bom dia, estou com difivuldades para liberar alguns sites para não passar pelo proxy após alterar o

eragoke
(usa Debian)

Enviado em 06/03/2017 - 07:49h

antes estava usando esta regra no squid, para não passar pelo proxy alguns sites. mas agora não funciona mais.

acl antivirus url_regex "/etc/squid3/listas/antivirus"
acl rede src 192.168.50.0/24
http_access allow rede antivirus

meu firewall atual

#!/bin/bash

echo
echo "Aplicando regras Firewall..."
echo


# Variaveis
# ---------------------------------
IPT=/sbin/iptables

IF_EXTERNA=eth0 #Conecta na internet
IF_INTERNA=eth1 #Conecta na rede interna

REDE=192.168.1.0/24


# Carrega modulos
# --------------------------------
modprobe iptable_nat


# Limpa regras
# --------------------------------
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F POSTROUTING -t nat
$IPT -F PREROUTING -t nat
$IPT -X
$IPT -X -t nat
$IPT -Z
$IPT -Z -t nat


# Determina a politica padrao
# ---------------------------------------
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT


# Fazer o roteamento da internet
# --------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPT -A POSTROUTING -t nat -s $REDE -o $IF_EXTERNA -j MASQUERADE


# O servidor deixara de responder aos pings
# ------------------------------------------
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP


# Protecao contra IP Spoofing, ataques DoS e Buffer Overflow
# IP Spoofing --> Tecnica usada em diversos tipos de ataques, onde o atacante
# envia pacotes usando um endereço IP falseado como remetente,
# tentando assim obter acesso a PCs da rede interna.
# --------------------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
$IPT -A INPUT -m state --state INVALID -j DROP


# Autorizar pacotes provenientes da interface de loopback (lo)
# e pacotes provenientes da rede interna
# ---------------------------------------------------------------
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $IF_INTERNA -j ACCEPT


# Libera portas para acessar o servidor
# ------------------------------------------------
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #SSH
$IPT -A INPUT -p tcp --dport 10000 -j ACCEPT #Webmin
$IPT -A INPUT -p tcp --dport 3389 -j ACCEPT #WTS


# Bloquear tentativas de conexões provenientes da internet
# ------------------------------------------------------------
$IPT -A INPUT -p tcp --syn -j DROP


# Liberar a porta o squid apenas para a rede local
# --------------------------------------------------------------
$IPT -A INPUT -i $IF_INTERNA -p tcp --dport 3128 -j ACCEPT


# Configurar o proxy transparente
# Com isso redirecionamos todo o trafego de rede que passa pela porta 80 (http) para a 3128 (squid)
# ------------------------------------------------------------
#$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
# OBS.: está regra esta desativada por causa que o trafego que passa pela porta 80 (http) está sendo redirecionado
# para a porta 8080 que é a porta do Dansguardian


# Configurar o trafego que passa pela porta 80 (http) e 443 (https) para a porta 8080 (Dansguardian)
$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 8080
#$IPT -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 443 -j REDIRECT --to-port 8080


# Bloqueia a porta 3128 usada pelo squid, para impedir que alguem configure o navegador para acessar
# diretamente pelo squid, sem passar pelo Dansguardian
#$IPT -A INPUT -m tcp -p tcp -s $REDE --dport 3128 -j DROP


# Redirecionar porta

# Terminal Service
$IPT -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 3389 -j DNAT --to-dest 192.168.2.11
$IPT -A FORWARD -p tcp -i $IF_EXTERNA --dport 3389 -d 192.168.25.37 -j ACCEPT
$IPT -t nat -A POSTROUTING -o $IF_INTERNA -j MASQUERADE



echo
echo "Regras aplicadas com sucesso!!!"
echo