On Tue, Jun 03, 2003 at 12:32:17PM -0300, Josemar Vieira wrote: > Lista to com o seguinte problema: > Tenho em meu servidor o iptables compartilhando a internet > para toda minha rede com o comando > #iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE > Ai configurei meu squid.conf conforme minhas necessidades e executei o > seguinte comando #iptables -t nat -A PREROUTING -p tcp --dport 80 -j > REDIRECT --to-port 3128 > para o iptables redirecionar os processos que chegarem na porta 80 para > a porta 3128 do squid > Eu fiz soh isso e consegui bloquear o acesso aos sites conforme configurado > em meu squid.conf coloquei em dois arquivos os sites bloqueados e as > palavras bloqueadas ateh ai td blz, > porem foi bloqueado tb o acesso a sites como bancos por exemplo > entaum naum faço a menor ideia da causa do problema Geralmente o acesso a sites de bancos é feito usando o protocolo HTTPS, na porta 443. Sua regra de redirecionamento só redireciona as conexões com destino a porta 80. Acrescente mais uma regra tratando das conexões com destino a porta 443 e esse problema deverá ser resolvido. Regras como abaixo já seriam o bastante : iptables -t nat -A POSTROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A POSTROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128 Ou, tudo em uma mesma linha (não testado) : iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128 > Preciso q alguns ips = -192.168.1.45 192.168.1.47 > Naveguem sem restriços isso eu faço no squid ou no iptables ? Pode ser feito no iptables ou no Squid, já que você está tratando apenas de navegação. Acrescente um ACL no Squid que autorize o acesso dos hosts desejados e chama a mesma como a primeira ACL antes das outras ACLs chamadas pelas suas várias cláusulas http_acess. Algo como o seguinte : acl liberados src "/etc/squid/liberados" http_access allow liberados E no arquivo /etc/squid/liberados inclua os hosts que para os quais deseja liberar o acesso, como abaio : 192.168.1.45/255.255.255.255 192.168.1.47/255.255.255.255 Logicamente, existem inúmeras maneiras de fazer o que você deseja. Só estou dando uma idéia de como poderia ser feito. Espero ter ajudado. -- ++----------------------------------------------------------------------++ || André Luís Lopes andrelop@debian.org || || http://people.debian.org/~andrelop || || Debian-BR Project http://debian-br.cipsga.org.br || || Public GPG KeyID 9D1B82F6 ||
Attachment:
pgpsUr9kF1m9b.pgp
Description: PGP signature