Liberando uma máquina para acessar sites bloqueados pelo Squid

Publicado por Charles Bastos em 02/04/2008

[ Hits: 22.263 ]

 


Liberando uma máquina para acessar sites bloqueados pelo Squid



Quando usamos o iptables para liberar/permitir acessos, este interpreta um conjunto de instruções e as executa em ordem. Ou seja, se tiver duas instruções para a mesma máquina, ele vai executar a primeira e ignorar as demais. Portanto, o que temos que fazer é colocar a nossa regra no inicio da lista, com a opção -I.

No caso do Squid, todo o tráfego da porta 80 é direcionado para a porta 3128, portando precisamos inserir uma regra ANTES da regra de redirecionamento. Ficando assim:

# iptables -t nat -I PREROUTING -s 192.168.1.100 -p tcp --dport 80 -j \
ACCEPT


# iptables -t nat -A PREROUTING -s 192.168.19.0/24 -p tcp --dport 80 -j \
REDIRECT --to-port 3128


Note que tanto faz a ordem em que digitarmos as regras, pois a opção -I faz com que a regra vá para o topo da tabela, e a opção -A faz com que fique no final da lista.

Sendo assim, o resultado será o seguinte:

A maquina 192.168.1.100 terá permissão para trafegar através da porta 80, (portanto não passa pelo Squid) e as demais máquinas da rede serão redirecionadas para a porta 3128 e ficarão sujeitas as regras do proxy.

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Script para adicionar hosts no Nagios

Exibir arquivo de grupos /etc/group de forma personalizada conforme o usuário

Limpando o .recycle do Samba

Utilizando arrays em shell script

Comentários em blocos em Shell Script

  

Comentários
[1] Comentário enviado por amg1127 em 02/04/2008 - 06:26h

É preferível ir no "squid.conf" e colocar...

acl liberados src 192.168.1.100
http_access allow liberados

Fazendo essa liberação pelo "squid.conf", você economiza um pouco mais da banda da rede.
# Usando o Squid para efetuar a liberação, se o IP liberado acessar um site que já foi visitado antes, o Squid enviará a cópia em cache do site para IP liberado.
# Com o Iptables, a conexão da estação até o servidor do site será sempre direta, impedindo que o conteúdo trafegado seja salvo em cache.

[2] Comentário enviado por cbastos em 02/04/2008 - 11:01h

sim, mas a idéia é fazer por fora do squid.

Fazendo a conexão direta posso sair sem passar pela porta 3128, além disso os acessos liberados por iptables não aparecem nos relatórios do SARG.

[3] Comentário enviado por dfabretti em 02/04/2008 - 14:15h

Concordo com o amg1127, é bem mais prático...

cbastos, essa afirmação "No caso do Squid, todo o tráfego da porta 80 é direcionado para a porta 3128..." é só no caso de proxy transparente, que não é todas as redes que usam! Pode até ser maioria, mas não podemos excluir os proxys autenticados.... Até tem uma solução para integrar os dois juntos, só q não vou entrar em detalhes aqui, até posso fazer um artigo sobre isso, caso não haja :D! Então a origem dessa dica vem só para a estação não cair no relatório do sarg? Mas no sarg.conf há uma opção para excluir hosts no relatório "exclude_hosts". Dentro do arquivo tu só coloca o ip, dns ou o nome que tu indicou ele(configuração personalizada do sarg). Espero ter ajudado, abraços, fui!

[4] Comentário enviado por indiamara em 30/05/2008 - 14:33h

para entrar em sites bloqueados, assim como orkut e msn, os comandos que eu uso seriam os mesmos?



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts