| 1 |
Na verdade, acho que o problema ainda é baseada apenas na questão |
| 2 |
firewall/proxy. Nos roteadores, você apenas muda o caminho, não passando por |
| 3 |
outra rede, esse tipo de coisa, mas quando chegar no firewall/proxy as |
| 4 |
regras que lá estão é que fazem a diferença. Se você tiver acesso ao |
| 5 |
servidor e firewall, ou se ele não existir você pode adicionar isso na |
| 6 |
máquina do squid |
| 7 |
|
| 8 |
em /etc/sysctl.conf |
| 9 |
|
| 10 |
descomente ou adicione |
| 11 |
|
| 12 |
net.ipv4.ip_forward = 1 #permite a passagem de dados de uma interface |
| 13 |
para outra |
| 14 |
|
| 15 |
nas regras de iptables você adidiona antes da regra abrangente |
| 16 |
|
| 17 |
iptables -t nat -A POSTROUTING -s 170.0.0.0/16 -d ${IP_CEF} --dport 443 |
| 18 |
--jump MASQUERADE |
| 19 |
|
| 20 |
com esta regra apenas as requisições para porta 443 nao passarão pelo |
| 21 |
proxy. |
| 22 |
|
| 23 |
enquanto |
| 24 |
|
| 25 |
iptables -A PREROUTING -p tcp -t nat --dport 80 -o ${IFACE_OUT} --jump |
| 26 |
REDIRECT --to ${IP_SQUID}:${P_SQUID} ou --to-port ${P_SQUID} |
| 27 |
|
| 28 |
faz o resto do trablaho |
| 29 |
|
| 30 |
acho que a regra está certa, já faz um tempo que eu não trampo com iptables |
| 31 |
|
| 32 |
[]'s |
| 33 |
|
| 34 |
2006/9/18, Edilson Lima <ledilson@×××××.com>: |
| 35 |
> |
| 36 |
> Você sabe dizer se é possivel configurar um roteador cisco no caso o |
| 37 |
> 170.0.0.1 que tem gw com 160.0.0.1, pra ter uma uma rota especial só |
| 38 |
> para os ips XYZ(No caso ips da caixa)? |
| 39 |
> |
| 40 |
> Isso tambêm resolveria não é? |
| 41 |
> |
| 42 |
> On 9/18/06, Diego Alberto Ramponi <diego.ramponi@×××××.com> wrote: |
| 43 |
> > Depende da quantidades de acesso, sabe como é quanto mais nós, mas |
| 44 |
> difícil |
| 45 |
> > de gerenciar os pacotes, e ter a rota para 180 não é uma má idéia, a |
| 46 |
> não |
| 47 |
> > ser que a 170 e a 160 compartilhem softwares, banco de dados e essas |
| 48 |
> coisas, |
| 49 |
> > a rota esta apropriada, uma vez que a carga de programas eh maior que a |
| 50 |
> da |
| 51 |
> > internet... |
| 52 |
> > |
| 53 |
> > Mesmo com com a rota do jeito que tah, se tiver um firewall iptables, vc |
| 54 |
> > pode fazer a aquilo que eu disse anteriormente. |
| 55 |
> > |
| 56 |
> > blz |
| 57 |
> > |
| 58 |
> > []'s |
| 59 |
> > |
| 60 |
> > 2006/9/18, Edilson Lima < ledilson@×××××.com>: |
| 61 |
> > > Sim, concordo plenamente que é necessario redesenhar toda a rede... |
| 62 |
> > > |
| 63 |
> > > Na verdade a 160 é um datacenter, a 170 um escritório e a 180 outro |
| 64 |
> > escritório. |
| 65 |
> > > A 170 nao tem proxy e usa o proxy da 180. |
| 66 |
> > > |
| 67 |
> > > Só a 180 tem link. acho que o gw padrão da 170 deveria ser a e não a |
| 68 |
> 180 |
| 69 |
> > certo? |
| 70 |
> > > Acho que só isso ja resolveria o problema todo... |
| 71 |
> > > o ideal seria colocar tb um proxy na 170 cascateando pra o da 180 não |
| 72 |
> é |
| 73 |
> > mesmo? |
| 74 |
> > > |
| 75 |
> > > Só problemas!!! rs |
| 76 |
> > > |
| 77 |
> > > Valeu galera |
| 78 |
> > > |
| 79 |
> > > On 9/18/06, Diego Alberto Ramponi < diego.ramponi@×××××.com> wrote: |
| 80 |
> > > > Kra, até onde eu entendi, você acessa a rede 180 normalmente.... mas |
| 81 |
> > para a |
| 82 |
> > > > internet entra o proxy correto? Onde especificamente está o seu |
| 83 |
> proxy? |
| 84 |
> > > > Existe um na 170 e outro na 180? Na 180 você usa squid também, tem |
| 85 |
> > firewall |
| 86 |
> > > > lá? |
| 87 |
> > > > |
| 88 |
> > > > Pelo seguinte, se você jogar um pacote na da 170 (rota 160) com |
| 89 |
> destino |
| 90 |
> > a |
| 91 |
> > > > 200.221... a 160 usa a rota padrão, pois ela não conheçe essa rede, |
| 92 |
> mas |
| 93 |
> > sabe |
| 94 |
> > > > que conheçe ;)... a 180, daí a 180 recebe o pacote e tenta |
| 95 |
> encaminhar... |
| 96 |
> > > > para algun lugar certo ? no caso, ou dá rota desconhecida ou vai |
