Re: Comment restreindre les flux réseau via un proxy ?
Merci. J'étudie ça... à tête reposée ;-)
David.
Le Mon, 16 Jun 2008 21:44:11 +0200,
Sylvain Sauvage <Sylvain.Sauvage@metanoesis.net> a écrit :
> David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
> >
> > Bonjour,
>
> ’soir,
>
> > Pour faire certains tests, j'aimerais restreindre tous mes
> > flux réseau par un intermédiaire unique, en l'occurrence
> > Tinyproxy. Maintenant, si vous avez une autre idée similaire,
> > je serais aussi preneur ;-)
> >
> > Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
> > j'installe Tinyproxy, logiquement, seules les applications
> > prévues pour utiliser un proxy et configurées pour le faire
> > devraient passer par lui.
> >
> > Savez-vous s'il serait possible de TOUT faire passer par cet
> > unique intermédiaire ?
>
> Ça s’appelle un proxy transparent.
> Il suffit de rediriger tout ce qui doit passer par le 80 vers
> le proxy. :
>
> iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT
> --to-port 3128
>
> Sauf que là, ça ne marchera pas : en général, un proxy
> transparent n’est pas sur la machine d’où sont issues les
> requêtes. Or les requêtes locales ne passent pas par PREROUTING,
> seulement par OUTPUT. Donc :
>
> iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner
> nobody -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j
> REDIRECT --to-port 8080
>
> La seconde règle fait la redirection de tout ce qui sort.
> La première règle permet de faire passer les requêtes qui
> viennent des applications lancées par nobody (ce qui était le
> cas de tinyproxy), sinon, elles tourneraient en rond (tinyproxy
> doit pouvoir sortir, lui). man iptables
Reply to: