Redirecinamento da porta 80 para 3128 deixando varios sites de fora. [RESOLVIDO]

saulo-rlw
(usa Debian)

Enviado em 06/12/2013 - 18:32h

Bom dia gente!!!
por favor alguém tem ideia de como no redirecionamento da porta 80 para 3128 do squid deixar de fora vários endereços?
tipo: www.vivaolinux.com.br, www.primeirosite.com.br, www.segundosite.com.br, www.terceirosite.com.br, etc..

por favor se alguém puder me ajuda ficarei muito grato já pesquisei e não achei solução! o que achei só funciona para um endereço.
tipo: iptables -t nat -A PREROUTING -i eth1 -d ! 187.115.160.219 -p tcp --dport 80 -j REDIRECT --to 3128

abraços,

Buckminster
(usa Debian)

Enviado em 06/12/2013 - 20:52h

O Iptables somente aceita range de IPs tipo 192.168.1.1-192.168.1.100, o que não é teu caso.

Acredito que você terá que criar uma regra para cada site antes da regra de redirecionamento, mais ou menos assim:

iptables -A FORWARD -d site.com.br -j ACCEPT <<uma regra para cada site.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128

Mas é mais recomendável você criar uma ACl no próprio Squid, criar um arquivo de texto e dentro do arquivo colocar os domínios que você quer:

acl dominios_liberados dstdomain -i "/etc/squid3/liberados.txt" << aqui você coloca o caminho do teu Squid.

E junto das regras de liberação/bloqueio:
http_access allow dominios_liberados

E dentro do arquivo liberados.txt você coloca os domínios, um por linha, assim:
site1.com
site2.com.br
site3.com
site4.com

Mas atente para a ordem de colocação da regra http_access no teu squid.conf.

saulo-rlw
(usa Debian)

Enviado em 06/12/2013 - 22:00h

Boa noite e muito obrigado por responder.
Se eu der o comando:
iptables -A FORWARD -d terra.com.br -j ACCEPT.
e posteriormente dar o:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128.

se eu eu acompanhar os logs do squid com o tail -f... vejo que passa pelo proxy e é justamente isso que não quero...

Preciso no iptables que quando eu fizer o redirecionamento o próprio iptables exclua esse endereço passando por fora do squid.

muito grato.

abraços,

saulo-rlw
(usa Debian)

Enviado em 06/12/2013 - 22:26h

Boa noite e mais uma vez muito obrigado por ter respondido.

Deu primeira de luxo, é que tem um site do passe legal que fica dando erro no squid.

sei que não tem nada haver com o tópico! estou fazendo bloqueio do face usando whois seguindo esse tutorial aqui: http://www.vivaolinux.com.br/topico/Squid-Iptables/PROBLEMAS-AO-BLOQUEAR-FACEBOOK-POR-STRINGS-DESEMP...

quando dou o comando: route add -net 192.168.0.80 accept. diz que o orgumento esta errado. (SIOCADDRT: Invalid argument). vc tem alguma ideia de como é o comando?

abraços,

Buckminster
(usa Debian)

Enviado em 06/12/2013 - 23:11h

De nada.

Tente assim:

route add -net 192.168.0.80/24 accept << se tua máscara de rede for outra, adapte para ela.

saulo-rlw
(usa Debian)

Enviado em 07/12/2013 - 10:22h

Bom dia, muito obrigado por ter respondido.
Infelizmente não deu certo, há máscara é essa mesma.

digitei: route add -net 192.168.0.80 accept / diz: SIOCADDRT: Invalid argument

digitei novamente botando a mascara: route add -net 192.168.0.80/24 accept deu: route: netmask doesn't match route address.

tentei também: route add -net 192.168.0.80 netmask 255.255.255.0 accept
da o mesmo erro: route: netmask doesn't match route address

diz que a máscara não corresponde mais olha o endereço da minha placa:
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0

realmente não sei o que é...

muito grato por ter respondido.

abraços,