1 |
Na verdade, acho que o problema ainda é baseada apenas na questão |
2 |
firewall/proxy. Nos roteadores, você apenas muda o caminho, não passando por |
3 |
outra rede, esse tipo de coisa, mas quando chegar no firewall/proxy as |
4 |
regras que lá estão é que fazem a diferença. Se você tiver acesso ao |
5 |
servidor e firewall, ou se ele não existir você pode adicionar isso na |
6 |
máquina do squid |
7 |
|
8 |
em /etc/sysctl.conf |
9 |
|
10 |
descomente ou adicione |
11 |
|
12 |
net.ipv4.ip_forward = 1 #permite a passagem de dados de uma interface |
13 |
para outra |
14 |
|
15 |
nas regras de iptables você adidiona antes da regra abrangente |
16 |
|
17 |
iptables -t nat -A POSTROUTING -s 170.0.0.0/16 -d ${IP_CEF} --dport 443 |
18 |
--jump MASQUERADE |
19 |
|
20 |
com esta regra apenas as requisições para porta 443 nao passarão pelo |
21 |
proxy. |
22 |
|
23 |
enquanto |
24 |
|
25 |
iptables -A PREROUTING -p tcp -t nat --dport 80 -o ${IFACE_OUT} --jump |
26 |
REDIRECT --to ${IP_SQUID}:${P_SQUID} ou --to-port ${P_SQUID} |
27 |
|
28 |
faz o resto do trablaho |
29 |
|
30 |
acho que a regra está certa, já faz um tempo que eu não trampo com iptables |
31 |
|
32 |
[]'s |
33 |
|
34 |
2006/9/18, Edilson Lima <ledilson@×××××.com>: |
35 |
> |
36 |
> Você sabe dizer se é possivel configurar um roteador cisco no caso o |
37 |
> 170.0.0.1 que tem gw com 160.0.0.1, pra ter uma uma rota especial só |
38 |
> para os ips XYZ(No caso ips da caixa)? |
39 |
> |
40 |
> Isso tambêm resolveria não é? |
41 |
> |
42 |
> On 9/18/06, Diego Alberto Ramponi <diego.ramponi@×××××.com> wrote: |
43 |
> > Depende da quantidades de acesso, sabe como é quanto mais nós, mas |
44 |
> difícil |
45 |
> > de gerenciar os pacotes, e ter a rota para 180 não é uma má idéia, a |
46 |
> não |
47 |
> > ser que a 170 e a 160 compartilhem softwares, banco de dados e essas |
48 |
> coisas, |
49 |
> > a rota esta apropriada, uma vez que a carga de programas eh maior que a |
50 |
> da |
51 |
> > internet... |
52 |
> > |
53 |
> > Mesmo com com a rota do jeito que tah, se tiver um firewall iptables, vc |
54 |
> > pode fazer a aquilo que eu disse anteriormente. |
55 |
> > |
56 |
> > blz |
57 |
> > |
58 |
> > []'s |
59 |
> > |
60 |
> > 2006/9/18, Edilson Lima < ledilson@×××××.com>: |
61 |
> > > Sim, concordo plenamente que é necessario redesenhar toda a rede... |
62 |
> > > |
63 |
> > > Na verdade a 160 é um datacenter, a 170 um escritório e a 180 outro |
64 |
> > escritório. |
65 |
> > > A 170 nao tem proxy e usa o proxy da 180. |
66 |
> > > |
67 |
> > > Só a 180 tem link. acho que o gw padrão da 170 deveria ser a e não a |
68 |
> 180 |
69 |
> > certo? |
70 |
> > > Acho que só isso ja resolveria o problema todo... |
71 |
> > > o ideal seria colocar tb um proxy na 170 cascateando pra o da 180 não |
72 |
> é |
73 |
> > mesmo? |
74 |
> > > |
75 |
> > > Só problemas!!! rs |
76 |
> > > |
77 |
> > > Valeu galera |
78 |
> > > |
79 |
> > > On 9/18/06, Diego Alberto Ramponi < diego.ramponi@×××××.com> wrote: |
80 |
> > > > Kra, até onde eu entendi, você acessa a rede 180 normalmente.... mas |
81 |
> > para a |
82 |
> > > > internet entra o proxy correto? Onde especificamente está o seu |
83 |
> proxy? |
84 |
> > > > Existe um na 170 e outro na 180? Na 180 você usa squid também, tem |
85 |
> > firewall |
86 |
> > > > lá? |
87 |
> > > > |
88 |
> > > > Pelo seguinte, se você jogar um pacote na da 170 (rota 160) com |
89 |
> destino |
90 |
> > a |
91 |
> > > > 200.221... a 160 usa a rota padrão, pois ela não conheçe essa rede, |
92 |
> mas |
93 |
> > sabe |
94 |
> > > > que conheçe ;)... a 180, daí a 180 recebe o pacote e tenta |
95 |
> encaminhar... |
96 |
