Na verdade, acho que o problema ainda é baseada apenas na questão firewall/proxy. Nos roteadores, você apenas muda o caminho, não passando por outra rede, esse tipo de coisa, mas quando chegar no firewall/proxy as regras que lá estão é que fazem a diferença. Se você tiver acesso ao servidor e firewall, ou se ele não existir você pode adicionar isso na máquina do squid
<br><br>em /etc/sysctl.conf<br><br>descomente ou adicione<br><br>net.ipv4.ip_forward = 1 #permite a passagem de dados de uma interface para outra<br><br>nas regras de iptables você adidiona antes da regra abrangente<br>
<br>iptables -t nat -A POSTROUTING -s <a href="http://170.0.0.0/16">170.0.0.0/16</a> -d ${IP_CEF} --dport 443 --jump MASQUERADE<br><br>com esta regra apenas as requisições para porta 443 nao passarão pelo proxy.<br><br>enquanto
<br><br>iptables -A PREROUTING -p tcp -t nat --dport 80 -o ${IFACE_OUT} --jump REDIRECT --to ${IP_SQUID}:${P_SQUID} ou --to-port ${P_SQUID}<br><br>faz o resto do trablaho<br><br>acho que a regra está certa, já faz um tempo que eu não trampo com iptables
<br><br>[]'s<br><br><div><span class="gmail_quote">2006/9/18, Edilson Lima <<a href="mailto:ledilson@...">ledilson@...</a>>:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Você sabe dizer se é possivel configurar um roteador cisco no caso o<br><a href="http://170.0.0.1">170.0.0.1</a> que tem gw com <a href="http://160.0.0.1">160.0.0.1</a>, pra ter uma uma rota especial só<br>para os ips XYZ(No caso ips da caixa)?
<br><br>Isso tambêm resolveria não é?<br><br>On 9/18/06, Diego Alberto Ramponi <<a href="mailto:diego.ramponi@...">diego.ramponi@...</a>> wrote:<br>> Depende da quantidades de acesso, sabe como é quanto mais nós, mas difícil
<br>> de gerenciar os pacotes, e ter a rota para 180 não é uma má idéia, a não<br>> ser que a 170 e a 160 compartilhem softwares, banco de dados e essas coisas,<br>> a rota esta apropriada, uma vez que a carga de programas eh maior que a da
<br>> internet...<br>><br>> Mesmo com com a rota do jeito que tah, se tiver um firewall iptables, vc<br>> pode fazer a aquilo que eu disse anteriormente.<br>><br>> blz<br>><br>> []'s<br>><br>> 2006/9/18, Edilson Lima <
<a href="mailto:ledilson@...">ledilson@...</a>>:<br>> > Sim, concordo plenamente que é necessario redesenhar toda a rede...<br>> ><br>> > Na verdade a 160 é um datacenter, a 170 um escritório e a 180 outro
<br>> escritório.<br>> > A 170 nao tem proxy e usa o proxy da 180.<br>> ><br>> > Só a 180 tem link. acho que o gw padrão da 170 deveria ser a e não a 180<br>> certo?<br>> > Acho que só isso ja resolveria o problema todo...
<br>> > o ideal seria colocar tb um proxy na 170 cascateando pra o da 180 não é<br>> mesmo?<br>> ><br>> > Só problemas!!! rs<br>> ><br>> > Valeu galera<br>> ><br>> > On 9/18/06, Diego Alberto Ramponi <
<a href="mailto:diego.ramponi@...">diego.ramponi@...</a>> wrote:<br>> > > Kra, até onde eu entendi, você acessa a rede 180 normalmente.... mas<br>> para a<br>> > > internet entra o proxy correto? Onde especificamente está o seu proxy?
<br>> > > Existe um na 170 e outro na 180? Na 180 você usa squid também, tem<br>> firewall<br>> > > lá?<br>> > ><br>> > > Pelo seguinte, se você jogar um pacote na da 170 (rota 160) com destino
<br>> a<br>> > > 200.221... a 160 usa a rota padrão, pois ela não conheçe essa rede, mas<br>> sabe<br>> > > que conheçe ;)... a 180, daí a 180 recebe o pacote e tenta encaminhar...<br>> > > para algun lugar certo ? no caso, ou dá rota desconhecida ou vai para
<br>> def.<br>> > > gw.<br>> > ><br>> > > A restrição é feita pelo firewall, ou a triagem é feita por outro poxy.<br>> > ><br>> > > neste caso se o proxy está na sua rede, usa um iptables para não enviar
<br>> > > para o proxy as requisições do site da caixa. na outra ponta a mesma<br>> > > coisa... daí só e somente os sites da caixa não passam pelo squid o<br>> resto<br>> > > com distino a 80 vai para para o proxy.
<br>> > ><br>> > > (end pacote origem = 170 end destino = <a href="http://caixa.gob.br">caixa.gob.br</a> dport= 443) -->mask<br>> end<br>> > > origem to ip-real<br>> > ><br>> > > a porta 443 é a sua única dor de cabeça, pois os end. que necessitam da
<br>> > > porta 80 funcionaman normalmente, e também é bom não tirar do proxy,<br>> > > questões de relatório de acesso e essas coisas.<br>> > ><br>> > ><br>> > > Os roteadores apenas passam a informação de um lugar para outro, e se
<br>> foi a<br>> > > telefonica que configurou, provavelmente não tem nenhuma restiação por<br>> acls.<br>> > > seu único perrenge são firewalls e proxys configurados pelo meio do<br>> caminho.<br>
> > ><br>> > > E concordo com o Bruno, um projeto de reestruturação é necessário...<br>> > ><br>> > > blz..<br>> > ><br>> > ><br>> > > 2006/9/8, Edilson Lima <
<a href="mailto:ledilson@...">ledilson@...</a>>:<br>> > > ><br>> > > Oi pessoal!<br>> > ><br>> > > Estou passando por um probleminha. Ainda não achei nenhuma<br>> alternativa...
<br>> > ><br>> > > Tenho 3 redes<br>> > ><br>> > > <a href="http://160.0.0.0/255.255.0.0">160.0.0.0/255.255.0.0</a><br>> > > <a href="http://170.0.0.0/255.255.0.0">170.0.0.0/255.255.0.0
</a><br>> > > <a href="http://180.0.0.0/255.255.0.0">180.0.0.0/255.255.0.0</a><br>> > ><br>> > > o roteador da <a href="http://170.0.0.0">170.0.0.0</a> tem como rota padrão a <a href="http://160.0.0.0">
160.0.0.0</a> porem o meu<br>> > > link de internet fica na rede <a href="http://180.0.0.0">180.0.0.0</a>.<br>> > ><br>> > > Todos na rede <a href="http://170.0.0.0">170.0.0.0</a> usam um proxy da
<a href="http://180.0.0.0">180.0.0.0</a>.<br>> > ><br>> > > Até esse ponto tudo bem!<br>> > ><br>> > > Agora entra o software da caixa economica (Conectividade social). que<br>> > > não pode passar por proxy...
<br>> > ><br>> > > Geralmente eu configuro o meu firewall que com proxy transparente para<br>> > > não fazer redirect dos ips da caixa... porem... neste caso só saio da<br>> > > <a href="http://170.0.0.0">
170.0.0.0</a> pra <a href="http://180.0.0.0">180.0.0.0</a> (onde está meu link) pelo proxy...<br>> > ><br>> > > A dúvida é? tem como fazer o squid nao passar as solicitações de<br>> > > alguns sites pelo proxy?
<br>> > ><br>> > > Desde já,<br>> > ><br>> > > Grato,<br>> > ><br>> > ><br>> > > Edilson Lima<br>> > ><br>> > > --<br>> > > <a href="mailto:gentoo-user-br@g.o">
gentoo-user-br@g.o</a> mailing list<br>> > ><br>> > ><br>> > ><br>> > ><br>> > ><br>> > > --<br>> > > KISS:<br>> > > Keep<br>> > > it
<br>> > > simple,<br>> > > stupid!<br>> ><br>> > --<br>> > <a href="mailto:gentoo-user-br@g.o">gentoo-user-br@g.o</a> mailing list<br>> ><br>> >
<br>><br>><br>><br>><br>> --<br>> KISS:<br>> Keep<br>> it<br>> simple,<br>> stupid!<br><br>--<br><a href="mailto:gentoo-user-br@g.o">gentoo-user-br@g.o
</a> mailing list<br><br></blockquote></div><br><br clear="all"><br>-- <br>KISS:<br> Keep<br> it<br> simple,<br> stupid!
|
