Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Liberar site por determinado IP

    Amigos, ainda sou iniciante nesse maravilhoso mundo do linux, estou com um problema aqui na empresa, é sobre o squid. O problema é que quando um usuario me pede para liberar um site para ele ter acesso, eu não tenho como liberar somente para o IP da maquina dele, ja tentei configurar uma ACL para liberar site para um determinado IP, mas não consegui e dava erro. Daí eu vou na rc.firewall e libero com um script na iptable, mas ele fica liberado geral igual a maquina da diretoria,.Aqui são 37 maquinas usando samba. Segue abaixo o squid.conf para que algum amigo possa me ajudar.

    # Default
    http_port 10.10.10.1:3128 transparent

    hierarchy_stoplist cgi-bin ?

    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY

    #autenticacao
    #auth_param ntlm use_ntlm_negotiate off
    #auth_param basic program /etc/squid/bin/ncsa_auth /etc/squid/passwd
    #auth_param basic children 5
    #auth_param basic realm Squid proxy-caching web server
    #auth_param basic credentialsttl 2 hours
    #auth_param basic casesensitive off
    #

    # Configuracao Padrao
    cache_mem 64 MB
    # cache_dir ufs /var/spool/squid/ 500 16 256
    cache_access_log /etc/squid/var/logs/access.log
    cache_log /etc/squid/var/logs/cache.log
    cache_store_log /etc/squid/var/logs/store.log
    #pid_filename /etc/squid/var/logs/squid/squid.pid

    auth_param basic children 5
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours

    # Padrao sugerido
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    # ACCESS CONTROL LISTS
    # --------------------

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563 10000 21 24001
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 24001 # ftp dpi
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager

    # Nega pedidos de portas desconhecidas
    http_access deny !Safe_ports

    # Nega CONNECT para portas diferentes das SSL_ports
    http_access deny CONNECT !SSL_ports

    # Regras especificas
    # ------------------

    acl redelocal src 10.10.10.0/255.255.255.0 127.0.0.1

    #acl arq_usuarios_skyler url_regex "/usr/local/squid/etc/sites_usu_skyler"
    #acl usuarios_skyler proxy_auth moratti julio antonio
    acl Block url_regex -i "/etc/squid/Bloqueados"
    acl bloq urlpath_regex -i "/etc/squid/Bloqueados"
    acl bloqsites dstdomain -i "/etc/squid/SitesBloqueados"
    acl NoBlock url_regex -i "/etc/squid/Desbloqueados"
    acl nobloq urlpath_regex -i "/etc/squid/Desbloqueados"
    acl nobloqsites dstdomain -i "/etc/squid/SitesDesbloqueados"
    acl macaddress arp 00:1B:24:31:28:0D
    #Blacklist
    #acl black_porn1 dstdomain -i "/etc/blacklist/domains_porn"
    #acl black_porn2 urlpath_regex -i "/etc/blacklist/urls_porn"

    #Bloquear IP
    #acl ip1 src 192.168.0.36
    #acl ip2 src 192.168.0.95

    acl hotmail_domains dstdomain .hotmail.msn.com
    header_access Accept-Encoding deny hotmail_domains

    http_access deny Block !NoBlock
    http_access deny bloqsites !nobloqsites
    http_access deny bloq !nobloq
    #http_access deny !macaddress all
    #http_access deny arq_usuarios_skyler

    #http_access deny ip1
    http_access allow redelocal
    #http_access deny ip2

    # Nega o acesso de todos por esse proxy
    http_access deny all

    http_reply_access allow all

    # Permite pedidos ICP de todos
    icp_access allow all

    # Default
    # cache_mgr [email protected]

    # Configuracao para proxy transparente
    # ------------------------------------
    #httpd_accel_port 80
    #httpd_accel_host virtual
    #httpd_accel_with_proxy on
    #httpd_accel_uses_host_header on

    coredump_dir /var/spool/squid

    # Linhas acrescidas
    visible_hostname proxy.localdomain.com.br

    # Para monitoramento
    #acl snmppublic snmp_community local_user
    #snmp_port 3401
    #snmp_access allow localhost
    #snmp_access deny all

    #error_directory /etc/squid/errors/Portuguese
    error_directory /usr/share/squid/errors/Portuguese

  2. #2

    Padrão Re: Liberar site por determinado IP

    Como é a política da sua rede?
    É bloqueado o acesso a todas as máquinas e você tem que liberar apenas um ou outro site para um determinado ip? Você terá que casar regras.

    Código :
    ## ACL IPS LIBERADOS
    acl ips "/etc/squid3/ips"
     
    ## Dominios liberados
    acl dominios_liberados url_regex -i "/etc/squid3/dominios_liberados"
    Na ACL ips você vai colocar um ip por linha.
    Na ACL dominios _liberados você vai fazer o mesmo, um domínio por linha.

    Agora o que você tem que fazer é casar as duas regras que você acabou de criar.
    Código :
    http_access allow ips dominios_liberados

    Se você quer barrar apenas de uma máquina, você pode fazer por ip ou por mac address, aí você vai ter que continuar "brincando" com as regras.