> > > > para algun lugar certo ? no caso, ou dá rota desconhecida ou vai |
97 |
> para |
98 |
> > def. |
99 |
> > > > gw. |
100 |
> > > > |
101 |
> > > > A restrição é feita pelo firewall, ou a triagem é feita por outro |
102 |
> poxy. |
103 |
> > > > |
104 |
> > > > neste caso se o proxy está na sua rede, usa um iptables para não |
105 |
> enviar |
106 |
> > > > para o proxy as requisições do site da caixa. na outra ponta a mesma |
107 |
> > > > coisa... daí só e somente os sites da caixa não passam pelo squid o |
108 |
> > resto |
109 |
> > > > com distino a 80 vai para para o proxy. |
110 |
> > > > |
111 |
> > > > (end pacote origem = 170 end destino = caixa.gob.br dport= 443) |
112 |
> -->mask |
113 |
> > end |
114 |
> > > > origem to ip-real |
115 |
> > > > |
116 |
> > > > a porta 443 é a sua única dor de cabeça, pois os end. que necessitam |
117 |
> da |
118 |
> > > > porta 80 funcionaman normalmente, e também é bom não tirar do proxy, |
119 |
> > > > questões de relatório de acesso e essas coisas. |
120 |
> > > > |
121 |
> > > > |
122 |
> > > > Os roteadores apenas passam a informação de um lugar para outro, e |
123 |
> se |
124 |
> > foi a |
125 |
> > > > telefonica que configurou, provavelmente não tem nenhuma restiação |
126 |
> por |
127 |
> > acls. |
128 |
> > > > seu único perrenge são firewalls e proxys configurados pelo meio do |
129 |
> > caminho. |
130 |
> > > > |
131 |
> > > > E concordo com o Bruno, um projeto de reestruturação é |
132 |
> necessário... |
133 |
> > > > |
134 |
> > > > blz.. |
135 |
> > > > |
136 |
> > > > |
137 |
> > > > 2006/9/8, Edilson Lima <ledilson@×××××.com>: |
138 |
> > > > > |
139 |
> > > > Oi pessoal! |
140 |
> > > > |
141 |
> > > > Estou passando por um probleminha. Ainda não achei nenhuma |
142 |
> > alternativa... |
143 |
> > > > |
144 |
> > > > Tenho 3 redes |
145 |
> > > > |
146 |
> > > > 160.0.0.0/255.255.0.0 |
147 |
> > > > 170.0.0.0/255.255.0.0 |
148 |
> > > > 180.0.0.0/255.255.0.0 |
149 |
> > > > |
150 |
> > > > o roteador da 170.0.0.0 tem como rota padrão a 160.0.0.0 porem o meu |
151 |
> > > > link de internet fica na rede 180.0.0.0. |
152 |
> > > > |
153 |
> > > > Todos na rede 170.0.0.0 usam um proxy da 180.0.0.0. |
154 |
> > > > |
155 |
> > > > Até esse ponto tudo bem! |
156 |
> > > > |
157 |
> > > > Agora entra o software da caixa economica (Conectividade social). |
158 |
> que |
159 |
> > > > não pode passar por proxy... |
160 |
> > > > |
161 |
> > > > Geralmente eu configuro o meu firewall que com proxy transparente |
162 |
> para |
163 |
> > > > não fazer redirect dos ips da caixa... porem... neste caso só saio |
164 |
> da |
165 |
> > > > 170.0.0.0 pra 180.0.0.0 (onde está meu link) pelo proxy... |
166 |
> > > > |
167 |
> > > > A dúvida é? tem como fazer o squid nao passar as solicitações de |
168 |
> > > > alguns sites pelo proxy? |
169 |
> > > > |
170 |
> > > > Desde já, |
171 |
> > > > |
172 |
> > > > Grato, |
173 |
> > > > |
174 |
> > > > |
175 |
> > > > Edilson Lima |
176 |
> > > > |
177 |
> > > > -- |
178 |
> > > > gentoo-user-br@g.o mailing list |
179 |
> > > > |
180 |
> > > > |
181 |
> > > > |
182 |
> > > > |
183 |
> > > > |
184 |
> > > > -- |
185 |
> > > > KISS: |
186 |
> > > > Keep |
187 |
> > > > it |
188 |
> > > > simple, |
189 |
> > > > stupid! |
190 |
> > > |
191 |
> > > -- |
192 |
> > > gentoo-user-br@g.o mailing list |
193 |
> > > |
194 |
> > > |
195 |
> > |
196 |
> > |
197 |
> > |
198 |
> > |
199 |
> > -- |
200 |
> > KISS: |
201 |
> > Keep |
202 |
> > it |
203 |
> > simple, |
204 |
> > stupid! |
205 |
> |
206 |
> -- |
207 |
> gentoo-user-br@g.o mailing list |
208 |
> |
209 |
> |
210 |
|
211 |
|
212 |
-- |
213 |
KISS: |
214 |
Keep |
215 |
it |
216 |
simple, |
217 |
stupid! |