Liberando uma máquina para acessar sites bloqueados pelo Squid

Publicado por Charles Bastos em 02/04/2008

[ Hits: 22.067 ]

0 0

Denuncie Favoritos Indicar Impressora

Liberando uma máquina para acessar sites bloqueados pelo Squid

Quando usamos o iptables para liberar/permitir acessos, este interpreta um conjunto de instruções e as executa em ordem. Ou seja, se tiver duas instruções para a mesma máquina, ele vai executar a primeira e ignorar as demais. Portanto, o que temos que fazer é colocar a nossa regra no inicio da lista, com a opção -I.

No caso do Squid, todo o tráfego da porta 80 é direcionado para a porta 3128, portando precisamos inserir uma regra ANTES da regra de redirecionamento. Ficando assim:

# iptables -t nat -I PREROUTING -s 192.168.1.100 -p tcp --dport 80 -j \
ACCEPT

# iptables -t nat -A PREROUTING -s 192.168.19.0/24 -p tcp --dport 80 -j \
REDIRECT --to-port 3128

Note que tanto faz a ordem em que digitarmos as regras, pois a opção -I faz com que a regra vá para o topo da tabela, e a opção -A faz com que fique no final da lista.

Sendo assim, o resultado será o seguinte:

A maquina 192.168.1.100 terá permissão para trafegar através da porta 80, (portanto não passa pelo Squid) e as demais máquinas da rede serão redirecionadas para a porta 3128 e ficarão sujeitas as regras do proxy.

Outras dicas deste autor

Nenhuma dica encontrada.

Leitura recomendada

Curso de Shell Script Avançado

Corrigindo bug do imsniff 0.04 com um simples script (gambiarra)

Shell script com Kdialog

Como contornar o erro -bash: 08: value too great for base (error token is "08")

openSUSE - Carregando Script do IPtables no Boot

Comentários

[1] Comentário enviado por amg1127 em 02/04/2008 - 06:26h

É preferível ir no "squid.conf" e colocar...

acl liberados src 192.168.1.100
http_access allow liberados

Fazendo essa liberação pelo "squid.conf", você economiza um pouco mais da banda da rede.
# Usando o Squid para efetuar a liberação, se o IP liberado acessar um site que já foi visitado antes, o Squid enviará a cópia em cache do site para IP liberado.
# Com o Iptables, a conexão da estação até o servidor do site será sempre direta, impedindo que o conteúdo trafegado seja salvo em cache.

0 0

[2] Comentário enviado por cbastos em 02/04/2008 - 11:01h

sim, mas a idéia é fazer por fora do squid.

Fazendo a conexão direta posso sair sem passar pela porta 3128, além disso os acessos liberados por iptables não aparecem nos relatórios do SARG.

0 0

[3] Comentário enviado por dfabretti em 02/04/2008 - 14:15h

Concordo com o amg1127, é bem mais prático...

cbastos, essa afirmação "No caso do Squid, todo o tráfego da porta 80 é direcionado para a porta 3128..." é só no caso de proxy transparente, que não é todas as redes que usam! Pode até ser maioria, mas não podemos excluir os proxys autenticados.... Até tem uma solução para integrar os dois juntos, só q não vou entrar em detalhes aqui, até posso fazer um artigo sobre isso, caso não haja :D! Então a origem dessa dica vem só para a estação não cair no relatório do sarg? Mas no sarg.conf há uma opção para excluir hosts no relatório "exclude_hosts". Dentro do arquivo tu só coloca o ip, dns ou o nome que tu indicou ele(configuração personalizada do sarg). Espero ter ajudado, abraços, fui!

0 0

[4] Comentário enviado por indiamara em 30/05/2008 - 14:33h

para entrar em sites bloqueados, assim como orkut e msn, os comandos que eu uso seriam os mesmos?

0 0