Makes sense to me. <br><br>Is the host that you are wanting to bypass your proxy on the same segment as the $LAN interface defined in your rulesets?<br><br><div class="gmail_quote">On Wed, Dec 10, 2008 at 1:22 PM, Joseph L. Casale <span dir="ltr"><<a href="mailto:JCasale@activenetwerx.com">JCasale@activenetwerx.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">I have a squid proxy running transparently, so in my firewall script<br>
I run the following fairly early:<br>
<br>
iptables -A PREROUTING -t nat -i $LAN -p tcp -m multiport --dports 80,443 -j REDIRECT --to-port 3128<br>
<br>
This is a multihomed server so after this change the masquerading was<br>
removed (as only web access on the lan side of this server was needed).<br>
<br>
I now need to masq cleanly one device so that it can bypass the squid<br>
proxy. As order is important, would it be correct to put the following<br>
_in front_ of the PREROUTING command above:<br>
<br>
iptables -A POSTROUTING -t nat -o $WAN -j MASQUERADE<br>
iptables -A FORWARD -i $LAN -o $WAN -m mac --mac-source <mac addr> -m state --state NEW,ESTABLISHED,RELATED -p tcp -m multiport --dports 443 -j ACCEPT<br>
iptables -A FORWARD -i $WAN -o $LAN -m state --state RELATED,ESTABLISHED -j ACCEPT<br>
<br>
Where is the best place to filter for the mac in this scenario? I am hoping<br>
anything w/o this mac will skip the whole masq setup and enter the PREROUTING<br>
command below, resulting in the traffic being proxied through squid.<br>
<br>
Thanks!<br>
jlc<br>
_______________________________________________<br>
CentOS mailing list<br>
<a href="mailto:CentOS@centos.org">CentOS@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>
</blockquote></div><br><br clear="all"><br>-- <br>Thx<br>Joshua Gimer<br>