[GTER] Re: PROXY - MASQ

Silmar A. Marca marca at grupogsn.com.br
Thu Apr 22 12:09:06 -03 2004 

Proxy é proxy. Masq é masq.

Fazer nat (assume se que ppp0 é a interface externa):
+ iptables -t nat -A POSTROUTING -s net/mask -o devext -j MASQUERADE
ou
+ iptables -t nat -A POSTROUTING -s net/mask -o devext -j SNAT --to-source
ipexterno
exemplo:
- iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 172.16.0.0/12 -o ppp0 -j MASQUERADE

Redirecionar para o proxy (proxy transparente):
iptables -t nat -A PREROUTING -p tcp -d 0.0.0.0/0 80 -j REDIRECT --to-ports 3128
ou
iptables -t nat -A PREROUTING -p tcp -d 0.0.0.0/0 80 -j DNAT --to-destination
ipproxyexterno:3128

Para que determinados endereços não passem pelo proxy transparente (ex:
200.201.174.0/24 #Caixa Federal e 200.255.42.0/24 #Agencia Nacional de Saude -
diops) tem de se incluir regras de return antes da regra de proxy transparente
citada anteriormente:
+ iptables -t nat -A PREROUTING -d net/mask -j RETURN
exemplo:
- iptables -t nat -A PREROUTING -d 200.201.174.0/24  -j RETURN
- iptables -t nat -A PREROUTING -d 200.255.42.0/24   -j RETURN
- iptables -t nat -A PREROUTING -p tcp -d 0.0.0.0/0 80 -j REDIRECT --to-ports
3128

Vale a pena lembrar que deve se sempre implantar regras de return para todas as
redes conhecidas e locais de modo a evitar "cache" de paginas de servidores
locais...


Cordialmente, Silmar A. Marca
GrupoGSN - Desenvolvimento, Implantação e Verificação de Servidores
Profissionais baseados em Linux/Novell
http://www.grupogsn.com.br/~marca/
------------------------------------------------------------
Se algo não lhe faz mal (fisico, moral ou psicologicamente),
experimente! O máximo e você perder tempo! E tempo, e
o que você tem a vida toda pra perder.....
Mais vale um instante de prazer que uma eternidade fútil!
------------------------------------------------------------

> Alguns dos amigos sabe como liberar via, iptables, um determinado ip para
> que ele nao passe pelo meu proxy squid?
> tenho esta regra:
> iptables -t nat -A POSTROUTING -s <ip> -o eth0 -j MASQUERADE
>  porém ela não funciona!
> Grato,
>
>          Eduardo Ramos
> Analista de Suporte - Datagrupo
>           +55 21 3385-4215
>       www.datagrupo.com.br
>         Linux user #346872
>
>
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter
>
>

More information about the gter mailing list