80 pra 3128.

[cristianff]

Código :

iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207  --dport 80 -j REDIRECT --to-port 3128

Mas qual a regra que você usa para o ip 200.201.174.207?

Você pode fazer um MASQUERADE dos ips:

Código :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -d 200.201.174.207 -j MASQUERADE
onde 192.168.0.0/24 sua rede interna
eth0 sua interface rede externa

O resto do tráfego vai para o proxy.
Espero ter ajudado.

[]s

[fajo]

timido, pelo q entendi deve ficar assim:

Código :

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.32 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

isso já é o suficiente para q o ip 192.168.0.32 não passe pela porta 3128?

Cristian, o 200.201.174.207 é do conectividade social, q não funciona fazendo o redirecionamento para a porta 3128, pelo menos no tempo q configurei, então tive q excluí-lo e deixar passar direto. Com relação a meu problema, já tenho uma linha MASQUERADE:

Código :

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

tenho então q trocar esta acima, pela:

Código :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -d 200.201.174.207 -j MASQUERADE

só isso?

[cristianff]

Você usando essa regra:

Código :

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

você faz MASQUERADE para tudo que estiver saindo pela eth0, o certo é você ser mais específico.
Faça um teste, retire a sua regra que redireciona o tráfego para porta 3128 e você vai ver que só com a regra acima as estações vão navegar, assim você está liberando tudo pra navegar, todas portas, protocolos etc.

O ideal é você liberar apenas o que precisa, libere os ips que você realmente necessita passar por fora do proxy, o restante redireciona tudo para 3128.

Código :

## vc vai precisar liberar algumas portas de serviços como abaixo:
### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53), Https(443), Gmail(465,587,955), RECEITANET(3456), CONECTIVIDADE SOCIAL (263
1) TERMINAL SERVER (3389)
iptables -t nat -A POSTROUTING -o eth0 -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,587,995,2083,2631,3456,3389 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -d 200.201.174.207 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -d 200.XXX.XXX.XXX -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Assim você vai deixando sua rede mais segura ajudando bloquear alguns serviços indesejados.

[fajo]

Cristian, fiz exatamente o q vc disse:

### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53), Https(443), Gmail(465,587,955), RECEITANET(3456), CONECTIVIDADE SOCIAL (26331) TERMIN###AL SERVER (3389)
iptables -t nat -A POSTROUTING -o eth0 -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,587,995,2083,2631,3456,3389 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -d 200.201.174.207 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.32 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.65 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

mas, as máquinas .32 e .65 estão passando pelo squid, tanto é q recebo a mensagem de Acesso Negado, quando tento algum site proibido.

[cristianff]

Aqui eu não uso proxy transparente e as máquinas que não quero que passem pelo proxy eu faço isso, exatamente como está nas regras abaixo:

Código :

## Liberar máquinas
iptables -t nat -A POSTROUTING -o eth0 -s 10.100.1.2 -p tcp -j MASQUERADE  
iptables -t nat -A POSTROUTING -o eth0 -s 10.100.1.2 -p udp -j MASQUERADE  
iptables -t nat -A POSTROUTING -o eth0 -s 10.100.1.3 -p tcp -j MASQUERADE  
iptables -t nat -A POSTROUTING -o eth0 -s 10.100.1.3 -p udp -j MASQUERADE  
iptables -t nat -A POSTROUTING -o eth0 -s 10.100.1.4 -p tcp -j MASQUERADE  
iptables -t nat -A POSTROUTING -o eth0 -s 10.100.1.4 -p udp -j MASQUERADE

Única diferença é que aqui não uso proxy transparente.

[fajo]

É o problema talvez seja o proxy transparente, mas já consegui de outra maneira:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 ! -s 192.168.0.1

só falta agora como colocar mais de uma máquina já q tentei separar por virgula e não deu certo.

Obrigado

[cristianff]

O que vc pode fazer é colocar essas máquinas numa subrede diferente e criar acls específicas.
Existem várias soluções! Essa de subrede é uma.