Determinadas Máquinas Não usar SQUID [RESOLVIDO]

doidopombal
(usa Outra)

Enviado em 30/08/2012 - 15:24h

Oi gente

Tenho o squid funcionando na minha rede via transparente.

Tenho um modem roteado, ligado na eth0 do meu firewall+squid e minha rede na eth1 do mesmo.

Nessa rede, tenho 3 máquinas que não gostaria que usassem o squid, preciso delas enxergando direto o modem, para evitar problemas com sites da caixa e demais. Como posso configurar meu firewall dessa maneira???

Grato pela atenção

removido
(usa Nenhuma)

Enviado em 30/08/2012 - 15:33h

#Maquina1

iptable -t nat -A POSTROUTING -s 192.168.10.1 -o eth0 -j MASQUERADE

iptables -A FORWARD -p ALL -s 192.168.10.1 -d 0/0 -j ACCEPT

iptable -A FORWARD -p ALL -s 0/0 -d 192.168.10.1 -j ACCEPT



#Maquina3

iptable -t nat -A POSTROUTING -s 192.168.10.2 -o eth0 -j MASQUERADE

iptables -A FORWARD -p ALL -s 192.168.10.2 -d 0/0 -j ACCEPT

iptable -A FORWARD -p ALL -s 0/0 -d 192.168.10.2 -j ACCEPT



#Maquina3

iptable -t nat -A POSTROUTING -s 192.168.10.3 -o eth0 -j MASQUERADE

iptables -A FORWARD -p ALL -s 192.168.10.3 -d 0/0 -j ACCEPT

iptable -A FORWARD -p ALL -s 0/0 -d 192.168.10.3 -j ACCEPT 

Só lembrando que isso trás riscos para sua rede! Você poderia resolver isso de outras formas, não deixando maquina de usuário comum com acesso full.

doidopombal
(usa Outra)

Enviado em 30/08/2012 - 15:43h

Grato amigo... poderia exemplificar quais riscos???

E de que outra maneira posso resolver esses sites, como o da caixa, sem o acesso ful???

Desde já agradeço a ajuda

removido
(usa Nenhuma)

Enviado em 30/08/2012 - 16:13h

Essas 3 maquina seriam portas para possíveis invasões. O bacana seria remover a regra de transparente e configurar autenticação. Para casos como o da caixa, poderia fazer o seguinte... Criar regras liberando o acesso aos ips da caixa para sua rede e configurar nas exceções do navegador para não usar proxy para o domínios do mesmo.

Ex:

# ---> Conectividade Social

REDE="192.168.10.0/24"

CONEC=200.201.174.207

iptables -A FORWARD -p ALL -s $REDE -d $CONEC -j ACCEPT

iptables -A FORWARD -p ALL -s $CONEC -d $REDE -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -s $REDE -d $CONEC -j MASQUERADE

 

phrich
(usa Slackware)

Enviado em 30/08/2012 - 17:45h

Basta vc utilizar uma excessão:

iptables -t nat blá_blá_blá !10.0.0.5:10.0.0.10 -j REDIRECT blá_blá_blá

Ou seja do ip 10.0.0.5 até 10.0.0.10 não serão redirecionados para a porta do squid

phrich
(usa Slackware)

Enviado em 30/08/2012 - 17:53h

Agora, eu concordo com o amarildosertorio, seria melhor utilizar proxy autenticado, e criar grupos de acesso e tal...

Quanto a sites da caixa e etc, vc tem problemas pq https não funciona com proxy transparente...

Além do mais, vc pode criar uma lista de sites que não irão passar pela autenticação.

doidopombal
(usa Outra)

Enviado em 30/08/2012 - 21:14h

Caro amigo, mais uma vez obrigado pela dica.

Sou novo no squid, mas após seu comentário pesquisei a respeito do proxy autenticado, pelo que pude reparar é a mesma coisa, só que ele solicita ao usuário um login e senha. É realmente isso???

Caso seja, porque então você me recomenda nesse caso a autenticação???

Abraços

removido
(usa Nenhuma)

Enviado em 30/08/2012 - 21:28h

Dá uma lida... Artigo bem bacana!

http://lucianopinheiro.net/portal/?q=node/129

doidopombal
(usa Outra)

Enviado em 30/08/2012 - 21:49h

Véio, muito show. Elucidou muito esse artigo. O lance é que agora fui aplicar aquelas regras no meu servidor, mas a MAQUINA1 continua passando pelo squid, pois o mesmo está bloqueando os sites normalmente nela.

