Squid- ominięcie danego IP w sieci lokalnej

[bsdprezes]

Witam. Jak najprostszym sposobem jest wykluczenie danego IP żeby nie byl brany pod uwagę w squid?
Chciałbym to najlepiej zrobić w iptables. Squid uruchomiony jest domyślne żeby przekierowywał wszystko w sieci lokalnej.

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i eth7 -p tcp --dport 80 -j REDIRECT --to-port 3128

Chciałbym np adres 192.168.1.xx nie był brany pod uwage i ruch szedł na niego po za squidem.

[pawkrol]

Spróbuj tak:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING ! -s 192.168.1.10/32  -i eth7 -p tcp --dport 80 -j REDIRECT --to-port 3128

[bsdprezes]

zrobiłem tak

iptables -t nat -A PREROUTING ! -s 192.168.1.111/32 -i eth7 -p tcp --dport 80 -j REDIRECT --to-port 3128

i nie działa.

Zmieniłem IP na takie jak powinno być i nie działa.

[mariaczi]

Pokaż wynik z

Kod: Zaznacz cały

iptables -t nat -L PREROUTING -vn

po dodaniu tego wykluczenia.

[bsdprezes]

Prosze:

30 1512 REDIRECT tcp -- eth7 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- eth7 * !192.168.1.111 0.0.0.0/0 tcp dpt:80 redir ports 3128

[dedito]

Skasuj wcześniejszą regułkę.

[bsdprezes]

dzięki tego nie zauważyłem. A jak teraz zrobić jak bym chciał dodać jakas pule adresów wykluczonych? ( w ostateczności może być ranga adresów)

[mariaczi]

Możesz wydzielić podsieć jak tylko istnieje taka możliwość i użyć np. "/28" zamiast "/32" (co oznacza tylko ten IP). Jeśli nie, pozostaje jedna reguła dla jednego IP.
Pamiętaj, kolejność reguł ma znaczenie Brana jest "na tapetę" pierwsza pasująca, sprawdzanie przebiega od góry do dołu.

[grzesiek]

Można jeszcze spróbować, tak jak tu: https://aacable.wordpress.com/2012/01/2 ... m-caching/
Różnica będzie taka, że ruch będzie szedł przez Squid-a ale nie będzie buforowany.