Acesso livre a alguns IPs

1. Acesso livre a alguns IPs

Enviado em 30/06/2010 - 13:09h

Não estou conseguindo dar acesso TOTAL a alguns ips da minha rede.
O meu firewall está assim:

#libera acesso total as maquinas

iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

iptables -A FORWARD -s 192.168.0.17 -j ACCEPT

iptables -A FORWARD -s 192.168.0.101 -j ACCEPT

iptables -A FORWARD -s 192.168.0.102 -j ACCEPT

iptables -A FORWARD -s 192.168.0.103 -j ACCEPT

iptables -A FORWARD -s 192.168.0.104 -j ACCEPT

iptables -A FORWARD -s 192.168.0.105 -j ACCEPT

iptables -A FORWARD -s 192.168.0.106 -j ACCEPT

#regras de bloqueio por dominios
for end in `cat /etc/squid/bloqueados`
do
iptables -A OUTPUT -d $end -j REJECT
iptables -A FORWARD -d $end -j REJECT
done
...

FAVOR, O que pode estar errado?

0 0

Quote

2. Re: Acesso livre a alguns IPs

irado
(usa XUbuntu)

Enviado em 30/06/2010 - 13:13h

pode ser que -A não seja sua melhor opção; na verdade mesmo (IMHO) sua melhor opção é bloquear no squid por uma acl, desde qu vc force todo mundo a passar por ele.

0 0

Quote

3. Re: Acesso livre a alguns IPs

richardandrade
(usa Debian)

Enviado em 30/06/2010 - 14:50h

A dica do irado convém dependendo de quantas STAs existem. Agora essas regras, você está impossibilitando qualquer tipo de acesso externo com origem esses endereços IPs, não creio que seja isso que você queira, pois poderá causar problemas futuros. Na sua atual situação utilizar a dica do nosso companheiro irado é a melhor solução, caso não tenha hardware suficiente para tal... arranje.

valeu e abraço

0 0

Quote

4. Re: Acesso livre a alguns IPs

cristiano.desenv
(usa Debian)

Enviado em 30/06/2010 - 16:58h

IRADO, naõ tenho como forçar todos a passar pelo squid pois alguns malandros por aqui desativam esta opçaõ nos navegadores IE e Mozilla, dessa forma, eu implementei no iptables as regras de bloqueio.
Mas será que não existe uma opção de liberar tudo para essas máquinas?

0 0

Quote

5. cristiano

irado
(usa XUbuntu)

Enviado em 30/06/2010 - 17:08h

tem sim ;)

avalie ESTA regra:

IPT=`which iptables`
$IPT -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset

se alguém NÃO ativar o proxy no navegador (qualquer um) apenas não vai conseguir nada, não navega.

simples, né?

com isso vc deixa todas as configurações/bloqueios no squid, que NÃO é transparente, e ficará sem problemas de ficar mexendo seguidamente nas regras de iptables.

0 0

Quote