Ignorar o proxy Squid transparente no Tomato USB para sites específicos

Question

Ignorar o proxy Squid transparente no Tomato USB para sites específicos

#1 resposta do (1 votos)
#2 resposta do (0 votos)

1

Estou usando um roteador com o Tomato USB para encaminhar solicitações da porta 80 para um servidor Ubuntu com o Squid 3 no modo transparente. Alguém no fórum do Tomato adaptou estas instruções para o Tomato:

#!/bin/sh
INTERNAL_NETWORK="192.168.1.0/24"
ROUTER_IP="192.168.1.1"
PROXY_SERVER="192.168.1.3"
PROXY_PORT="3128"

/usr/sbin/iptables -t nat -A PREROUTING -i br0 -s $INTERNAL_NETWORK -d $INTERNAL_NETWORK -p tcp --dport 80 -j ACCEPT
/usr/sbin/iptables -t nat -A PREROUTING -i br0 -s ! $PROXY_SERVER -p tcp --dport 80 -j DNAT --to $PROXY_SERVER:$PROXY_PORT
/usr/sbin/iptables -t nat -A POSTROUTING -o br0 -s $INTERNAL_NETWORK -p tcp -d $PROXY_SERVER -j SNAT --to $ROUTER_IP
/usr/sbin/iptables -t filter -I FORWARD -s $INTERNAL_NETWORK -d $PROXY_SERVER -i br0 -o br0 -p tcp --dport $PROXY_PORT -j ACCEPT

O encaminhamento funciona como deveria, as solicitações são processadas pelo Squid. As instruções mostram a regra para ignorar certas máquinas na rede. Meu problema é que preciso ignorar alguns sites que têm problemas com proxies, não com uma máquina específica. Eu tentei adicionar isso:

/usr/sbin/iptables -t nat -A PREROUTING -d caixa.gov.br -j ACCEPT

Esta regra não funciona. Não quero que caixa.gov.br (e alguns outros) sejam encaminhados para o proxy. Mas o Tomato ainda está encaminhando todos os sites.

É possível adicionar uma regra para cada site que não desejo encaminhar?

iptables squid transparent-proxy tomato

por kircheis 27.04.2013 / 21:54

2 respostas

Tags iptables squid transparent-proxy tomato

Migre com segurança do 3ware 9650SE-8LPML para um 3ware SAS 9750-8i? laptop VPN como gateway proxy para computadores da Intranet bridge / bypass

score 1 · Answer 1

iptables -A ... coloca a regra no final de uma cadeia. Assim, o seu nunca corresponde (ou pelo menos sem efeito) porque o segundo ( -s ! $PROXY_SERVER ) já tem esses pacotes / conexões.

Em vez de iptables -A PREROUTING , você precisa de iptables -I PREROUTING 2 . Ou você cria cadeias para tornar a estrutura mais fácil de entender:

#!/bin/bash
INTERNAL_NETWORK="192.168.1.0/24"
ROUTER_IP="192.168.1.1"
PROXY_SERVER="192.168.1.3"
PROXY_PORT="3128"


if iptables -L prerouting_exceptions -n &>/dev/null; then
  iptables -t nat -F prerouting_exceptions
else
  iptables -t nat -N prerouting_exceptions
fi
# this prevents the same rule being inserted with each script call
if ! iptables -L FORWARD -n | grep -q proxy; then
  iptables -t filter -I FORWARD -s $INTERNAL_NETWORK -d $PROXY_SERVER -i br0 \
    -o br0 -p tcp --dport $PROXY_PORT -j ACCEPT -m comment --comment proxy
fi
iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -j prerouting_exceptions
iptables -t nat -A PREROUTING -i br0 -s ! $PROXY_SERVER -p tcp \
  --dport 80 -j DNAT --to $PROXY_SERVER:$PROXY_PORT

iptables -t nat -A prerouting_exceptions -i br0 -s $INTERNAL_NETWORK \
  -d $INTERNAL_NETWORK -p tcp --dport 80 -j ACCEPT
iptables -t nat -A prerouting_exceptions -d caixa.gov.br -j ACCEPT

score 0 · Answer 2

Eu tentei sua resposta. Eu adicionei o www1.caixa.gov.br além do caixa.gov.br porque ele também estava mostrando no log do Squid.

Log do Squid:

1367165802.899 151455 192.168.1.1 TCP_MISS/503 4261 GET http://www.caixa.gov.br/ - DIRECT/www.caixa.gov.br text/html

Resultado do iptables -t nat -L -nv no Tomato USB:

Chain PREROUTING (policy ACCEPT 117 packets, 10457 bytes)
 pkts bytes target     prot opt in     out     source               destination
  155 12613 prerouting_exceptions  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   12   660 DNAT       tcp  --  br0    *      !192.168.1.103         0.0.0.0/0           tcp dpt:80 to:192.168.1.103:3128

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  169 12403 MASQUERADE  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0
   12   660 SNAT       all  --  *      br0     192.168.1.0/24        192.168.1.0/24       to:192.168.1.1

Chain OUTPUT (policy ACCEPT 73 packets, 5279 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain WANPREROUTING (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           to:192.168.1.1
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:9740 to:192.168.1.117:9740
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5740 to:192.168.1.101:5740
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:34184 to:192.168.1.117:34184
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:14983 to:192.168.1.117:14983
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:54184 to:192.168.1.101:54184
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:51413 to:192.168.1.103:51413
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:42020 to:192.168.1.100:42020

Chain prerouting_exceptions (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  br0    *       192.168.1.0/24        192.168.1.0/24       tcp dpt:80
   14   800 ACCEPT     all  --  *      *       0.0.0.0/0            200.201.166.106
   12   696 ACCEPT     all  --  *      *       0.0.0.0/0            200.201.166.240

Endereço IP do caixa.gov.br:

#host caixa.gov.br
aixa.gov.br has address 200.201.166.106
caixa.gov.br mail is handled by 0 bootes1.caixa.gov.br.
caixa.gov.br mail is handled by 0 bootes.caixa.gov.br.