Титла: transperant proxy и iptables ?? Как ?
Публикувано от: sys7em в Jan 10, 2005, 14:52
Значи на рутера ми вкъщи има следните правила в iptables:
Както виждате рутирам нета на 6 машини ....
има и инсталирано пркси на порт 3128 ... работи ... сега искам да го направя , прозрачно т.е. да задължа целия трафик да минава през проксито ...
вкарвам
iptables -t nat -A PREROUTING -i eth0 -j REDIRECT --to-port 3128
Но след това целия ptables е чупи и нищо не работи ...
къде бъркам??
| Примерен код |
| (14:53:56)[root@~]$ iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.2 anywhere ACCEPT all -- 192.168.0.3 anywhere ACCEPT all -- 192.168.0.4 anywhere ACCEPT all -- 192.168.0.100 anywhere ACCEPT all -- 192.168.0.101 anywhere ACCEPT all -- 192.168.0.102 anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere (14:55:59)[root@~]$ |
Както виждате рутирам нета на 6 машини ....
има и инсталирано пркси на порт 3128 ... работи ... сега искам да го направя , прозрачно т.е. да задължа целия трафик да минава през проксито ...
вкарвам
iptables -t nat -A PREROUTING -i eth0 -j REDIRECT --to-port 3128
Но след това целия ptables е чупи и нищо не работи ...
къде бъркам??
Титла: transperant proxy и iptables ?? Как ?
Публикувано от: vlad73 в Jan 10, 2005, 15:39
Ами пробвай да пренасочваш към 3128 само web-трафика
мисля, че командата би трябвало да е нещо от типа
iptables -A PREROUTING -t nat -p tcp -dport 80 -i eth0 -s 192.168.0.0/24 -j REDIRECT --to-port 3128
приемам, че eth0 е "вътрешния" ти интерфейс
След това огледай squid.conf - имам спомени, че и там трябваше да се редактира, но не помня на изуст. Разбира се ако ползваш squid
Успех!
мисля, че командата би трябвало да е нещо от типа
iptables -A PREROUTING -t nat -p tcp -dport 80 -i eth0 -s 192.168.0.0/24 -j REDIRECT --to-port 3128
приемам, че eth0 е "вътрешния" ти интерфейс
След това огледай squid.conf - имам спомени, че и там трябваше да се редактира, но не помня на изуст. Разбира се ако ползваш squid
Успех!
Титла: transperant proxy и iptables ?? Как ?
Публикувано от: ntenev в Jan 10, 2005, 16:23
vlad73
sys7em е написал само 6 хоста а тази маска обхваща 254, може би не това иска.
---------
sys7em
това няма особенна функционалност защото означава: "ако е от 192.168.0.2 (и т.н.) го пусни, иначе - пак го пусни (policy ACCEPT)
Поздрави !
| Цитат |
... -i eth0 -s 192.168.0.0/24 ... |
sys7em е написал само 6 хоста а тази маска обхваща 254, може би не това иска.
---------
sys7em
| Цитат |
Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.2 anywhere ACCEPT all -- 192.168.0.3 anywhere ACCEPT all -- 192.168.0.4 anywhere ACCEPT all -- 192.168.0.100 anywhere ACCEPT all -- 192.168.0.101 anywhere ACCEPT all -- 192.168.0.102 anywhere |
това няма особенна функционалност защото означава: "ако е от 192.168.0.2 (и т.н.) го пусни, иначе - пак го пусни (policy ACCEPT)
Поздрави !
Титла: transperant proxy и iptables ?? Как ?
Публикувано от: в Jan 10, 2005, 21:17
vlad73, sys7em и все пак, ако ще го правите така трябва да се сложи препращане и за други портове като например 8080, 808*. Все пак и те се ползват. Може да се добави и udp протокола.:)
Успех,
cipher
Успех,
cipher
Титла: transperant proxy и iptables ?? Как ?
Публикувано от: VladSun в Jan 10, 2005, 23:10
Титла: transperant proxy и iptables ?? Как ?
Публикувано от: Astor в Jan 10, 2005, 23:58
Та аз да питам нещо, малко не ми е ясно, което няма общо с въпроса де ама:
Това не е ли излишно да задаваш -j ACCEPT на всяко IP по итделно при положение че тя политиката ти е ACCEPT?
| Цитат |
Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- 192.168.0.2 anywhere |
Това не е ли излишно да задаваш -j ACCEPT на всяко IP по итделно при положение че тя политиката ти е ACCEPT?
Титла: transperant proxy и iptables ?? Как ?
Публикувано от: в Jan 11, 2005, 18:15
dam sega go vidiah tva ...mahnato e
Титла: transperant proxy и iptables ?? Как ?
Публикувано от: в Jan 11, 2005, 19:24
I. squid.conf
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
II. iptables
INTIF=ethX #вътрешна мрежа
iptables -t nat -A PREROUTING -p tcp -i $INTIF --dport 80 -j REDIRECT --to-port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
II. iptables
INTIF=ethX #вътрешна мрежа
iptables -t nat -A PREROUTING -p tcp -i $INTIF --dport 80 -j REDIRECT --to-port 3128