| 97 |
> para |
| 98 |
> > def. |
| 99 |
> > > > gw. |
| 100 |
> > > > |
| 101 |
> > > > A restrição é feita pelo firewall, ou a triagem é feita por outro |
| 102 |
> poxy. |
| 103 |
> > > > |
| 104 |
> > > > neste caso se o proxy está na sua rede, usa um iptables para não |
| 105 |
> enviar |
| 106 |
> > > > para o proxy as requisições do site da caixa. na outra ponta a mesma |
| 107 |
> > > > coisa... daí só e somente os sites da caixa não passam pelo squid o |
| 108 |
> > resto |
| 109 |
> > > > com distino a 80 vai para para o proxy. |
| 110 |
> > > > |
| 111 |
> > > > (end pacote origem = 170 end destino = caixa.gob.br dport= 443) |
| 112 |
> -->mask |
| 113 |
> > end |
| 114 |
> > > > origem to ip-real |
| 115 |
> > > > |
| 116 |
> > > > a porta 443 é a sua única dor de cabeça, pois os end. que necessitam |
| 117 |
> da |
| 118 |
> > > > porta 80 funcionaman normalmente, e também é bom não tirar do proxy, |
| 119 |
> > > > questões de relatório de acesso e essas coisas. |
| 120 |
> > > > |
| 121 |
> > > > |
| 122 |
> > > > Os roteadores apenas passam a informação de um lugar para outro, e |
| 123 |
> se |
| 124 |
> > foi a |
| 125 |
> > > > telefonica que configurou, provavelmente não tem nenhuma restiação |
| 126 |
> por |
| 127 |
> > acls. |
| 128 |
> > > > seu único perrenge são firewalls e proxys configurados pelo meio do |
| 129 |
> > caminho. |
| 130 |
> > > > |
| 131 |
> > > > E concordo com o Bruno, um projeto de reestruturação é |
| 132 |
> necessário... |
| 133 |
> > > > |
| 134 |
> > > > blz.. |
| 135 |
> > > > |
| 136 |
> > > > |
| 137 |
> > > > 2006/9/8, Edilson Lima <ledilson@×××××.com>: |
| 138 |
> > > > > |
| 139 |
> > > > Oi pessoal! |
| 140 |
> > > > |
| 141 |
> > > > Estou passando por um probleminha. Ainda não achei nenhuma |
| 142 |
> > alternativa... |
| 143 |
> > > > |
| 144 |
> > > > Tenho 3 redes |
| 145 |
> > > > |
| 146 |
> > > > 160.0.0.0/255.255.0.0 |
| 147 |
> > > > 170.0.0.0/255.255.0.0 |
| 148 |
> > > > 180.0.0.0/255.255.0.0 |
| 149 |
> > > > |
| 150 |
> > > > o roteador da 170.0.0.0 tem como rota padrão a 160.0.0.0 porem o meu |
| 151 |
> > > > link de internet fica na rede 180.0.0.0. |
| 152 |
> > > > |
| 153 |
> > > > Todos na rede 170.0.0.0 usam um proxy da 180.0.0.0. |
| 154 |
> > > > |
| 155 |
> > > > Até esse ponto tudo bem! |
| 156 |
> > > > |
| 157 |
> > > > Agora entra o software da caixa economica (Conectividade social). |
| 158 |
> que |
| 159 |
> > > > não pode passar por proxy... |
| 160 |
> > > > |
| 161 |
> > > > Geralmente eu configuro o meu firewall que com proxy transparente |
| 162 |
> para |
| 163 |
> > > > não fazer redirect dos ips da caixa... porem... neste caso só saio |
| 164 |
> da |
| 165 |
> > > > 170.0.0.0 pra 180.0.0.0 (onde está meu link) pelo proxy... |
| 166 |
> > > > |
| 167 |
> > > > A dúvida é? tem como fazer o squid nao passar as solicitações de |
| 168 |
> > > > alguns sites pelo proxy? |
| 169 |
> > > > |
| 170 |
> > > > Desde já, |
| 171 |
> > > > |
| 172 |
> > > > Grato, |
| 173 |
> > > > |
| 174 |
> > > > |
| 175 |
> > > > Edilson Lima |
| 176 |
> > > > |
| 177 |
> > > > -- |
| 178 |
> > > > gentoo-user-br@g.o mailing list |
| 179 |
> > > > |
| 180 |
> > > > |
| 181 |
> > > > |
| 182 |
> > > > |
| 183 |
> > > > |
| 184 |
> > > > -- |
| 185 |
> > > > KISS: |
| 186 |
> > > > Keep |
| 187 |
> > > > it |
| 188 |
> > > > simple, |
| 189 |
> > > > stupid! |
| 190 |
> > > |
| 191 |
> > > -- |
| 192 |
> > > gentoo-user-br@g.o mailing list |
| 193 |
> > > |
| 194 |
> > > |
| 195 |
> > |
| 196 |
> > |
| 197 |
> > |
| 198 |
> > |
| 199 |
> > -- |
| 200 |
> > KISS: |
| 201 |
> > Keep |
| 202 |
> > it |
| 203 |
> > simple, |
| 204 |
> > stupid! |
| 205 |
> |
| 206 |
> -- |
| 207 |
> gentoo-user-br@g.o mailing list |
| 208 |
> |
| 209 |
> |
| 210 |
|
| 211 |
|
| 212 |
-- |
| 213 |
KISS: |
| 214 |
Keep |
| 215 |
it |
| 216 |
simple, |
| 217 |
stupid! |
Archives