Re: [OT] Portweiterleitung an transparenten Proxy

To: debian-user-german@lists.debian.org
Subject: Re: [OT] Portweiterleitung an transparenten Proxy
From: Torsten Geile <zuhause@tippex.net>
Date: Fri, 15 Dec 2006 11:04:10 +0100
Message-id: <[🔎] 4582731A.9030709@tippex.net>
In-reply-to: <[🔎] 200612142110.55227.Meinerseins@worldonline.de>
References: <[🔎] 45818B41.5040409@oekonet-bremen.de> <[🔎] 20061214193536.GA5357@localdomain> <[🔎] 4581AC84.9060905@tippex.net> <[🔎] 200612142110.55227.Meinerseins@worldonline.de>

Micha Beyer wrote:

Am Donnerstag, 14. Dezember 2006 20:56 schrieb Torsten Geile:
Richtig, das kann so nicht funktionieren, eben nur wenn Proxy und GW aufderselben Maschine laufen.
Mit iproute2 kannst Du das Szenario umsetzen.

Zuerst werden alle Paket mit Zielport 80 markiert.
iptables -t mangle -A PREROUTING -p tcp -i eth0 --dport 80 -j MARK --set-mark3
Die markierten Pakete werden an den Proxy geschickt.

ip ro add default via <Proxy-IP> table 102
ip rule add fwmark 3 table 102
Zu guter letzt musst Du noch sicherstellen das alle Pakete vom Proxy auchdurch das GW durchgeschleift werden und nicht wieder zum Proxy gelangen.
iptables -t mangle -A PREROUTING -j ACCEPT -p tcp --dport 80 --source<Proxy-IP>
Alles klar, so sollte das passen.


Danke für den Tipp, aber leider funktioniert es so bei mir nicht.

Iptables -t mangle -L spuckt dies aus

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
PORTFWMANGLE  all  --  anywhere             anywhere

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain PORTFWMANGLE (1 references)
target     prot opt source               destination

MARK tcp -- 192.168.2.0/24dynadsl-080-228-205-211.ewetel.net tcp dpt:https MARK set 0x1MARK tcp -- 192.168.2.0/24dynadsl-080-228-205-211.ewetel.net tcp dpt:oms MARK set 0x1MARK udp -- 192.168.2.0/24dynadsl-080-228-205-211.ewetel.net udp dpt:rfa MARK set 0x1MARK udp -- 192.168.2.0/24dynadsl-080-228-205-211.ewetel.net udp dpts:ndmp:dnp MARK set 0x1

Daher habe ich die rules in die chain PORTWFMANGLE geschrieben. DenDansguardian habe ich auf Port 80 umkonfiguriert.



Mein Browser am Client meldet mir dann "Looking up www.xxxxx.de"
Am Proxy kommt nichts an, jedenfalls laut /var/log/dansguardian/access.log
TCPDUMP auf dem Proxy meldet auch keinen Verkehr auf Port 80.

Tippe ich die rules in die PREROUTING chain, dann verschwindet auch diessh connection zum Router.


Gruß, Torsten

Reply to:

References:
- [OT] Portweiterleitung an transparenten Proxy
  - From: Torsten Geile <geile@oekonet-bremen.de>
- Re: [OT] Portweiterleitung an transparenten Proxy
  - From: Torsten Flammiger <flammiger@web.de>
- Re: [OT] Portweiterleitung an transparenten Proxy
  - From: Torsten Geile <zuhause@tippex.net>
- Re: [OT] Portweiterleitung an transparenten Proxy
  - From: Micha Beyer <Meinerseins@worldonline.de>

Prev by Date: GtvTcqe5DE
Next by Date: Re: Nagios auf Logdateien
Previous by thread: Re: [OT] Portweiterleitung an transparenten Proxy
Next by thread: j2re1.5-sun unter Iceweasel/Etch
Index(es):
- Date
- Thread