    A regra acima eu estou supondo que é tudo bloqueado e você quer liberar apenas alguns sites para alguns IPS.

    Abraço

  3. #3

    Padrão Re: Liberar site por determinado IP

    Ok Cristianff,

    Fiquei muito contente por vc ter me respondido,
    Vou testar aqui,

    É como eu ja falei antes, sou como se fosee um iniciante no Linux, apesar de ter feito curso básico ha mais de 7 anos, não pratico no dia a dia, fico mexendo mais com Windows aqui na empresa que trabalho e tenho medo de fazer alguma m..... e ferrar o sistema.... Vou fazer uma cópia do squid.conf e utilizar a outra cópia "squid2.conf" para fazer uns testes. No final do expediente quando todos estiverem fora do expediente. Um grande abraço. Obrigadão.

  4. #4

    Padrão Re: Liberar site por determinado IP

    OK
    Isso que eu ia te falar, faça backup antes de fazer qualquer alteração, mas não tem erro.
    Poste o resultado depois.
    Abraço

  5. #5

    Padrão Re: Liberar site por determinado IP

    Eu novamente amigo Cristianff !!!!

    Coloquei as linhas que vc me indicou, criei os arquivos "ips" e "dominios_liberados" coloquei o meu Ip no arquivo "ips" coloquei os sites www.uol.com.br e "yahoo.com" no arquivo "dominios_liberados" - quando eu atualizo "squid -k reconfigure" aparee mensagem de erro:

    AclParseAcLine: Invalid ACL type '"/etc/squid/ips"'
    Fatal: Bungled squid.conf line 92:
    acl ips "/etc/squid/ips"
    Squid cache Version 2.7 STABE3:
    Terminated abnornmally


    Não sei se coloquei as linhas nos locais corretos.

    As Acls coloquei após a linha:
    #Bloquear IP
    # xxxxxxxxxxx
    #xxxxxxxxxxxxx
    coloquei aqui.

    A HTTP após a linha
    #http_access deny ip2
    coloquei aqui

    Aproveitando qual a diferença entre dstdomain - url_regex e urlpath_regex ?

    Abraço.

  6. #6

    Padrão Re: Liberar site por determinado IP

    Jonas, faltou indicar o caminho "src" na ACL

    Código :
     
    ## ACL IPS LIBERADOS acl ips src "/etc/squid3/ips"

    depois faça um restart no serviço do squid.
    Código :
    /etc/init.d/squid restart

    Quando você usa dstdomain você está se referindo ao domínio por completo, quando usar url_regex você trabalha com termos na URL.

    Abraço

  7. #7

    Padrão Re: Liberar site por determinado IP

    Amigo Cristianff,Agradecendo sua atenção comigo, fiz a alteração que vc pediu, quando acesso um dos sites que liberei no arquivo "Dominios liberados" ainda esta bloqueada a página.Criei os arquivos "ips" e "dominios_liberados" com o editor MCEDIT fiz o certo ? no arquivo "ips" coloquei o ip da minha máquina digitando apenas o ip (10.10.10.12) no arquivo "dominios_liberados" digitei de várias maneiras: iniciando com ponto ( .UOL - O melhor conte) sem o ponto (UOL - O melhor conte) sem www (uol.com.br) - o que será que fiz de errado. Abraço e obrigado pela paciência.

  8. #8

    Padrão Re: Liberar site por determinado IP

    Amigo Cristianff,

    Segue abaixo o squid.conf com as alterações que vc pediu.




    ###############
    # Mirc - 2011
    ###############
    # Default
    http_port 10.10.10.1:3128 transparent
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    #autenticacao
    #auth_param ntlm use_ntlm_negotiate off
    #auth_param basic program /etc/squid/bin/ncsa_auth /etc/squid/passwd
    #auth_param basic children 5
    #auth_param basic realm Squid proxy-caching web server
    #auth_param basic credentialsttl 2 hours
    #auth_param basic casesensitive off
    #
    # Configuracao Padrao
    cache_mem 64 MB
    # cache_dir ufs /var/spool/squid/ 500 16 256
    cache_access_log /etc/squid/var/logs/access.log
    cache_log /etc/squid/var/logs/cache.log
    cache_store_log /etc/squid/var/logs/store.log
    #pid_filename /etc/squid/var/logs/squid/squid.pid
    auth_param basic children 5
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours
    # Padrao sugerido
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    # ACCESS CONTROL LISTS
    # --------------------
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563 10000 21 24001
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 24001 # ftp dpi
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    # Nega pedidos de portas desconhecidas
    http_access deny !Safe_ports
    # Nega CONNECT para portas diferentes das SSL_ports
    http_access deny CONNECT !SSL_ports
    # Regras especificas
    # ------------------
    acl redelocal src 10.10.10.0/255.255.255.0 127.0.0.1
    #acl arq_usuarios_skyler url_regex "/usr/local/squid/etc/sites_usu_skyler"
    #acl usuarios_skyler proxy_auth moratti julio antonio
    acl Block url_regex -i "/etc/squid/Bloqueados"
    acl bloq urlpath_regex -i "/etc/squid/Bloqueados"
    acl bloqsites dstdomain -i "/etc/squid/SitesBloqueados"
    acl NoBlock url_regex -i "/etc/squid/Desbloqueados"
    acl nobloq urlpath_regex -i "/etc/squid/Desbloqueados"
    acl nobloqsites dstdomain -i "/etc/squid/SitesDesbloqueados"
    acl macaddress arp 00:1B:24:31:28:0D
    #Blacklist
    #acl black_porn1 dstdomain -i "/etc/blacklist/domains_porn"
    #acl black_porn2 urlpath_regex -i "/etc/blacklist/urls_porn"
    #Bloquear IP
    #acl ip1 src 192.168.0.36
    #acl ip2 src 192.168.0.95
    # ACLs IPs Liberados
    acl ips src "/etc/squid/ips"
    # ACLs Dominios Liberados
    acl dominios_liberados url_regex -i "/etc/squid/dominios_liberados"
     
    acl hotmail_domains dstdomain .hotmail.msn.com
    header_access Accept-Encoding deny hotmail_domains
    http_access deny Block !NoBlock
    http_access deny bloqsites !nobloqsites
    http_access deny bloq !nobloq
    #http_access deny !macaddress all
    #http_access deny arq_usuarios_skyler
    #http_access deny ip1
    http_access allow redelocal
    #http_access deny ip2
    http_access allow ips dominios_liberados
     
    # Nega o acesso de todos por esse proxy
    http_access deny all
    http_reply_access allow all
    # Permite pedidos ICP de todos
    icp_access allow all
    # Default
    # cache_mgr [email protected]
    # Configuracao para proxy transparente
    # ------------------------------------
    #httpd_accel_port 80
    #httpd_accel_host virtual
    #httpd_accel_with_proxy on
    #httpd_accel_uses_host_header on
    coredump_dir /var/spool/squid
    # Linhas acrescidas
    visible_hostname proxy.localdomain.com.br
    # Para monitoramento
    #acl snmppublic snmp_community local_user
    #snmp_port 3401
    #snmp_access allow localhost
    #snmp_access deny all
    #error_directory /etc/squid/errors/Portuguese
    error_directory /usr/share/squid/errors/Portuguese

  9. #9

    Padrão Re: Liberar site por determinado IP

    Veja a ordem das regras, nas acls se você tem uma regra que bloqueia antes da que libera, ele vai assumir a primeira como verdadeira e não vai passar pela regra que libera.

    Então coloque a regra que libera por primeiro na ordem:
    Código :
    http_access allow ips dominios_liberados
    http_access deny Block !NoBlock 
    http_access deny bloqsites !nobloqsites 
    http_access deny bloq !nobloq 
    #http_access deny !macaddress all
    #http_access deny arq_usuarios_skyler
    #http_access deny ip1
    http_access allow redelocal 
    #http_access deny ip2

    Faça isso e reinicie o serviço.
    Se não funcionar, reveja suas regras, veja se tem alguma que está interferindo na regra dos ips.

    Abraço

  10. #10

    Padrão Re: Liberar site por determinado IP

    Valeu Cristianff,
    Deu certo, o problema agora é somente quando eu acesso por exemplo a página bol.com.br e tento entrar na página do email, daí ele bloqueia.

    Será que tem que mudar a linha da acl do dominios_liberados para dstdomain ? como ficaria.?

    um abraço, só mais essa amigão. Vou ficar devendo alguma com vc !!!!

  11. #11

    Padrão Re: Liberar site por determinado IP

    Ele deve redirecionar para outro endereço.
    Monitore a conexão do IP com o comando:
    Código :
    tail -f /var/log/squid/access.log |grep 10.10.10.12

    Veja depois que entra na página do e-mail, veja qual é a url e insira ela também no arquivo de dominios_liberados.

    Que isso, que bom que deu certo, basta agradecer aí no post, hehehe (estrelinha).
    Abraço

  12. #12

    Padrão Re: Liberar site por determinado IP

    Caro Amigo CristianFF,
    Novamente peço sua ajudaamigo, o problema agora é liberar streaming de radio e o hotmail. Por exemplo coloquei no arquivo Dominios_Liberados o site .hotmail.com e a radio .mfm.fr - eles abre a página principal mas não abre a pagina que toca, e nem a pagina com os emails no hotmail.
    O squid.conf é o mesmo que vc me ajudou a liberar as paginas por Ip.

  13. #13

    Padrão Re: Liberar site por determinado IP

    Jonas, boa tarde.
    Indico a você que monitore os logs do squid.

    tail -f /var/log/squid3/access.log | grep ip_da_maquina

    pode ser que depois que o usuários faça login, o hotmail redireciona ele a
    outra.
    Veja qual url está sendo bloqueada e libere ela também.

    Monitore os logs, eles vão te ajudar sempre.
    Qualquer dúvida só perguntar.

    Veja um exemplo de monitoramento do log de acesso ao hotmail.com:

    Código :
    1314036017.037    506 10.1.1.87 TCP_MISS/302 1781 GET http://www.hotmail.com/ - DIRECT/64.4.56.55 text/html
    1314036034.668    892 10.1.1.87 TCP_MISS/302 904 GET http://mail.live.com/default.aspx - DIRECT/64.4.56.23 -
    1314036035.514    820 10.1.1.87 TCP_MISS/200 39646 GET http://sn134w.snt134.mail.live.com/default.aspx - DIRECT/187.59.4.26 text/html
    1314036035.534     14 10.1.1.87 TCP_HIT/200 12816 GET http://css.wlxrs.com/7dzr7D9roNpMQRrr6sVQX7oUor!cTd5FsGMJWsDXw!Lrg8webMxFWyIPb2lazv8fhF1zt!is9XAytaMpT8wIMQ/Base/16.0.1798/NYKpPzcj59cwlx_hotmailHome.css? - NONE/- text/css
    1314036035.634     11 10.1.1.87 TCP_HIT/200 12278 GET http://css.wlxrs.com/7dzr7D9roNpMQRrr6sVQX7oUor!cTd5FsGMJWsDXw!Lrg8webMxFWyIPb2lazv8fhF1zt!is9XAytaMpT8wIMQ/base/16.0.1798/img/default_final_ltr.jpg - NONE/- image/jpeg
    1314036036.506    786 10.1.1.87 TCP_MISS/200 446 GET http://geo.messenger.services.live.com/actions/presignin? - DIRECT/65.55.64.249 application/x-javascript
    1314036036.655    847 10.1.1.87 TCP_MISS/200 1185 GET http://accountservices.msn.com/loginmsn.srf? - DIRECT/65.54.234.77 image/gif
    1314036037.195    332 10.1.1.87 TCP_MISS/200 1299 GET http://sn134w.snt134.mail.live.com/mail/OptionsWriter.aspx? - DIRECT/187.59.4.26 text/html
    1314036037.440    220 10.1.1.87 TCP_MISS/200 1396 POST http://sn134w.snt134.mail.live.com/mail/mail.fpp? - DIRECT/187.59.4.26 application/x-javascript
    1314036037.565    724 10.1.1.87 TCP_MISS/302 1028 GET http://h.live.com/c.gif? - DIRECT/65.55.206.60 -
    1314036037.877    169 10.1.1.87 TCP_MISS/200 2438 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.192.10 text/html
    1314036037.924    204 10.1.1.87 TCP_MISS/200 1980 GET http://sn134w.snt134.mail.live.com/handlers/adpopover.mvc? - DIRECT/187.59.4.26 text/html
    1314036038.357     10 10.1.1.87 TCP_MEM_HIT/200 31346 GET http://ads2.msads.net/CIS/65/000/000/000/018/757.swf? - NONE/- application/x-shockwave-flash
    1314036038.462    832 10.1.1.87 TCP_MISS/302 1301 GET http://h.atdmt.com/c.gif? - DIRECT/64.4.21.42 -
    1314036038.810    339 10.1.1.87 TCP_MISS/304 295 GET http://fpdownload2.macromedia.com/get/flashplayer/update/current/xml/version_en_win_ax.xml - DIRECT/187.59.4.10 text/xml
    1314036038.830    339 10.1.1.87 TCP_MISS/200 751 GET http://h.live.com/c.gif? - DIRECT/65.55.206.60 image/gif
    1314036039.020    550 10.1.1.87 TCP_MISS/404 703 GET http://fpdownload2.macromedia.com/get/flashplayer/update/current/install/version.xml10.3.183.5~installVector=4&lang=en&cpuWordLength=32&playerType=ax&os=win&osVer=7 - DIRECT/187.59.4.10 text/html
    1314036039.464    761 10.1.1.87 TCP_MISS/200 1098 GET http://a.rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.192.10 text/html
    1314036039.530     10 10.1.1.87 TCP_HIT/200 16918 GET http://a.ads2.msads.net/CIS/103/000/000/000/012/015.png - NONE/- image/png
    1314036042.457    268 10.1.1.87 TCP_MISS/200 19214 GET http://sn134w.snt134.mail.live.com/mail/EditMessageLight.aspx? - DIRECT/187.59.4.26 text/html
    1314036042.706    194 10.1.1.87 TCP_MISS/304 405 GET http://sn134w.snt134.mail.live.com/mail/RteFrame_16.0.1770.0804.html? - DIRECT/187.59.4.26 -
    1314036043.067    178 10.1.1.87 TCP_MISS/200 544 GET http://h.live.com/c.gif? - DIRECT/65.55.206.60 image/gif
    1314036043.797     13 10.1.1.87 TCP_HIT/200 3892 GET http://css.wlxrs.com/7dzr7D9roNpMQRrr6sVQX7oUor!cTd5FbMgFdWdZ6KkZvBdNfvZhirHRfABvJm6LEbNgX6Modj6s5TIqOVU1iw/Base/16.0.1798/NYKpPzcj59cwlx_webimui.css? - NONE/- text/css
    1314036043.959    940 10.1.1.87 TCP_MISS/200 64974 GET http://sn134w.snt134.mail.live.com/mail/ContactList.aspx? - DIRECT/187.59.4.26 text/javascript
    1314036047.490      8 10.1.1.87 TCP_HIT/200 881 GET http://geo.messenger.services.live.com/xmlProxy.htm? - NONE/- text/html
    1314036047.955    420 10.1.1.87 TCP_MISS/200 1203 POST http://geo.messenger.services.live.com/actions/signinstatus/ - DIRECT/65.55.64.249 application/json
    1314036050.863   2683 10.1.1.87 TCP_MISS/200 92762 POST http://geo.messenger.services.live.com/actions/signin/ - DIRECT/65.55.64.249 application/json
    1314036051.703    206 10.1.1.87 TCP_MISS/200 2676 GET http://sn134w.snt134.mail.live.com/handlers/resourcespreload.mvc? - DIRECT/187.59.4.26 text/html
    1314036053.146    720 10.1.1.87 TCP_MISS/200 840 GET http://sn1msg3010809.gateway.messenger.live.com/xmlProxy.htm? - DIRECT/65.55.71.75 text/html

