Não registrar logs [RESOLVIDO]

fabiomaua
(usa Debian)

Enviado em 17/04/2012 - 11:39h

Bom dia

Estou com um servidor proxy transparente squid 2.7 que está funcionando direitinho, mas preciso fazer com que algumas maquinas acessem a internet livremente sem serem registrado pelo access.log (coisas de chefia)!
Já fiz algumas alterações no squid.conf mas ainda sim os logs estão sendo registrado. Existe alguma maneira de fazer isso?

Grato

danniel-lara
(usa Fedora)

Enviado em 17/04/2012 - 11:41h

não lembro agora , mas tem que liberar o ip da maquina no iptables para não passar pelo squid
de uma pesquisada

phrich
(usa Slackware)

Enviado em 17/04/2012 - 11:45h

Seria para não ficar no acess.log ou seria para não aparecer nos relatórios do sarg?

fabiomaua
(usa Debian)

Enviado em 17/04/2012 - 11:51h

Então vamos lá

- Tentei colocar regras no firewall logo no começo. Algo parecido com isso:

iptables -A FORWARD -d [IpDaMaquina] -p tcp -s 0.0.0.0 -j ACCEPT

e mesmo assim, os logs ainda estão sendo registrado

- Em relação ao Arg, bem, eu sei que existe uma tag do tipo exclude_users ou exclud_hosts, eu dei uma pesquisada sobre ele, mas o sarg apenas ocultaria a maquina, mas os logs continuariam a serem registrado através do tail -f /var/log...

Outra coisa, em meu firewall, existe uma regra que redireciona tudo o fluxo da porta 80 para a 3128, evitando alguns engraçadinhos a quererem trocar a porta no navegador

phrich
(usa Slackware)

Enviado em 17/04/2012 - 11:54h

Bom sendo assim, antes da linha que vc redireciona o tráfego para 3128 faça o seguinte:

iptables -A FORWARD -s ip_do_desktop_da_chefia -j ACCEPT

Assim ele não aparece mais no log e não é mais controlado pelo squid.

fabiomaua
(usa Debian)

Enviado em 17/04/2012 - 14:50h

Tudo bem, essa linha eu já havia colocado bem no começo das minhas regras, mas o navegador precisa ter um numero de proxy e uma porta para navegar. Como ficaria a configuração na maquina Windows?

phrich
(usa Slackware)

Enviado em 17/04/2012 - 16:22h

Não, com a linha acima vc pode retirar a conf de proxy do navegador, os ips informados nas regras serão liberados direto pelo iptables.

Outra forma de vc fazer é na linha de proxy transparente na hora em que vc informar a rede interna para o redirecionamento vc cirar uma excessão, por exemplo:

iptables bla bla bla -s $REDE_INTERNA !ip_do_diretor bla bla bla

andrecanhadas
(usa Debian)

Enviado em 17/04/2012 - 17:33h

Assim vc tira o IP do proxy é só não cadastrar o proxy no navegador:

iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.xxx -m multiport --dport 80,443 -j RETURN

 

Ou:

iptables -t nat -A PREROUTING -i eth0 -p tcp ! -s 192.168.0.xxx --dport 80 -j REDIRECT --to-port 3128

 

Onde eth0 = Redelocal no caso a que direciona a porta 80 para o squid.
192.168.0.xxx = IP da maquina.

Obs: As regras devem ficar antes do redirecionamento da porta 80 para o squid (Uma para cada IP Liberado)

andrecanhadas
(usa Debian)

Enviado em 17/04/2012 - 17:35h

Outra coisa seria deixar passar pelo proxy mas configurar no sarg para não gerar relatorios para aquele IP

ricardoolonca
(usa Debian)

Enviado em 17/04/2012 - 17:44h

É necessário ainda colocar colocar uma regra de NAT antes da regra de proxy transparente.

iptables -t nat -I PREROUTING -s ip_da_estação -p tcp -m multiport --dport 80,443 -j ACCEPT

Neste caso, todo o tráfego de http e https da estação acima não vai nem entrar no Proxy.

phrich
(usa Slackware)

Enviado em 17/04/2012 - 17:47h

Claro que a regra acima funciona, vc vai liberar tudo para o ip indicado na regra idependente de porta... e eu especifiquei que é antes da regra de redirecionamento para o squid...

ricardoolonca
(usa Debian)

Enviado em 17/04/2012 - 17:50h

As regras de nat PREROUTING tem precedência em relação as regras de FORWARD. Ou seja, se a regra de nat não for colocada antes da de proxy transparente todo o tráfego será direcionado para o proxy ANTES que a regra de FORWARD seja executada.