Segue meu /etc/rc.local

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

#Maquina1
iptables -t nat -A POSTROUTING -s 10.1.1.155 -o eth0 -j MASQUERADE
iptables -A FORWARD -p ALL -s 10.1.1.155 -d 0/0 -j ACCEPT
iptables -A FORWARD -p ALL -s 0/0 -d 10.1.1.155 -j ACCEPT

#Maquina3
#iptable -t nat -A POSTROUTING -s 192.168.10.2 -o eth0 -j MASQUERADE
#iptables -A FORWARD -p ALL -s 192.168.10.2 -d 0/0 -j ACCEPT
#iptable -A FORWARD -p ALL -s 0/0 -d 192.168.10.2 -j ACCEPT

#Maquina3
#iptable -t nat -A POSTROUTING -s 192.168.10.3 -o eth0 -j MASQUERADE
#iptables -A FORWARD -p ALL -s 192.168.10.3 -d 0/0 -j ACCEPT
#iptable -A FORWARD -p ALL -s 0/0 -d 192.168.10.3 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Modem roteado na porta eth0

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 10.1.1.0/255.255.255.0 -j ACCEPT

#Fecha o resto da rede
iptables -A INPUT -p tcp --syn -j DROP

exit 0

E agora meu squid.conf

#Script de configuracao do Squid Proxy em modo TRANSPARENT

# Desenvolvido por Leonardo Rangel - rasrangel@gmail.comThis e-mail address is being protected from spambots. You need JavaScript enabled to view it

# Porta
http_port 3128 transparent

icp_port 0



#Cache

cache_mem 0 MB

maximum_object_size 0 MB

cache_dir ufs /var/spool/squid 50000 16 256

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log none



#DNS

#dns_nameservers 192.168.10.254 200.165.132.147 200.149.55.140

emulate_httpd_log off

#connect_timeout 180 seconds


#ACLs
acl all src 0.0.0.0/0.0.0.0

acl linux src 10.1.1.0/24

acl bruno src 10.1.1.155/32

acl linux2 src 192.168.0.0/24

visible_hostname debian

error_directory /usr/share/squid/errors/Portuguese

hierarchy_stoplist cgi-bin ?

acl query urlpath_regex cgi-bin \?

no_cache deny query

#acl negado url_regex -i .*\.mp3$

#http_access deny negado

#acl negado1 urlpath_regex -i mp3

#http_access deny negado1

acl sites_permitidos url_regex -i "/etc/squid/sitespermitidos.txt"

acl sites_bloqueados url_regex -i "/etc/squid/sitesbloqueados.txt"


#acl palavras_negadas urlpath_regex -i "/etc/squid/palavrasnegadas.txt"

http_access allow linux !sites_bloqueados
http_access allow bruno !sites_bloqueados
http_access deny all


Vlw!!!

doidopombal
(usa Outra)

Enviado em 30/08/2012 - 22:08h

Meu amigo, corrija-me se eu estiver errado, mas os comandos abaixo:

#Maquina1
iptables -t nat -A POSTROUTING -s 10.1.1.155 -o eth0 -j MASQUERADE
iptables -A FORWARD -p ALL -s 10.1.1.155 -d 0/0 -j ACCEPT
iptables -A FORWARD -p ALL -s 0/0 -d 10.1.1.155 -j ACCEPT

Estão fazendo a mesma coisa desse abaixo, só que por maquina:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Se sim, o que preciso na verdade, é que das 8 máquinas que tenho na rede, 3 nao enxerguem o meu proxy. Fiz da seguinte maneira e deu certo:

#Redirecionamento maquina1
iptables -t nat -A PREROUTING -s 10.1.1.155 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Redirecionamento maquina2
iptables -t nat -A PREROUTING -s 10.1.1.155 -p tcp --dport 80 -j REDIRECT --to-port 3128

E as que eu não quero, nao redirecionei, portanto nao passam pelo squid.

Está correto o meu raciocínio e implementação??? Se sim, o que achou que eu queria quando me passou aqueles comandos no início???

Abraços

removido
(usa Nenhuma)

Enviado em 30/08/2012 - 22:15h

unh....

Testa assim... Mantem essa configuração adicionando exceção.

iptables -t nat -A PREROUTING -i eth1 ! -s 10.1.1.155 -p tcp --dport 80 -j REDIRECT --to-port 3128 

removido
(usa Nenhuma)

Enviado em 30/08/2012 - 22:19h

Seria bom tu entender a estrutura iptables. Sempre recomendo os artigos do Elgio.

Tenta parar uns dias e estudar esse lance.

http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/

http://www.vivaolinux.com.br/artigo/Estrutura-do-IPTables-2-a-tabela-nat/