transparentne proxy v LAN a aj na serveri

[Roman Fordinal]

Peter Surda wrote:

> Roman Fordinal wrote:
> 
>>toto vsak nefunguje na localne poziadavky priamo toho stroja (192.168.5.1)
>>to znamena, ze ked sa mi niekto prihlasi na Xserver na 192.168.5.1
>>a pouziva browser, tak packety neprechadzaju pravidlom PREROUTING.
>>vie mi niekto poradit ako mam zariadit aby mi toto fungovalo?
>>  
>>
> Nepouzil si google, lebo ten to zodpovedat vie.
no,... pouzil a myslim ze som mu dal teda dnes poriadne zabrat, pretoze
sa s tym tyram dnes od rana, od 9:00 a ked sa pozriem na hodiny tak by som
uz mal pomaly fakt is spat. takze az po celodennom hladani sa pytam
tuto v konfere.

napisal som si tieto iptables:

# presmerovanie LAN, portu 80, na 3128
iptables -t nat -A PREROUTING -m mark --mark 0 -p tcp --dport 80 -s
192.168.5.0/24 -i eth0 -j LOG --log-prefix "NPRE:RtoPX: "
iptables -t nat -A PREROUTING -m mark --mark 0 -p tcp --dport 80 -s
192.168.5.0/24 -i eth0 -j REDIRECT --to-port 3128

# markovanie packetov vstupujucich do proxy
iptables -t mangle -A INPUT -p tcp --dport 3128 -j LOG --log-prefix
"MIN:PXin: "
iptables -t mangle -A INPUT -p tcp --dport 3128 -j MARK --set-mark 1

takze ked ktokolvek na mojej LAN  (192.168.5.*) browsuje, tak ide cez
proxy. krasa.

lenze... pokial sa clovek connectne na xserver na 192.168.5.1 a browsuje...
packety proste nechodia cez "-t nat  -A PREROUTING" co je logicke...
lenze ja potrebujem presmerovavat nemarkovane packety z portu 80
na port 3128


> Treba pouzit napriklad 
> kombinaciu OUTPUT a owner matchu. Nie som si vsak 100% isty, ze lokalny
> redirect funguje.
to proste nejako musi ist.
naucil som sa ze v linuxe plati otazka "ako?" a nie "da sa to?"

> Owner match mozes pouzit aj bez toho a pristup 
> obmedzit na uzivatela squid, potom si proxy lokalne treba nastavit
> manualne, ale aspon sa to uz neda obist.