Liberar URL para não passar pelo squid

1. Liberar URL para não passar pelo squid

Fernando Guilherme Alves Moreira
fernandoguialves

(usa CentOS)

Enviado em 21/08/2015 - 13:39h

Preciso liberar alguns URLS, fazer com que elas não passem pelo squid no servidor de proxy

São as seguintes urls:
raw.githubusercontent.com porta 443
slack-ssb-updates.global.ssl.fastly.net porta 443
slack.com porta 443

Tenho tentado usar a regra a baixo porem não obtive sucesso, alguem sabe como fazer esse tipo de liberação?
#URLS SLACK
-I FORWARD -p tcp -s 10.0.0.0/24 -d raw.githubusercontent.com --dport 443 -j ACCEPT
-I FORWARD -p tcp -s 10.0.0.0/24 -d slack-ssb-updates.global.ssl.fastly.net --dport 443 -j ACCEPT
-I FORWARD -p tcp -s 10.0.0.0/24 -d slack.com --dport 443 -j ACCEPT



#Generated by iptables-save v1.4.2 on Fri Feb 13 11:33:53 2015
*filter
:INPUT ACCEPT [130971221:91500332887]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [135863286:94256771930]
:Bloqueia - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#URLS SLACK
-I FORWARD -p tcp -s 10.0.0.0/24 -d raw.githubusercontent.com --dport 443 -j ACCEPT
-I FORWARD -p tcp -s 10.0.0.0/24 -d slack-ssb-updates.global.ssl.fastly.net --dport 443 -j ACCEPT
-I FORWARD -p tcp -s 10.0.0.0/24 -d slack.com --dport 443 -j ACCEPT
#----------SERVIDORES---------------
#WEB
-A FORWARD -s 10.10.1.80/32 -j ACCEPT
-A FORWARD -d 10.10.1.80/32 -j ACCEPT
-A FORWARD -s 10.10.1.79/32 -j ACCEPT
-A FORWARD -d 10.10.1.79/32 -j ACCEPT
#SACI
-A FORWARD -s 10.10.1.161/32 -j ACCEPT
-A FORWARD -d 10.10.1.161/32 -j ACCEPT
-A FORWARD -s 10.10.1.79/32 -j ACCEPT
-A FORWARD -d 10.10.1.79/32 -j ACCEPT
#MYSQLDB
-A FORWARD -s 10.10.1.160/32 -j ACCEPT
-A FORWARD -d 10.10.1.160/32 -j ACCEPT
-A FORWARD -s 10.10.1.170/32 -j ACCEPT
-A FORWARD -d 10.10.1.170/32 -j ACCEPT
-A FORWARD -s 10.10.1.81/32 -j ACCEPT
-A FORWARD -d 10.10.1.81/32 -j ACCEPT
#AD/DNS
-A FORWARD -s 10.10.1.3/32 -j ACCEPT
-A FORWARD -d 10.10.1.3/32 -j ACCEPT
-A FORWARD -s 10.10.1.2/32 -j ACCEPT
-A FORWARD -d 10.10.1.2/32 -j ACCEPT
#SRVNFE/NFSE
-A FORWARD -s 10.10.1.100/32 -j ACCEPT
-A FORWARD -d 10.10.1.100/32 -j ACCEPT
-A FORWARD -s 10.10.1.199/32 -j ACCEPT
-A FORWARD -d 10.10.1.199/32 -j ACCEPT
#CONTAB
-A FORWARD -s 10.10.1.13/32 -j ACCEPT
-A FORWARD -d 10.10.1.13/32 -j ACCEPT
#RM
-A FORWARD -s 10.10.1.90/32 -j ACCEPT
-A FORWARD -d 10.10.1.90/32 -j ACCEPT
#TI
-A FORWARD -s 10.10.1.9/32 -j ACCEPT
-A FORWARD -d 10.10.1.9/32 -j ACCEPT
-A FORWARD -s 10.10.1.7/32 -j ACCEPT
-A FORWARD -d 10.10.1.7/32 -j ACCEPT
-A FORWARD -s 10.10.1.106/32 -j ACCEPT
-A FORWARD -d 10.10.1.106/32 -j ACCEPT
-A FORWARD -s 10.10.1.163/32 -j ACCEPT
-A FORWARD -d 10.10.1.163/32 -j ACCEPT
#YODA
-A FORWARD -s 10.10.1.52/32 -j ACCEPT
-A FORWARD -d 10.10.1.52/32 -j ACCEPT
#SRVBACKUP
-A FORWARD -s 10.10.1.31/32 -j ACCEPT
-A FORWARD -d 10.10.1.31/32 -j ACCEPT
#---------------------------------
-A FORWARD -d 67.228.2.213/32 -j ACCEPT
-A FORWARD -d 67.228.2.210/32 -j ACCEPT
-A FORWARD -d 67.228.2.211/32 -j ACCEPT
-A FORWARD -d 67.228.2.212/32 -j ACCEPT
-A FORWARD -d 75.126.195.10/32 -j ACCEPT
-A FORWARD -d 75.126.195.12/32 -j ACCEPT
-A FORWARD -d 75.126.195.13/32 -j ACCEPT
-A FORWARD -d 75.126.195.11/32 -j ACCEPT
-A FORWARD -s 67.228.2.213/32 -j ACCEPT
-A FORWARD -s 67.228.2.210/32 -j ACCEPT
-A FORWARD -s 67.228.2.211/32 -j ACCEPT
-A FORWARD -s 67.228.2.212/32 -j ACCEPT
-A FORWARD -s 75.126.195.10/32 -j ACCEPT
-A FORWARD -s 75.126.195.13/32 -j ACCEPT
-A FORWARD -s 75.126.195.12/32 -j ACCEPT
-A FORWARD -s 75.126.195.11/32 -j ACCEPT
-A FORWARD -s 23.235.46.249/32 -j ACCEPT
-A FORWARD -d 23.235.46.249/32 -j ACCEPT
-A FORWARD -s 199.27.76.249/32 -j ACCEPT
-A FORWARD -d 199.27.76.249/32 -j ACCEPT
-A FORWARD -s 54.175.60.206/32 -j ACCEPT
-A FORWARD -d 54.175.60.206/32 -j ACCEPT
#-A FORWARD -d 10.0.0.0/8 -j ACCEPT
#-A FORWARD -s 10.0.0.0/8 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j Bloqueia
-A Bloqueia -j LOG --log-prefix "BlockFW -> " --log-level 6
-A Bloqueia -j DROP
COMMIT
# Completed on Fri Feb 13 11:33:53 2015
# Generated by iptables-save v1.4.2 on Fri Feb 13 11:33:53 2015
*nat
:PREROUTING ACCEPT [13755565:1253402515]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [7115662:521197344]
-A PREROUTING -p tcp -m tcp --dport 5222 -j DNAT --to-destination 10.10.1.3:5222
-A PREROUTING -p tcp -m tcp --dport 5223 -j DNAT --to-destination 10.10.1.3:5223
-A PREROUTING -p tcp -m tcp --dport 7777 -j DNAT --to-destination 10.10.1.3:7777
-A PREROUTING -p tcp -m tcp --dport 7070 -j DNAT --to-destination 10.10.1.3:7070
-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.10.1.2:3389
-A PREROUTING -p tcp -m tcp --dport 2020 -j DNAT --to-destination 10.10.1.161:22
-A PREROUTING -p tcp -m tcp --dport 2026 -j DNAT --to-destination 10.10.1.111:22
-A PREROUTING -p tcp -m tcp --dport 2021 -j DNAT --to-destination 10.10.1.160:22
-A PREROUTING -p tcp -m tcp --dport 2022 -j DNAT --to-destination 10.10.1.170:22
-A PREROUTING -p tcp -m tcp --dport 2023 -j DNAT --to-destination 10.10.1.72:22
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 8082 -j DNAT --to-destination 10.10.1.79:80
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 10.10.1.161:80
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 8001 -j DNAT --to-destination 10.10.1.70:8001
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 37777 -j DNAT --to-destination 10.10.1.70:37777
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.10.1.80:80
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 8069 -j DNAT --to-destination 10.10.1.186:8069
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.1.199:80
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 3390 -j DNAT --to-destination 10.10.1.199:3389
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.10.1.199:443
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 3391 -j DNAT --to-destination 10.10.1.117:3389
-A PREROUTING -d 172.16.10.56/32 -p tcp -m tcp --dport 3392 -j DNAT --to-destination 10.10.1.100:3389
-A POSTROUTING -s 10.0.0.0/8 -d 10.0.0.0/8 -j ACCEPT
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Fri Feb 13 11:33:53 2015