    Compare com o seu.

    Abraço

  14. #14

    Padrão Re: Liberar site por determinado IP

    Valeu Cristian,
    Irei verificar, pensei que tinha que colocar alguma coisa no squid.conf para poder ouvir a radio, pois quando eu liberei geral na iptable a radio abriu e tocou. Abração.

  15. #15

    Padrão Re: Liberar site por determinado IP

    Olha, vai depender das suas regras do firewall.
    Pois se a regra que você está usando padrão é negar tudo, pode ser que abra o site e não toque o streaming. Aí você vai ter que fazer uma regra no iptables para o o site, por exemplo:

    Código :
    ## Regra para Radio UOL
    /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d 200.147.0/17 -j MASQUERADE

    200.147.0/17 é a faixa de IP que o uol usa, se você quiser ser mais específico.

    Código :
    proxy:~# ping radio.uol.com.br
    PING amazonas.uol.com.br (200.147.3.199) 56(84) bytes of data.
    ...
    /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d radio.uol.com.br -j MASQUERADE
    ...
    você pode até mesmo fechar mais ainda a regra adicionando a porta tcp que o streaming usa, aí você terá que monitorar a conexão com tcpdump por exemplo.

    Abraço

  16. #16

    Padrão Re: Liberar site por determinado IP

    Valeu Cristian,
    Vou tentar com a regra iptable qe vc passou,sobre tcpdump eu não sei usar, como ja falei ainda não sou expert em Linux, estou batalhando pra isso. Abraço e obrigado pela ajuda amigão...

  17. #17

    Padrão Re: Liberar site por determinado IP

    Pelo que eu estava vendo, o site da rádio transfere o streaming para esse endereço:

    MFMRadio Nouvelle Scene

    o player é executado aqui:

    http://static.infomaniak.ch/infomani.../player.v2.swf

    ... então além de liberar o site:
    MFM Radio, Ma French Musique - Le site officiel de la radio MFM
    você terá que fazer uma regra para o infomaniak.ch no proxy, já no iptables, a regra será:
    Código :
    /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d infomaniak.ch -j MASQUERADE

    Mas não esqueça de monitor os logs para liberar o conteúdo do site primeiro, aí você entra com a regra pra liberar o streaming do audio.

    Abraço

  18. #18

    Padrão Re: Liberar site por determinado IP

    Amigo Cristianff, então, eu libero o site no squid no aqruivo "dominios_liberados" e crio a regra no firewal ? estou colocando abaixo o meu firewall pra vc ver como é.

  19. #19

    Padrão Re: Liberar site por determinado IP

    Desculpe segue abaixo:
    # Firewall - Mirc Informatica
    # !/bin/bash
    # LIMPAR FIREWALL PARA RODAR DEPOIS DE MODIFICAR
    iptables -F
    iptables -t nat -F
    # REDE LOCAL E INTERNET
    IPT='/usr/sbin/iptables'
    NET_IFACE='eth0'
    LAN_IFACE='eth1'
    LAN_RANGE='10.10.10.0/24'
    # CARREGA MODULOS INICIAIS
    modprobe ip_conntrack
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG
    modprobe iptable_nat
    modprobe ip_nat_ftp
    # DEFINE REGRAS
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t filter -P FORWARD DROP
    iptables -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
    iptables -t filter -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
    iptables -t filter -A INPUT -i $LAN_IFACE -m state --state NEW -j ACCEPT
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A FORWARD -d 0/0 -s $LAN_RANGE -o $NET_IFACE -j ACCEPT
    iptables -t filter -A FORWARD -d $LAN_RANGE -s 0/0 -i $NET_IFACE -j ACCEPT
    iptables -t nat -A POSTROUTING -o $NET_IFACE -j MASQUERADE
    iptables -t filter -A INPUT -s $LAN_RANGE -d 0/0 -j ACCEPT
    iptables -t filter -A OUTPUT -s $LAN_RANGE -d 0/0 -j ACCEPT
    iptables -t filter -A OUTPUT -p icmp -s $LAN_RANGE -d 0/0 -j ACCEPT
    # LIBERA PORTAS
    iptables -A INPUT -p tcp --destination-port 22 -j REJECT
    iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5800 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
    iptables -A INPUT -p udp --destination-port 21 -j ACCEPT
    iptables -A INPUT -p udp --destination-port 20 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 30002 -j ACCEPT
    # SITES LIBERADOS SEM PASSAR PELO PROXY
     
