Caros colegas, e o seguinte estou fazendo o redirecionamento das conexoes da porta 80 para a 3128 (squid transparente), porem alguns ip devem passar pela porta 80 msm, estou usando a seguinte regra:

iptables -t nat -I PREROUTING -p tcp -s ! xxx.xxx.xxx.xxx --dport 80 -j REDIRECT --to-port 3128

Com um ip somente funciona, o problema e que precisso adicionar mais ips, como devo proceder?

Grato pela atenção e um forte abraço a todos

Bom dia,

O mais correto para você fazer é o seguinte:
Colocar a transparência para toda a rede, e liberar antes os que não terão transparência. Ex:


iptables -t nat -A PREROUTING -p tcp -s 192.168.0.10/32 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.53/32 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128


Abraços

Num é mais fácil vc fazer isso pelo squid não? No squid tem jeito d vc liberar quantos ips vc quiser para q não seja analisado pelo squid.

Amigo, o problema e que algumas aplicaçoes utilizadas na empresa onde trabalho exigem a porta 80

Mais muito obrigado pela opiniao
Abraços

Aconselho então vc a fazer um pequeno shell script pra incluir a máquina toda vez q for necessário, tipo assim:

#!/bin/bash
echo "Insira o IP a ser liberado: "
read IP
iptables -t nat -I PREROUTING -p tcp -s $IP --dport 80 -j REDIRECT --to-port 3128

Basicão... dae vc incrementa seu script pra ficar mais funcional.

Falow!

Existe uma opção que talvez te ajude:

iprange
This matches on a given arbitrary range of IP addresses.

[!] --src-range from[-to]
Match source IP in the specified range.

Não cheguei a testar, mas pode ser que funcione para o que voce quer, desde que os ip's a serem liberados sejam sequenciais (Ex.: xxx.xxx.xxx.23 ate o xxx.xxx.xxx.30)
Espero que ajude.

Ai pessoal vlw pelas dicas, provisoriamente estão atendendo, mais antes de encerrar o tópico gostaria de saber se não tem como criar um arquivo e listar nele os ips que não seriam redirecionados, ou adicionar mais de 1 ip na msm regra

iptables -t nat -I PREROUTING -p tcp -s ! xxx.xxx.xxx.xxx --dport 80 -j REDIRECT --to-port 3128

Brigadu vlw

iptables -t nat -I PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128


assim, por exemplo esse ip é seu servidor. Pelos meus calculos, vc fazendo isso internamente, concerteza externamente vai pegar como doação.

moço faça assim

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Vlw pela ajuda pessoal