transparent proxy na inom pc
Jan Houstek
Jan.Houstek na mff.cuni.cz
Pátek Leden 13 13:49:52 CET 2006
On Thu, 12 Jan 2006, noro wrote:
> chcel by som sa spytat ako sa da zariadit na pc ktory je gw pre danu
> siet aby vsetka komunikacia na port 80 isla na iny stroj v tej istej
> natovanej sieti na iny squid ktory by mal byt transparentny pre danu siet.
> ja som sa pokusal o nieco taketo
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> - --to-port 3128
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j DNAT --to
> 192.168.0.44:3128
> iptables -A FORWARD -d 192.168.0.44 -p tcp --dport 3128 -o eth1 -j ACCEPT
>
> na gw tiez bezi squid ako transparentny ale chcel by som ho prsunut na
> ten druhy server da sa vobec nieco take ?
Aby dobre fungoval transparentni proxy, musi mit nejaky spolehlivy zpusob,
jak zjistit cilovou adresu. (U HTTP/1.1 to sice neni az tak nutne diky
hlavicce Host:, ale ne vzdy to staci.) Pokud to na ten proxy poslete
pomoci DNATu, tak tuto informaci nenavratne zlikvidujete.
Spravnym zpusobem je to presmerovani zaridit upravou routovani a nesahanim
na cilovou adresu (napr. pakety si oznackovat v iptables a pak na zaklade
tech znacek routovat -- viz http://lartc.org).
Je to urcite popsane i v drtive vetsine howto ke squidu.
-- Honza Houstek
Další informace o konferenci Linux