Re: Comment restreindre les flux réseau via un proxy ?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Sylvain Sauvage wrote:
> David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
> ’soir,
Bonsoir,
[...]
> Ça s’appelle un proxy transparent.
> Il suffit de rediriger tout ce qui doit passer par le 80 vers
> le proxy. :
>
> iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port 3128
Tu peux omettre --syn vu que la table nat ne vois passer que les paquets
créant __les nouvelles connexions__.
> Sauf que là, ça ne marchera pas : en général, un proxy
> transparent n’est pas sur la machine d’où sont issues les
> requêtes. Or les requêtes locales ne passent pas par PREROUTING,
> seulement par OUTPUT. Donc :
>
> iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT
> iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080
Et la je pencherais pour le tout dans la même règle.
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody
- -j REDIRECT --to-port 8080
vu que le ACCEPT, je pense, à plus sa place dans la table filter.
- --
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkhW0SsACgkQxJBTTnXAif4TlQCcDjZdlMnRcih3XbeHcZ3U07Tw
IfEAn1arrXlaT0pKsql8kqIeGGp9pIQG
=mpz6
-----END PGP SIGNATURE-----
Reply to: