transparentne proxy v LAN a aj na serveri
Slavek Banko
slavek.banko na axis.cz
Neděle Leden 9 23:59:48 CET 2005
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
S tím spánkem je to možná na místě, když jste se nechytil ani na jasnou
nahrávku s "OUTPUT" a "owner". :-)
Doplňte tedy do tabulky nat:
- -A OUTPUT -o ! lo -p tcp -m tcp --dport 80 -m owner ! --uid-owner proxy -j
REDIRECT --to-ports 3128
kde 'proxy' nahraďte jménem uživatele, pod kterým vám squid běží.
Slávek.
Dne ne 9. leden 2005 23:29 Roman Fordinal napsal(a):
> Peter Surda wrote:
> > Roman Fordinal wrote:
> >>toto vsak nefunguje na localne poziadavky priamo toho stroja
> >> (192.168.5.1) to znamena, ze ked sa mi niekto prihlasi na Xserver na
> >> 192.168.5.1 a pouziva browser, tak packety neprechadzaju pravidlom
> >> PREROUTING. vie mi niekto poradit ako mam zariadit aby mi toto
> >> fungovalo?
> >
> > Nepouzil si google, lebo ten to zodpovedat vie.
>
> no,... pouzil a myslim ze som mu dal teda dnes poriadne zabrat, pretoze
> sa s tym tyram dnes od rana, od 9:00 a ked sa pozriem na hodiny tak by
> som uz mal pomaly fakt is spat. takze az po celodennom hladani sa pytam
> tuto v konfere.
>
> napisal som si tieto iptables:
>
> # presmerovanie LAN, portu 80, na 3128
> iptables -t nat -A PREROUTING -m mark --mark 0 -p tcp --dport 80 -s
> 192.168.5.0/24 -i eth0 -j LOG --log-prefix "NPRE:RtoPX: "
> iptables -t nat -A PREROUTING -m mark --mark 0 -p tcp --dport 80 -s
> 192.168.5.0/24 -i eth0 -j REDIRECT --to-port 3128
>
> # markovanie packetov vstupujucich do proxy
> iptables -t mangle -A INPUT -p tcp --dport 3128 -j LOG --log-prefix
> "MIN:PXin: "
> iptables -t mangle -A INPUT -p tcp --dport 3128 -j MARK --set-mark 1
>
> takze ked ktokolvek na mojej LAN (192.168.5.*) browsuje, tak ide cez
> proxy. krasa.
>
> lenze... pokial sa clovek connectne na xserver na 192.168.5.1 a
> browsuje... packety proste nechodia cez "-t nat -A PREROUTING" co je
> logicke... lenze ja potrebujem presmerovavat nemarkovane packety z
> portu 80 na port 3128
>
> > Treba pouzit napriklad
> > kombinaciu OUTPUT a owner matchu. Nie som si vsak 100% isty, ze
> > lokalny redirect funguje.
>
> to proste nejako musi ist.
> naucil som sa ze v linuxe plati otazka "ako?" a nie "da sa to?"
>
> > Owner match mozes pouzit aj bez toho a pristup
> > obmedzit na uzivatela squid, potom si proxy lokalne treba nastavit
> > manualne, ale aspon sa to uz neda obist.
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQFB4bdnBqd9Bu0fSIQRApPSAKChaevhoroov+dv8PCw6d2bF+RvfwCcC/Bm
/ocW7WxFq4xYyHfMSLB1L8s=
=fjfR
-----END PGP SIGNATURE-----
Další informace o konferenci Linux