     
    iptables -t nat -I PREROUTING -s 10.10.10.62 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.83 -d portal.anvisa.gov.br -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.64 -d FASTJOB - As melhores oportunidades est -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.65 -d FASTJOB - As melhores oportunidades est -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.64 -d M -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.63 -d Fastweb : Scholarships, Financial Aid, Student Loans and Colleges -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.62 -d FASTJOB - As melhores oportunidades est -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.58 -d Mundo Oi – Moda, música, esporte e cultura pra você e pro seu Oi. -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.58 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.58 -d torpedo.oiloja.com.br -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.82 -d Yahoo! Brasil -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.62 -d Yahoo! Brasil -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d SUFRAMA - Superintend -p tcp --dport 80 -j ACCEPT
    iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d https://login.yahoo.com/config/mail?&.intl=br -p tcp --dport 80 -j ACCEPT
    # PROXY TRANSPARENTE COM SQUID SE NAO FOR PARA ESSE COMPUTADOR
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    ### NAVEGACAO LIBERADA PARA DETERMINADO COMPUTADOR (IP)
    iptables -t nat -N SRed
    # COMPUTADOR DO GERARDO
    iptables -t nat -I PREROUTING -s 10.10.10.67 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.67 -p tcp --dport 80 -j SRed
     
    # MAC BOOK DO DR. GERARDO
    iptables -t nat -I PREROUTING -s 10.10.10.112 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.112 -p tcp --dport 80 -j SRed
     
    # COMPUTADOR DO DR SIDNEY
    iptables -t nat -I PREROUTING -s 10.10.10.152 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.152 -p tcp --dport 80 -j SRed
    # NOTE BOOCK DO DR SIDNEY
    iptables -t nat -I PREROUTING -s 10.10.10.150 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.150 -p tcp --dport 80 -j SRed
     
    # CELULAR DO GERARDO - Xperia
    iptables -t nat -I PREROUTING -s 10.10.10.159 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.159 -p tcp --dport 80 -j SRed
     
    # COMPUTADOR DO TI
    #iptables -t nat -I PREROUTING -s 10.10.10.12 -d 0/0 -j RETURN
    #iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.12 -p tcp --dport 80 -j SRed
    iptables -t nat -I PREROUTING -s 10.10.10.69 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.69 -p tcp --dport 80 -j Sred
    # COMPUTADOR DAS CAMERAS
    iptables -t nat -I PREROUTING -s 10.10.10.14 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.14 -p tcp --dport 80 -j SRed
    # COMPUTADOR GER.FINANCEIRO
    iptables -t nat -I PREROUTING -s 10.10.10.161 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.161 -p tcp --dport 80 -j SRed
     
    # COMPUTADOR GQ./SERVER 2003
    iptables -t nat -I PREROUTING -s 10.10.10.108 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.108 -p tcp --dport 80 -j SRed
    #GQ - DRA MARTA/DP1
    iptables -t nat -I PREROUTING -s 10.10.10.83 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.83 -p tcp --dport 80 -j SRed
    iptables -t nat -I PREROUTING -s 10.10.10.64 -d 0/0 -j RETURN
    iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.64 -p tcp --dport 80 -j SRed
    # Regra para Radio MFM
    iptables -t nat -A POSTROUTING -s 0/0 -d 217.174.206.97 -j MASQUERADE
     
     
     
    ## Fim Navegacao Liberada
    #Navegao Bloqueada
    #iptables -A INPUT -s 10.10.10.36 -j DROP
    #iptables -A INPUT -s 10.10.10.93 -j DROP
    # NAVEGACAO LIBERADA PARA TODOS - SEM PROXY
    #iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.0/24 -p tcp --dport 80 -j SRed
    #ssh log
    #iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "AcessoSSH"
     
