+ Responder ao Tópico



  1. #1

    Padrão CAIXA/CNS+OUTRO programa via porta 80

    Ola,

    Tenho um Linux 2.6.12-1.1372_FC3 + iptables-1.2.11-3.1.FC3.

    Eu ja tenho configurado proxy transparente para todas as estacoes, ao acessarem sites (porta 80), serem redirecionados para a porta 3128.

    Tenho tambem configurado e funcionando o acesso a CAIXA/CNS:

    -A PREROUTING -p tcp -m tcp -s 10.0.1.0/24 -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-ports 3128
    Agora tem um programa de outro fornecedor que precisa usar a porta 80 tambem e nao funciona com o proxy. Portanto, precisaria fazer algo do tipo "-d ! 200.201.174.0/24,OUTROIP" mas nao consegui nem com virgula, nem com hifen, nem com espaco, nem com aspas... E esta comecando a "pipocar" estes programas que usam a 80. Portanto, vou precisar depois liberar uma lista de IPs de diferentes fornecedores, alguns com faixa de IP (como a CAIXA) e outros com IP unico.

    Eu tentei fazer isso no squid.conf mas tambem nao deu certo:
    acl NOCACHE url_regex "/etc/squid/direto" \?
    no_cache deny NOCACHE

    Alguma dica de como resolver isso?

    Agradeco desde ja a atencao,

  2. #2

    Padrão CAIXA/CNS+OUTRO programa via porta 80

    Cara dá uma olhada nesse tópico, acho que o problema é parecido com o seu. Quem sabe não está aí sua resposta.

    https://under-linux.org/modules.php?...wtopic&t=33346



  3. #3

    Padrão CAIXA/CNS+OUTRO programa via porta 80

    O link anterior refere-se a liberacao de um ou mais sources para qualquer destination. No meu caso, preciso liberar qualquer source para um ou mais destinations, ou seja, o inverso. Se eu coloco "-d IP1" em uma linha e depois "-d IP2" na proxima linha, aceita apenas um.

  4. #4

    Padrão CAIXA/CNS+OUTRO programa via porta 80

    Detalhe: quando eu disse qualquer source, na verdade quiz dizer qualquer source da minha rede pode acessar os destinos CAIXA CNS, outros bancos, outros programas, mas nao acesso liberado a qualquer site. Sites que nao sejam da CAIXA CNS ou algum outro banco/programa que precise da porta 80 seguem as MESMAS regras de passar pelo Squid.



  5. #5

    Padrão sites sem proxy

    Se voce deseja que alguns sites nao acessem pelo proxy, que tal:

    REDE="192.168.0.0/24"
    iptables -t nat -N semproxy
    iptables -t nat -N proxy


    iptables -t nat -A PREROUTING -j semproxy
    iptables -t nat -A PREROUTING -j proxy

    # sites sem proxy
    iptables -t nat -A semproxy -s $REDE -d www.receita.fazenda.gov.br -j ACCEPT
    iptables -t nat -A semproxy -s $REDE -d www.bb.com.br -j ACCEPT
    iptables -t nat -A semproxy -s $REDE -d www.bradesco.com.br -j ACCEPT


    # os demais, tudo pro proxy!
    iptables -t nat -A proxy -s $REDE -p tcp --dport 80 -j REDIRECT --to-ports 3128


    Dessa maneira, primeiro o pacote entra em "semproxy" e depois em "proxy", quando ele bater com algum site da receita ou banco, ele é aceito e não vai passar pela tabela "proxy", ja os demais nao vao bater em semproxy e vao bater em proxy.

  6. #6

    Padrão CAIXA/CNS+OUTRO programa via porta 80

    Citação Postado originalmente por Edilmar
    O link anterior refere-se a liberacao de um ou mais sources para qualquer destination. No meu caso, preciso liberar qualquer source para um ou mais destinations, ou seja, o inverso. Se eu coloco "-d IP1" em uma linha e depois "-d IP2" na proxima linha, aceita apenas um.
    Bom, que você teria que fazer o contrário do que havia no link eu sabia, só não especifiquei isso na resposta porque lendo o tópico você entenderia isso.

    Eu quis te passar a idéia de que você teria que primeiro aceitar as conexões vinda de sua rede para estes destinos sem passar pelo proxy e depois colocar a regra para fazer o proxy. Acredito que deva funcionar, mas não te dou certeza pois iptables não é meu forte (sou mais fã do pf do OpenBSD para esse tipo de regras).

    Mas acredito que a solução que nosso amigo PatrickBrandao colocou é a mais ideal.



  7. #7
    Visitante

    Padrão Re: sites sem proxy

    Citação Postado originalmente por PatrickBrandao
    Se voce deseja que alguns sites nao acessem pelo proxy, que tal:

    REDE="192.168.10.91"
    iptables -t nat -N semproxy
    iptables -t nat -N proxy


    iptables -t nat -A PREROUTING -j semproxy
    iptables -t nat -A PREROUTING -j proxy

    # sites sem proxy
    iptables -t nat -A semproxy -s $REDE -d www.receita.fazenda.gov.br -j ACCEPT
    iptables -t nat -A semproxy -s $REDE -d www.bb.com.br -j ACCEPT
    iptables -t nat -A semproxy -s $REDE -d www.orkut..com.br -j ACCEPT


    # os demais, tudo pro proxy!
    iptables -t nat -A proxy -s $REDE -p tcp --dport 80 -j REDIRECT --to-ports 3128


    Dessa maneira, primeiro o pacote entra em "semproxy" e depois em "proxy", quando ele bater com algum site da receita ou banco, ele é aceito e não vai passar pela tabela "proxy", ja os demais nao vao bater em semproxy e vao bater em proxy.