Shorewall - Configuração diferente

GleisonMoreira
(usa Outra)

Enviado em 16/03/2011 - 15:36h

Prezados

Tenho Shorewall + Squid funcionando quase 100%.
Tenho uma regra que direciona toda navegação para o squid.
REDIRECT loc 3128 tcp www

Porém, preciso dar privilégios a certos IPs, de forma que possam navegar passando fora do squid, por exemplo:
ACCEPT loc:192.168.0.51 net all

Só que não funciona. esta regra libera tudo para este IP, exceto navegação.

O que fazer?

Gleison Moreira

john_connor
(usa Slackware)

Enviado em 16/03/2011 - 15:58h

Amigo , no seu firewall qual a ordem dessas regras ? Lembre-se as regras sao lidas de cima para baixo , pelo que entendi a regra do proxy está acima da regra que vvc criou para os ips que nao devem passar pelo proxy ... se for isso coloque a regras dos ips liberados acima da regra do proxy .

John_Connor

GleisonMoreira
(usa Outra)

Enviado em 16/03/2011 - 16:08h

Meu caro Jonh, boa tarde. Antes de mais nada, obrigado pelo interesse em ajudar-me.

Dr, após sua dica, resolvi testar, colocando a linha ao final da regra e não surtiu efeito.
Exibe uma mensagem de erro:

ERRO
A URL solicitada não pode ser recuperada

--------------------------------------------------------------------------------

Na tentativa de recuperar a URL:

GET / HTTP/1.1
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, application/x-shockwave-flash, application/vnd.ms-excel, application/msword, */*
Accept-Language: pt-BR
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MDDS; .NET4.0C)
Accept-Encoding: gzip, deflate
Host: www.google.com.br
Connection: Keep-Alive
Cookie: PREF=ID=037ae703f48e4ebb:U=bdeb4a546848eaaf:FF=0:TM=1300297857:LM=1300297875:S=h8ckITmNvYSwZC2G; NID=45=RiOiB5ha5v8GuZ49u4pZnmiCsVFwSaY6OxulYsdC_JFnPOK5lYnTRE8XvJ8takS_ZtW0x7jdR0Qm43CD82fM8Ka1QGu77F99wjAZWtnH3XIip5N6EZnHoCX1O1hr4-sy


O seguinte erro foi encontrado:

•Requisição inválida.
Alguns aspectos de requisição HTTP são invalidos. Possíveis causas:

•Método desconhecido ou faltando (GET, POST)
•Faltou a URL
•Faltou o identificador HTTP (HTTP/1.0)
•A requisição pode ser muito grande
•Hostname com caracter inválido; não é permitido o uso de underscores

Minha regra atualmente está da seguinte forma:
#REDIRECIONAMENTO PARA O SQUID
#REDIRECT loc 3128 tcp www
# Retirada a linha acima, pois atrapalha os usuários liberados.

ACCEPT loc:192.168.0.51 net all

john_connor
(usa Slackware)

Enviado em 16/03/2011 - 16:27h

Ah outra coisa , o squid está na mesma maquina que o firewall certo ? Vc tem nat configurado para esses 192.168.0.51 ?

Estou pensand aqui se o squid estiver na mesma maquina , quando ele vai pra internet ele usa o ip externo , agora se esse ip que vc liberou nao tiver nat , nao vai funcionar msm .

Da uma olhada nisso .

John

Mr_Ciber
(usa CentOS)

Enviado em 18/03/2012 - 20:16h

Olá tens que adicionar o cliente no REDIRECT do seu shorewall que esta enviando os clientes para o proxy 3128 depois vc liberar o cliente para internet

assim siga o exemplo

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT(S) PORT(S) DEST
REDIRECT:info loc 3128 tcp http - !192.168.0.1/32,192,168.0.2/32

Onde 192.168.0.1 é seu Servidor
e 192.168.0.2 é seu cliente