    # LIBERA DETERMINADO COMPUTADOR (IP) PARA USO DO ULTRAVNC
    #
    # REDIRECIONAMENTO DAS PORTAS 5800 E 5900
    #
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to-dest 10.10.10.1
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3306 -j DNAT --to-dest 10.10.10.1
    iptables -A FORWARD -p tcp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT
    iptables -A FORWARD -p udp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT
    #Redirecionamento terminal server 2003
    iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
    iptables -A FORWARD -p udp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
    #Redirecionamento VPN
    iptables -A FORWARD -p tcp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT
    iptables -A FORWARD -p udp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT
    #cameras
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-dest 10.10.10.14
    iptables -A FORWARD -p tcp -i eth0 --dport 8080 -d 10.10.10.14 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4550 -j DNAT --to-dest 10.10.10.14
    iptables -A FORWARD -p tcp -i eth0 --dport 4550 -d 10.10.10.14 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5550 -j DNAT --to-dest 10.10.10.14
    iptables -A FORWARD -p tcp -i eth0 --dport 5550 -d 10.10.10.14 -j ACCEPT
    #sap
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 10.10.10.108
    iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
    #ssh
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 10.10.10.254
    iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 10.10.10.254 -j ACCEPT
     
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 4550 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5550 -j ACCEPT
     
    # RECARGA DE MODULOS
    modprobe ip_tables
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat
    modprobe ipt_MASQUERADE
    modprobe ipt_layer7
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ip_conntrack_irc
     
    #bloqueio msn-por-ip
    #iptables -I FORWARD -s 10.10.10.57/24 -p tcp --dport 1863 -j DROP

  20. #20

    Padrão Re: Liberar site por determinado IP

    Cara, bem confuso seu script, ele poderia ser bem mais simples e ser muito mais eficiente.
    O que eu faço é definir as regras padrão antes, INPUT e FORWARD como DROP e OUTPUT como ACCEPT.

    Depois eu faço MASQUERADE apenas nas portas TCP e UDP que realmente são necessárias para o uso na minha rede.

    Depois eu faço as regras individuais, como essas da rádio, redirecionamentos para terminal server, vnc, etc.

    Por fim a regra para usar proxy transparente.

    Veja como eu fiz uma adaptação do seu script, fica mais simplificado e mais transparente.

    Código :
    #!/bin/sh
     
    #Carrega módulos de connection tracking
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack_irc
    /sbin/modprobe ip_nat_ftp
     
    #Define políticas de acesso padrão
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT ACCEPT
     
    #Limpa regras e cadeias de usuário prévias
    /sbin/iptables -X
    /sbin/iptables -F
    /sbin/iptables -t nat -F
     
    #Habilita repasse de pacotes
    echo 1 > /proc/sys/net/ipv4/ip_forward
     
    ########################
    ### Define variáveis ###
    ########################
     
    ##Interface externa
    EXT_IF=eth0
     
    ##Interface Interna
    INT_IF=eth1
     
    #Rede interna
    INT_NET=10.10.10.0/24
     
    ### Habilita comunicação interna entre processos locais
    /sbin/iptables -A INPUT -i lo -j ACCEPT
     
    ### Habilita acesso pela rede interna a esse host
    /sbin/iptables -A INPUT -i $INT_IF -j ACCEPT
    /sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT
     
    ### Habilita SSH
    /sbin/iptables -A INPUT -i $EXT_IF -m tcp -p tcp --dport 22 -j ACCEPT
     
    ### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
     
    # LIBERA DETERMINADO COMPUTADOR (IP) PARA USO DO ULTRAVNC
    #
    # REDIRECIONAMENTO DAS PORTAS 5800 E 5900
    #
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3306 -j DNAT --to-dest 10.10.10.1
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 3306 -j DNAT --to-dest 10.10.10.1
    iptables -A FORWARD -p tcp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT
    iptables -A FORWARD -p udp -i eth0 --dport 3306 -d 10.10.10.1 -j ACCEPT
    #Redirecionamento terminal server 2003
    iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
    iptables -A FORWARD -p udp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
    #Redirecionamento VPN
    iptables -A FORWARD -p tcp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT
    iptables -A FORWARD -p udp -i eth0 --dport 1723 -d 10.10.10.108 -j ACCEPT
    #cameras
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-dest 10.10.10.14
    iptables -A FORWARD -p tcp -i eth0 --dport 8080 -d 10.10.10.14 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4550 -j DNAT --to-dest 10.10.10.14
    iptables -A FORWARD -p tcp -i eth0 --dport 4550 -d 10.10.10.14 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5550 -j DNAT --to-dest 10.10.10.14
    iptables -A FORWARD -p tcp -i eth0 --dport 5550 -d 10.10.10.14 -j ACCEPT
    #sap
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 10.10.10.108
    iptables -A FORWARD -p tcp -i eth0 --dport 3389 -d 10.10.10.108 -j ACCEPT
    #ssh
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 10.10.10.254
    iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 10.10.10.254 -j ACCEPT
     
    ### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), Gmail(465,587,955), MSN (1863) RECEITANET(3456), CONECTIVIDADE SOCIAL (2631) TERMINAL SERVER (3389) OPENVPN(5000,5001) OnixSat(1433,8080) VNCPONTOELETRONICO(5501) SMB(139,445) SINTEGRA(8017) DOMINIOSISTEMAS(81) VOIP(5060,5061) NTP(123)
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,81,110,143,139,443,445,465,587 -j MASQUERADE
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 993,995,1433,1863,2083,2631,3456,3389,5017,5900,5901,8017,8080,8082 -j MASQUERADE
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,81,123,137,138,443,1194,5000,5001,5060,5061,8017 -j MASQUERADE
     
