On Tue, Jun 03, 2003 at 12:32:17PM -0300, Josemar Vieira wrote:
Lista to com o seguinte problema:
Tenho em meu servidor o iptables compartilhando a internet
para toda minha rede com o comando
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
Ai configurei meu squid.conf conforme minhas necessidades e executei o
seguinte comando #iptables -t nat -A PREROUTING -p tcp --dport 80 -j
REDIRECT --to-port 3128
para o iptables redirecionar os processos que chegarem na porta 80 para
a porta 3128 do squid
Eu fiz soh isso e consegui bloquear o acesso aos sites conforme configurado
em meu squid.conf coloquei em dois arquivos os sites bloqueados e as
palavras bloqueadas ateh ai td blz,
porem foi bloqueado tb o acesso a sites como bancos por exemplo
entaum naum faço a menor ideia da causa do problema
Geralmente o acesso a sites de bancos é feito usando o protocolo HTTPS,
na porta 443. Sua regra de redirecionamento só redireciona as conexões
com destino a porta 80. Acrescente mais uma regra tratando das conexões
com destino a porta 443 e esse problema deverá ser resolvido.
Regras como abaixo já seriam o bastante :
iptables -t nat -A POSTROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
Ou, tudo em uma mesma linha (não testado) :
iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 80,443 -j
REDIRECT --to-port 3128
Preciso q alguns ips = -192.168.1.45 192.168.1.47
Naveguem sem restriços isso eu faço no squid ou no iptables ?
Pode ser feito no iptables ou no Squid, já que você está tratando apenas
de navegação. Acrescente um ACL no Squid que autorize o acesso dos hosts
desejados e chama a mesma como a primeira ACL antes das outras ACLs
chamadas pelas suas várias cláusulas http_acess. Algo como o seguinte :
acl liberados src /etc/squid/liberados
http_access allow liberados
E no arquivo /etc/squid/liberados inclua os hosts que para os quais deseja
liberar o acesso, como abaio :
192.168.1.45/255.255.255.255
192.168.1.47/255.255.255.255
Logicamente, existem inúmeras maneiras de fazer o que você deseja. Só
estou dando uma idéia de como poderia ser feito.
Espero ter ajudado.
--
++--++
|| André Luís Lopes [EMAIL PROTECTED]||
|| http://people.debian.org/~andrelop ||
|| Debian-BR Projecthttp://debian-br.cipsga.org.br ||
|| Public GPG KeyID 9D1B82F6 ||
pgpG0iZKfPrBp.pgp
Description: PGP signature