Re: [OT] Portweiterleitung an transparenten Proxy
Am Donnerstag, 14. Dezember 2006 20:56 schrieb Torsten Geile:
> > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
> > -j REDIRECT --to-port 3128
>
> Auf meinem anderen Rechner heisst das auch so, aber auf dem IPCOP sind
> die CHAINS etwas anders definiert
>
> > wobei in dem Falle Gateway und Firewall ein und der selbe Rechner
> > waren. Du solltest also nur noch Dein "--to-destination" unterbringen
> > müssen und dann sollte es funktionieren
>
> In der Konstellation hab ich es bisher auch immer zum laufen bekommen,
> nur bei der Weiterleitung an einen physikalisch anderen Rechner hapert
> es. Das --to-destination funktioniert nur mit DNAT, nicht mit REDIRECT.
Richtig, das kann so nicht funktionieren, eben nur wenn Proxy und GW auf
derselben Maschine laufen.
Mit iproute2 kannst Du das Szenario umsetzen.
Zuerst werden alle Paket mit Zielport 80 markiert.
iptables -t mangle -A PREROUTING -p tcp -i eth0 --dport 80 -j MARK --set-mark
3
Die markierten Pakete werden an den Proxy geschickt.
ip ro add default via <Proxy-IP> table 102
ip rule add fwmark 3 table 102
Zu guter letzt musst Du noch sicherstellen das alle Pakete vom Proxy auch
durch das GW durchgeschleift werden und nicht wieder zum Proxy gelangen.
iptables -t mangle -A PREROUTING -j ACCEPT -p tcp --dport 80 --source
<Proxy-IP>
Alles klar, so sollte das passen.
--
Mfg,
Michael
Reply to: