Um Ip fora do Squid e do Sarg

Urso_Polar
(usa Ubuntu)

Enviado em 19/08/2010 - 13:46h

Prezados, boa tarde!

Seguinte: Preciso passar um único IP por fora do Squid e do Sarg. Estou encontrando dúvidas e não consegui elaborar a solução.. Não fui eu quem montou esse squid. Segue as configurações feitas nele:

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 8017 # TED
acl CONNECT method CONNECT

#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

#### Inicio das regras personalizadas

acl diretoria src 192.168.5.35 192.168.5.36 192.168.5.37 192.168.5.38 192.168.5.150 192.168.5.176 192.168.5.180 192.168.5.199

acl bloqueados src "/etc/squid/acls/hosts"
http_access deny bloqueados

#regras para sites

acl proibir_sites url_regex -i "/etc/squid/acls/sites"
acl liberar_sites url_regex -i "/etc/squid/acls/sitesfree"
http_access allow proibir_sites diretoria
http_access allow liberar_sites
http_access deny proibir_sites

#regras para palavras

#acl proibir_palavras url_regex -i "/etc/squid/acls/palavras"
#acl liberar_palavras url_regex -i "/etc/squid/acls/palavrasfree"
#http_access allow proibir_palavras diretoria
#http_access allow liberar_palavras
#http_access deny proibir_palavras

#liberar servidores avira

#acl liberar_avira url_regex -i "/etc/squid/acls/avira"
#http_access allow liberar_avira

#regras para musicas

acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.mid$ \.midi$ \.rmi$ \.flv$
http_access deny proibir_musica

acl permitir_rede src 192.168.5.0/24
http_access allow permitir_rede

#### Fim das regras personalizadas

Grato desde já!

removido
(usa Nenhuma)

Enviado em 19/08/2010 - 14:36h

crie uma acl com o ip origem e adicione um acesso allow antes de todos os acessos deny.

ex:
acl ip_fora_squid src x.x.x.x
http_access allow ip_fora_squid
.
.
.
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access...

e no sarg, adicione o ip no /etc/squid/sarg.users para ser ignorado no relatorio.

Urso_Polar
(usa Ubuntu)

Enviado em 19/08/2010 - 15:19h

Coloquei dessa maneira no squid.conf:

# Only allow cachemgr access from localhost
acl out src 192.168.5.20 <------- Coloquei o IP que quero aqui
http_access allow out <------- aqui a regra de liberação
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

Quanto ao sarg.users, não existia. Criei um novo em /etc/squid/ e coloquei somente o IP 192.168.5.20 lá dentro. Este está correto? Ou tem mais alguma informação a entrar no sarg.users? Grato!

diegobnx
(usa Debian)

Enviado em 19/08/2010 - 15:33h

Bom não entendi muito bem... mais você quer passar direto pelo proxy ?

acho que com iptables resolveria seu problema, você redireciona a porta 80 para porta do proxy certo? se sim a padrão seria 3128 a porta do seu proxy... por ex. sua regra deve estar assim:

iptables -t nat -A PREROUTING -i eth"X" -p tcp --dport 80 -j REDIRECT --to-port 3128 correto?

no caso para você passar direto pelo proxy seria:

iptables -t nat -A PREROUTING -i eth"X" -s ! 192.168.X.X -p tcp --dport 80 -j REDIRECT --to-port 3128 (no lugar do 192.168.X.X seria o ip que você quer liberar)

depois disso você daria acesso total a ele com:

iptables -t nat -A POSTROUTING -s 192.168.X.X -j MASQUERADE

Bom se eu entendi errado me desculpe... espero ter ajudado.

Boa sorte.

Urso_Polar
(usa Ubuntu)

Enviado em 19/08/2010 - 15:38h

Neste caso, a solução proposta antes no segundo post também não resolveria o problema? O que quero é que um IP passe por fora de todo o squid e do relatório do sarg. Grato amigo!

removido
(usa Nenhuma)

Enviado em 19/08/2010 - 15:39h

seria só isso mesmo Urso Polar, entretanto, se você estiver usando como um proxy transparente, você pode usar o método do nosso amigo diegobnx que também funciona.

Urso_Polar
(usa Ubuntu)

Enviado em 19/08/2010 - 15:42h

Muito obrigado a todos pela ajuda! O IP está acessando todos os sites! Amanhã vou verificar o relatório do sarga para ver se p IP não foi listado e passo o feedback!

Urso_Polar
(usa Ubuntu)

Enviado em 20/08/2010 - 12:13h

Amigos, não funcionou... Fui hoje ao http://192.168.5.250/squid e lá estava o IP sendo listado... onde poderia estar errado ou o que pode ter faltado? Utilizei a solução do primeiro post

removido
(usa Nenhuma)

Enviado em 20/08/2010 - 12:24h

Você disse: "Quanto ao sarg.users, não existia. Criei um novo em /etc/squid/ e coloquei somente o IP 192.168.5.20 lá dentro"

então verifique no sarg.conf se tem essa linha, se não tive adicione ou se estiver comentada descomente:

exclude_users /etc/squid/sarg.users

diegobnx
(usa Debian)

Enviado em 20/08/2010 - 13:40h

se você quiser usar o iptables, no caso de você não ter proxy transparente é só desabilitar o proxy do navegador e colocar o dns na config da placa de rede da estação, aqui sempre faço isso quando preciso liberar uma estação do proxy/sarg etc...


abrax.

Urso_Polar
(usa Ubuntu)

Enviado em 26/11/2010 - 13:48h

Desculpem toda a demora em responder! Problema resolvido! Grato a todos!