iptables, squid - wykluczenie adresów.

lol_ek · Post autor: **lol_ek** » 22 listopada 2009, 13:13

Witam

Posiadam dwa łacza, z czego na drugie poprzez squida, pcham cały ruch związany z www.
Trafił mi się delikwent, który narzeka na częstotliwość odświeżanych na takich stronach jak forum gazety.pl, a ostatnio nawet allegro. Notabene na innych komputerach problemu nie widać.

Proxy mam transparentne:

Kod: Zaznacz cały

#$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

Pomyślałem, ze tę konkretną osobę wykluczę z przekierowania na proxy.
W chwili obecnej efekt uzyskałem w ten sposób:

Kod: Zaznacz cały

#$IPT -t nat -A PREROUTING -i $LAN -p tcp -s ! 192.168.1.144 --dport 80 -j REDIRECT --to-port 3128

Jako, że łacze pod www balansuje na krawędzi możliwości, pomyślałem, że dodatkowo mógłbym zrobić taką negację dla kilku innych adresów. Wtedy pojedyncze osoby hulałby tylko na głównym łaczu, które ma sporo wolnego.
I tu pojawia się zasadnicze pytanie. Czy kolejne żródłowe adresy wsadzić bezpośrednio w regułkę czy da się utworzyć jakąś tabelę. Poniekąd to tylko kosmetyka, ale może się przydać na przyszłość.

Miałem taki koncept, ale to nie bangla.

Kod: Zaznacz cały

MYSQUID="192.168.1.143 192.168.1.144"
$IPT -t nat -A PREROUTING -i $LAN -p tcp -s ! $MYSQUID --dport 80 -j REDIRECT --to-port 3128

A może olać sprawę na poziomie iptables i próbować osiągnąć ten efekt poprzez squida (ACLke) ?

grzesiek · Post autor: **grzesiek** » 22 listopada 2009, 14:54

Co najwyżej możesz użyć modułu iprange.

mendeczka · Post autor: **mendeczka** » 24 listopada 2009, 22:20

Podaj konfig SQUIDA.

Możesz spróbować dodać

Kod: Zaznacz cały

refresh_pattern -i \.(gif|jpg|jpeg|png|html|bmp)   0   50%    7200 reload-into-ims
refresh_pattern -i \.(zip|gz|bz2|exe|rar|mp3|mpg|avi|wmv|vqf|ogg)   43200 100%    43200   reload-into-ims
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll)     43200    100% 43200   reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll) 43200   100% 43200   reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll) 43200 100% 43200 reload-into-ims
refresh_pattern symantecliveupdate.com/.*\.(zip|exe)    43200    100% 43200   reload-into-ims
refresh_pattern windowsupdate.com/.*\.(cab|exe)         43200   100% 43200   reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe)    43200   100%	43200   reload-into-ims
refresh_pattern avast.com/.*\.(vpu|vpaa)    43200   100%    43200	reload-into-ims
refresh_pattern .               0       20%     4320

oraz dopisać allegro i gazetę.

Możesz w Squidzie puścić gościa np przez inny port (samego).
Najlepiej będzie jak sprawdzisz sam jego sprzęt i jego biadolenie na ten temat.

lol_ek · Post autor: **lol_ek** » 27 listopada 2009, 19:55

mendeczka pisze:Podaj konfig SQUIDA.

Możesz spróbować dodać
Kod: Zaznacz cały
refresh_pattern -i \.(gif|jpg|jpeg|png|html|bmp)   0   50%    7200 reload-into-ims
refresh_pattern -i \.(zip|gz|bz2|exe|rar|mp3|mpg|avi|wmv|vqf|ogg)   43200 100%    43200   reload-into-ims
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll)     43200    100% 43200   reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll) 43200   100% 43200   reload-into-ims
oraz dopisać allegro i gazetę.

Możesz w Squidzie puścić gościa np przez inny port (samego).
Najlepiej będzie jak sprawdzisz sam jego sprzęt i jego biadolenie na ten temat.

Chyba nie w tym rzecz, zwłaszcza, że rozmawiałem z kilkoma innymi użytkownikami i nie widzą problemów z odświeżaniem stron. Do kompa zajrzę, choćby z ciekawości Nie mniej ciekawiło mnie jak w 'prosty i przejrzysty'; sposób poradzić sobie z wykluczeniem.