Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

iptables, squid - wykluczenie adresów.

https://www.debian.pl/viewtopic.php?t=16366

Strona 1 z 1

iptables, squid - wykluczenie adresów.

: 22 listopada 2009, 13:13
autor: lol_ek
Witam

Posiadam dwa łacza, z czego na drugie poprzez squida, pcham cały ruch związany z www.
Trafił mi się delikwent, który narzeka na częstotliwość odświeżanych na takich stronach jak forum gazety.pl, a ostatnio nawet allegro. Notabene na innych komputerach problemu nie widać.

Proxy mam transparentne:

Kod: Zaznacz cały

#$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
Pomyślałem, ze tę konkretną osobę wykluczę z przekierowania na proxy.
W chwili obecnej efekt uzyskałem w ten sposób:

Kod: Zaznacz cały

#$IPT -t nat -A PREROUTING -i $LAN -p tcp -s ! 192.168.1.144 --dport 80 -j REDIRECT --to-port 3128
Jako, że łacze pod www balansuje na krawędzi możliwości, pomyślałem, że dodatkowo mógłbym zrobić taką negację dla kilku innych adresów. Wtedy pojedyncze osoby hulałby tylko na głównym łaczu, które ma sporo wolnego.
I tu pojawia się zasadnicze pytanie. Czy kolejne żródłowe adresy wsadzić bezpośrednio w regułkę czy da się utworzyć jakąś tabelę. Poniekąd to tylko kosmetyka, ale może się przydać na przyszłość.

Miałem taki koncept, ale to nie bangla.

Kod: Zaznacz cały

MYSQUID="192.168.1.143 192.168.1.144"
$IPT -t nat -A PREROUTING -i $LAN -p tcp -s ! $MYSQUID --dport 80 -j REDIRECT --to-port 3128

A może olać sprawę na poziomie iptables i próbować osiągnąć ten efekt poprzez squida (ACLke) ?

: 22 listopada 2009, 14:54
autor: grzesiek
Co najwyżej możesz użyć modułu iprange.

: 24 listopada 2009, 22:20
autor: mendeczka
Podaj konfig SQUIDA.

Możesz spróbować dodać

Kod: Zaznacz cały

refresh_pattern -i \.(gif|jpg|jpeg|png|html|bmp)   0   50%    7200 reload-into-ims
refresh_pattern -i \.(zip|gz|bz2|exe|rar|mp3|mpg|avi|wmv|vqf|ogg)   43200 100%    43200   reload-into-ims
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll)     43200    100% 43200   reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll) 43200   100% 43200   reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll) 43200 100% 43200 reload-into-ims
refresh_pattern symantecliveupdate.com/.*\.(zip|exe)    43200    100% 43200   reload-into-ims
refresh_pattern windowsupdate.com/.*\.(cab|exe)         43200   100% 43200   reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe)    43200   100%	43200   reload-into-ims
refresh_pattern avast.com/.*\.(vpu|vpaa)    43200   100%    43200	reload-into-ims
refresh_pattern .               0       20%     4320
oraz dopisać allegro i gazetę.

Możesz w Squidzie puścić gościa np przez inny port (samego).
Najlepiej będzie jak sprawdzisz sam jego sprzęt i jego biadolenie na ten temat.

: 27 listopada 2009, 19:55
autor: lol_ek
mendeczka pisze:Podaj konfig SQUIDA.

Możesz spróbować dodać

Kod: Zaznacz cały

refresh_pattern -i \.(gif|jpg|jpeg|png|html|bmp)   0   50%    7200 reload-into-ims
refresh_pattern -i \.(zip|gz|bz2|exe|rar|mp3|mpg|avi|wmv|vqf|ogg)   43200 100%    43200   reload-into-ims
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll)     43200    100% 43200   reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll) 43200   100% 43200   reload-into-ims
oraz dopisać allegro i gazetę.

Możesz w Squidzie puścić gościa np przez inny port (samego).
Najlepiej będzie jak sprawdzisz sam jego sprzęt i jego biadolenie na ten temat.
Chyba nie w tym rzecz, zwłaszcza, że rozmawiałem z kilkoma innymi użytkownikami i nie widzą problemów z odświeżaniem stron. Do kompa zajrzę, choćby z ciekawości Nie mniej ciekawiło mnie jak w 'prosty i przejrzysty'; sposób poradzić sobie z wykluczeniem.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl