Transparenter Proxy mit Squid, IPTables-Rule
Hallo, ich möchte meinen Squid gerne als transparenter Proxy arbeiten lassen. So habe ich folgende Regel iptables -t nat -A PREROUTING -i eth0 -p tcp --dport http -j REDIRECT --to-port 3128 in meiner Firewall eingefügt. (An eth0 hängt mein LAN.) Hm, bloss Surfen geht dann nicht mehr, in meinem Opera kommt dann ständig die Meldung "Adress not found.", da ich natürlich auch den Proxy abgeschaltet habe. Kann mir jemand seine/ihre funktionierende regler posten? Greetz, Tom -- Preissler Thomas Registered Linux User #265745 GPG-Key: 1024D/C21DAB7F http://counter.li.org/
At 01:44 02.07.2002 +0200, Thomas Preissler wrote:
Hallo,
ich möchte meinen Squid gerne als transparenter Proxy arbeiten lassen. So habe ich folgende Regel
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport http -j REDIRECT --to-port 3128
in meiner Firewall eingefügt. (An eth0 hängt mein LAN.)
Hm, bloss Surfen geht dann nicht mehr, in meinem Opera kommt dann ständig die Meldung "Adress not found.", da ich natürlich auch den Proxy abgeschaltet habe.
Hallo Thomas, für einen transperenten Proxy sind in der /etc/squid.conf die Zeilen # notwendige Änderungen für Squid als transparenten Proxy httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Bei mir habe ich die folgenden rules gesetzt iptables -t nat -A PREROUTING -i etho -p tcp --dport http -j DNAT --to 192.168.10.1:3128 iptables -t nat -A PREROUTING -i etho -p tcp --dport https -j DNAT --to 192.168.10.1:3128 Wenn deine default Regeln auf DROP stehen solltest Du die noch die folgenden rules setzten iptables -A OUTPUT -j ACCEPT -o ippp0 -p tcp --dport http --sport 1024:65535 -m state --state NEW,ESTABLISHED iptables -A INPUT -j ACCEPT -i ippp0 -p tcp --sport http --dport 1024:65535 -m state --state ESTABLISHED iptables -A OUTPUT -j ACCEPT -o ippp0 -p tcp --dport https --sport 1024:65535 -m state --state NEW,ESTABLISHED iptables -A INPUT -j ACCEPT -i ippp0 -p tcp --sport https --dport 1024:65535 -m state --state ESTABLISHED Gruß Jörg
Hi Thomas, das interessiert mich auch. Benutze ebenfalls Squid mit drunter liegender Firewall, bin aber im Moment noch nicht glücklich mit meiner jetzigen Lösung. Was genau bedeutet "Transparenter Proxy"? Bedeutet das er nicht nur http Request entgegennimmt sondern auch andere Anfragen die er dann weiterleitet? Kennst du eine gute Doku wo die verschiedenen Betriebsmodi erklärt werden. Ich suche einen Mechanismus bei dem ich alle Anfragen aus dem LAN in's Internet (egal welcher Port) über den Proxy laufen lassen kann. Gruß Fido
Am Die, 2002-07-02 um 20.50 schrieb Fido:
das interessiert mich auch. Benutze ebenfalls Squid mit drunter liegender Firewall, bin aber im Moment noch nicht glücklich mit meiner jetzigen Lösung. Was genau bedeutet "Transparenter Proxy"? Bedeutet das er nicht nur http Request entgegennimmt sondern auch andere Anfragen die er dann weiterleitet?
Ein transparenter Proxy ist für angeschlossene Clients komplett "unsichtbar". Bei einem "normalen" Proxy muss jeder Client diesen in den Browser- / FTP-Einstellungen angeben. Bei einem transparenten Proxy wird einfach jede Anfrage auf Port 80 in das Internet "heimlich" zum Proxy umgeleitet. Sowas spart natürlich Konfigurationsaufwand. Ausserdem kann man damit die Clients zwingen den Proxy zu benutzen. [...]
Ich suche einen Mechanismus bei dem ich alle Anfragen aus dem LAN in's Internet (egal welcher Port) über den Proxy laufen lassen kann.
Verschiedene Dienste benötigen verschiedene Proxies. HTTP-Proxies können meistens auch FTP-Anfragen verarbeiten. In der Regel muss aber für alle anderen Dienste (IRC, News usw.) ein eigener Proxy eingerichtet werden. Ein einzelner Proxy der alle diese Dienste beherrscht ist mir persönlich unbekannt (was aber nichts heissen will ;) -- Matthias Hentges [www.hentges.net] "Thats what sucks about windows, you can't say that you rooted some one. Saying "I ADMINISTRATORED YOU!" just doesnt sound cool."
On Tue, 2 Jul 2002 20:50:39 +0200
"Fido"
Hi Thomas,
das interessiert mich auch. Benutze ebenfalls Squid mit drunter liegender Firewall, bin aber im Moment noch nicht glücklich mit meiner jetzigen Lösung. Was genau bedeutet "Transparenter Proxy"? Transparent bedeutet, dass die Nutzer nicht explizit einen Proxy im Browser einstellen müssen, sondern dass alle Webanfragen automatisch an einen Proxy weitergeleitet werden. Vorteil: Die Nutzer können diesen Schutz nicht umgehen und man braucht nicht alle Clienten per Hand einzsutellen. Squid kann das für das HTTP-Protokoll. Für FTP gibts es frox, hab ich aber selbst noch nicht probiert.
Gruss Lars
participants (5)
-
Fido -
Joerg Frings-Fuerst -
Lars Mucha -
Matthias Hentges -
Thomas Preissler