Re: Transparent proxy con squid...
2009/10/17 Andrea Giuliano <sarkiaponius@alice.it>:
> Salve,
>
> sto cercando di realizzare un transparent proxy per bloccare l'accesso a
> determinati siti web. Ho usato squidGuard e squid come da Debian Lenny,
> e il tutto sembra funzionare se configuro il network proxy di Gnome a
> localhost:3128.
>
> Il fatto è che questa è una configurazione scelta dal singolo utente,
> mentre io vorrei girare qualsiasi richiesta web in questo modo, senza
> lasciare agli utenti la scelta. Ho usato la seguente regola iptables:
>
> # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport www -j REDIRECT
> --to-port 3128
>
> che sembra plausibile, ma non ridirige un bel niente: la navigazione web
> non è minimamente bloccata e uno va dove vuole.
>
> Ribadisco che la configurazione di squi e squidGuard è corretta, perché
> se imposto il proxy come sopra i siti nelle blacklist sono
> effettivamente bloccati.
>
> Sto usando il kernel 2.6.31.3, opportunamente modificato, ma penso di
> aver compilato tutto il supporto netfilter. E infatti iptables non da
> mai errori, e altre regole che ho provato fanno quello che gli si chiede
> di fare. Solo quella di redirect non ha alcun effetto.
>
> Altra cosa da considerare è che squid sta sulla stessa macchina che deve
> accedere al web. Per questo non ho pensato al DNAT, ma al REDIRECT.
>
> Non capisco dove sbaglio. La regola sopra è citatissima. e tutti dicono
> che è l'unica cosa che serve a questo scopo (se squid è configurato
> bene).
Controlla due cose:
1) In squid la riga http_port è stata configurata correttamente per
permettere le connessioni proxy trasparente:
http_port 3128 transparent
2) Hai bloccato il forward verso la porta 80?
iptables -A FORWARD -i eth0 -p tcp --dport 80 -j DROP
--
Dario Pilori
-Linux registered user #406515
Reply to: