Re:iptables a prerouting

[d.petr na post.cz]

> ------------ Původní zpráva ------------
> Od: Petr Cacka <cacka na domica.cz>
> ----------------------------------------
> Potřeboval bych nějak nastavit tuto funkcionalitu přes iptables:
> Na routeru běží squid jako transparentní proxy, na portu 80 poslouchá Apache.
> Mám nastaveno v iptables v PREROUTING přesměrování na port 3128 (=proxy)
>
> IPTABLES -t nat -A PREROUTING -p tcp eth0 --dport 80 -j REDIRECT --to-port 3128
> (1)
>
> Chci ale provádět filtraci uživatelů na základě jejich MAC adresy (wifi síť) a
> neznámé MAC adresy přesměrovat na lokální webserver, kdy by byla stránka s
> informacemi o možnosti připojení.
> Tj. potřebuji v PREROUTINGu přesměrovávat pakety vyhovující pravidlu na squida,
> nevyhovující na webserver. A to je kámen úrazu, nevím jestli jde udělat dvě
> přesměrování v rámci PREROUTINGu.

Snad nebudu uplne placat, ale ja bych asi zkusil v PREROUTING nejdrive vyresit vsechny ostatni, tj. ty, co neprichazeji z eth0 na port tcp 80.
Zbyly by tedy zadosti z eth0 na tcp 80.
Pak bych uvedl ta pravidla s mac (porad primo v PREROUTING; uz neni potreba opisovat eth0 a tcp a port) s presmerovanim na proxy, no a cely zbytek (tj. nezname mac z eth0 na tcp 80) bych presmeroval na apache (jestli je na stejnem PC, tak jen ACCEPT).
Sedim ted na widlich a nemuzu si tu myslenku overit. Takze jestli to nejde (nebo jestli jsem nepochopil zadost), nemlatte me.

Petr