Liberar todos os domínios .pe.gov.br no Iptables

marciochg
(usa Debian)

Enviado em 05/01/2010 - 23:45h

Boa noite!
Pessoal, configurei em minha rede um servidor firewall (GW) e um proxy (PDC no Samba). E para "forçar" os usuários acessarem internet após autenticação, bloquei as portas 80, 443 e 21 quando o destino é a internet. Dessa forma, os acessos foram restringidos no squid. Porém, alguns sites (Bancos e "dominio.pe.gov.br") não aceitam fazer cache, e principalmente os que trabalham sob HTTPS. Para resolver o problema liberei o acesso direto "sem Proxy" no iptables para alguns sites, mas preciso liberar para todos os .pe.gov.br acesso direto. Como devo fazer essa regra ?

Seria assim:
iptables -A FORWARD -s $minhalan -p tcp --dport 80 -d .pe.gov.br -j ACCEPT

Agradeço desde já pela atenção,
Marcio Souza

magnolinux
(usa Debian)

Enviado em 06/01/2010 - 09:40h

Amigo.. já que vc está utilizando o squid como filtro de conteudo, vc pode criar uma acl acima das restrições liberando esss dominios que vc deseja....

vc pode até mesmo liberar esses dominios sem passar pela autenticação..

Duvidasss posta aí..

abraço..

marciochg
(usa Debian)

Enviado em 06/01/2010 - 12:58h

olá amigo,
valeu pela dica, mas minhas regras do firewall estão no Padrão DROP, ou seja, tudo é implicitamente bloqueado até que seja liberado. Inclusive, para "força" todos usuários a acessarem pelo proxy, realizei o ploqueio das portas 80 e 443 no firewall, e liberei apenas para o ip do proxy. Se possível, você poderia me enviar o exemplo da acl do squid? Agradeço desde já pelo retorno.

iptables -A FORWARD -s 192.168.4.0/24 -p tcp --dport 80 -j REJECT
iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 80 -j REJECT
iptables -A FORWARD -s 192.168.4.0/24 -p tcp --dport 443 -j REJECT
iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 443 -j REJECT