determinar mais de uma exceção

gnu
(usa Slackware)

Enviado em 11/11/2005 - 08:21h

Uso squid naminha rede, por meio de proxy transparente. Porém, atualmente tenho a necessidade e deixar de fora do squid mais de um endereço ip.
Uso a seguinte regra:
iptables -A PREROUTING -t nat -p tcp -i eth0 -d ! xxx.xxx.xxx.xxx --dport 80 -j REDIRECT --to-port 3128

Pois bem, gostaria de acrescentar mais alguns ips à exceção, ou seja inserir mais um endereço após o parâmetro -d ! ... como fazer?

melphos
(usa Debian)

Enviado em 12/11/2005 - 05:07h

Fala patrão, tranquilo ???

Então, existe um módulo para o iptables chamado megamatcher, acho que vem com o POM, ele pode resolver seu problema, mas nunca o usei nem compilei. A outra opção, é fazer um laço for no seu script de firewall:

1° opção: Defina um arquivo com o nome. Ex.: except_ip.txt. No script firewall.

for except_ip in $(cat except_ip.txt)
do
iptables -A PREROUTING -t nat -p tcp -i eth0 -d $except_ip -m multiport --dport
80,8081,8080 -j ACCEPT
done

iptables -A PREROUTING -t nat -p tcp -i eth0 -m multiport --dport 80,8080,8081 -j REDIRECT
--to-port 3128

2° opção: Defini uma variavel tipo:
EXCEPT_IP="200.xxx.xxx.xxx 200.xxx.xxx.xxx 192.xxx.xxx.xxx 128.xxx.xxx.xxx";
for ex_ip in $EXCEPT_IP
do
a mesma coisa do for de cima

Bom acho que isso ajuda, se não ajudar, grita ai que a gente procura outro jeito.

Um abraço,
Ivan Santos

melphos
(usa Debian)

Enviado em 01/12/2005 - 05:09h

E ai deu certo ???

gnu
(usa Slackware)

Enviado em 01/12/2005 - 19:07h

Deu certo aparentemente. Quando se lista as regras, aparece como exceção.. mas na prática não funciona. Continua negando acesso... é esquisito.

melphos
(usa Debian)

Enviado em 03/12/2005 - 00:45h

Será que não tem nenhuma regra acima desta que bloqueie o acesso ?