    ### Libera ping da rede interna para fora
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -p icmp -m limit --limit 1/s -j MASQUERADE
     
    ## Liberar micros para acessar internet sem passar pelo proxy
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.12 -p tcp -j MASQUERADE   ## ti
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.12 -p udp -j MASQUERADE   ## ti
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.14 -p tcp -j MASQUERADE   ## cameras
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.14 -p udp -j MASQUERADE   ## cameras
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.64 -p tcp -j MASQUERADE   ## dra marta dp1
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.64 -p udp -j MASQUERADE   ## dra marta dp1
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.67 -p tcp -j MASQUERADE   ## gerardo
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.67 -p udp -j MASQUERADE   ## gerardo
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.69 -p tcp -j MASQUERADE   ## ti
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.69 -p udp -j MASQUERADE   ## ti
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.83 -p tcp -j MASQUERADE   ## dra marta dp1
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.83 -p udp -j MASQUERADE   ## dra marta dp1
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.108 -p tcp -j MASQUERADE  ## 2003 server
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.108 -p udp -j MASQUERADE  ## 2003 server
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.112 -p tcp -j MASQUERADE  ## gerardo mac
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.112 -p udp -j MASQUERADE  ## gerardo mac
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.150 -p tcp -j MASQUERADE   ## sidney notebook
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.150 -p udp -j MASQUERADE   ## sidney notebook
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.152 -p tcp -j MASQUERADE   ## sidney
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.152 -p udp -j MASQUERADE   ## sidney
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.159 -p tcp -j MASQUERADE   ## gerardo xperia
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.159 -p udp -j MASQUERADE   ## gerardo xperia
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.161 -p tcp -j MASQUERADE   ## financeiro
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -s 10.10.10.161 -p udp -j MASQUERADE   ## financeiro
     
    ## Regra para rádio
    /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d infomaniak.ch -j MASQUERADE
    /sbin/iptables -t nat -A POSTROUTING -s 0/0 -d 217.174.206.97 -j MASQUERADE
     
     
    ## Regra para proxy transparente
    /sbin/iptables -t nat -A PREROUTING -i $INT_IF -p tcp --dport 80 -j REDIRECT --to-port 3128

    Se quiser usar, faça backup do seu arquivo atual, revise as regras que eu coloquei.

    Esse conjunto de regras aqui funcionam?
    Código :
    # SITES LIBERADOS SEM PASSAR PELO PROXY
     iptables -t nat -I PREROUTING -s 10.10.10.62 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.83 -d portal.anvisa.gov.br -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.64 -d [URL="http://www.fastjob.com.br/"]FASTJOB - As melhores oportunidades est[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.65 -d [URL="http://www.fastjob.com.br/"]FASTJOB - As melhores oportunidades est[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.64 -d [URL="http://www.radio.uol.com.br/"]M[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.63 -d [URL="http://www.fastjob.com/"]Fastweb : Scholarships, Financial Aid, Student Loans and Colleges[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.62 -d [URL="http://www.fastjob.com.br/"]FASTJOB - As melhores oportunidades est[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.58 -d [URL="http://www.mundooi.oi.com.br/"]Mundo Oi – Moda, música, esporte e cultura pra você e pro seu Oi.[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.58 -d oitorpedoweb.oi.com.br -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.58 -d torpedo.oiloja.com.br -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.82 -d [URL="http://www.yahoo.com.br/"]Yahoo! Brasil[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.62 -d [URL="http://www.yahoo.com.br/"]Yahoo! Brasil[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d [URL="http://www.suframa.gov.br/"]SUFRAMA - Superintend[/URL] -p tcp --dport 80 -j ACCEPT
     iptables -t nat -I PREROUTING -s 10.10.10.0/24 -d [URL]https://login.yahoo.com/config/mail?&.intl=br[/URL] -p tcp --dport 80 -j ACCEPT

    ficaria mais interesante você fazer um MAQUERADE da sua rede interna para esses hosts.
    tipo:
    Código :
    iptables -t nat -A POSTROUTING -s 10.10.10.62 -d oitorpedoweb.oi.com.br -p tcp -j MASQUERADE
      iptables -t nat -A POSTROUTING -s 10.10.10.83 -d portal.anvisa.gov.br -p tcp -j MASQUERADE

    ou faça para a rede inteira
    Código :
    iptables -t nat -A POSTROUTING -s $INT_NET -d oitorpedoweb.oi.com.br -p tcp -j MASQUERADE
       iptables -t nat -A POSTROUTING -s $INT_NET -d portal.anvisa.gov.br -p tcp -j MASQUERADE

    Bom, acho que vale a pena você testar aí o que fica mais eficiente pra você, achei que suas regras estão um pouco confusas.

    Abraço