  


2. Re: Liberar URL para não passar pelo squid

Clayton Almeida
coasjp

(usa Linux Mint)

Enviado em 21/08/2015 - 13:48h

Passa seu squid.conf


3. squid.conf

Fernando Guilherme Alves Moreira
fernandoguialves

(usa CentOS)

Enviado em 21/08/2015 - 13:51h


Opa... Segue...

http_port 3128
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
logfile_rotate 3

cache_dir ufs /var/spool/squid 2048 16 256
coredump_dir /var/spool/squid

acl QUERY urlpath_regex cgi-bin \?
hierarchy_stoplist cgi-bin ?
cache deny QUERY

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid.passwd
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid.passwd
auth_param basic children 15
auth_param basic realm BEL LAR - Acesso a Internet
auth_param basic credentialsttl 2 hours

acl all src 0/0
acl localhost src 127.0.0.1/255.255.255.255
# Safe Ports
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl ports_cups port 631 # cups
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED
acl manager proto cache_object
acl password proxy_auth 300

http_access allow manager localhost
http_access allow ports_cups
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl usuarios_liberados proxy_auth "/etc/squid/regras/usuarios_liberados"
acl staff proxy_auth "/etc/squid/staff.users"
acl acessototal src "/etc/squid/acessototal"
acl sites_liberados url_regex "/etc/squid/regras/sites_liberados"
acl liberado url_regex "/etc/squid/regras/liberado"
acl slack url_regex "/etc/squid/regras/slack"

http_access allow slack
http_access allow liberado
http_access allow acessototal
http_access deny !password
#http_access deny all
http_reply_access allow all
icp_access allow all

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
error_directory /usr/share/squid/errors/Portuguese

http_access allow usuarios_liberados
http_access allow staff sites_liberados



4. Re: Liberar URL para não passar pelo squid

Jeferson R. Costa
rcjeferson

(usa Debian)

Enviado em 21/08/2015 - 14:03h


Boa tarde Fernando,

Percebi que seu proxy não é transparente, você faz a configuração manualmente nas máquinas? Se sim, no servidor/maquinas que está tentando liberar está setado manualmente?

Abraço.


5. Re: Liberar URL para não passar pelo squid

Clayton Almeida
coasjp

(usa Linux Mint)

Enviado em 21/08/2015 - 14:15h

Isso que ia perguntar sobre as configurações manuais do proxy outro detalhe, esse proxy é autenticado e pelo que pude entender você precisa liberar esses sites sem essa autenticação se for isso troque a a posição do http_acces deny !Safe_ports para antes da regra de autenticação (acl password proxy_auth REQUIRED), porém assim ele vai liberar todas as conexões SSL sem autenticação, se quiser somente esses sites mesmo implemente uma acl antes da regra de autenticação, da forma abaixo ele vai liberar todos os sites que estiverem no arquivo(sites_diretos) sem a autenticação independente de ser ssl ou não.

# Safe Ports
acl SSL_ports port 443 563 ## aqui foi criado a ACL para as portas SSL
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl ports_cups port 631 # cups
acl CONNECT method CONNECT
####NOVA REGRA AQUI#####
acl sites_diretos proxy_auth "/etc/squid/regras/sites_diretos"
http_access allow sites_diretos
#########################
acl password proxy_auth REQUIRED
acl manager proto cache_object
acl password proxy_auth 300
...



6. Re: Liberar URL para não passar pelo squid

Renato Cesar Ribeiro Bonfim Jr
rbonfim

(usa elementary OS)

Enviado em 21/08/2015 - 14:49h

Vamos lá, você quer que alguns sites passem fora do Squid, certo? Se sim tenta incluir a seguinte diretiva no teu Firewall:
iptables -t nat -A PREROUTING -i eth1 -d endereço_do_site -p tcp --dport 443 -j RETURN
__#$
root@human:/#apt-get install -y brain
"Conhecimento é livre"






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts