From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <hmepas@yauza.ru>
Message-ID: <42B87A7F.8010008@yauza.ru>
Date: Wed, 22 Jun 2005 00:37:19 +0400
From: "Pavel S. Khmelinsky" <hmepas@yauza.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.6) Gecko/20050328
X-Accept-Language: ru, en-us, en
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] =?windows-1251?Q?=C7=E0=E2=E5=F0=ED=F3=F2=FC_=F2=F0?=
	=?windows-1251?Q?=E0=F4=E8=EA_=ED=E0_=EF=F0=EE=EA=F1=E8?=
References: <60271297.20050620134100@toltc.samen.elektra.ru>
In-Reply-To: <60271297.20050620134100@toltc.samen.elektra.ru>
Content-Type: text/plain; charset=windows-1251; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Tue, 21 Jun 2005 20:37:21 -0000
Archived-At: <http://lore.altlinux.org/community/42B87A7F.8010008@yauza.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>



Кочетков Владимир wrote:
> Здравствуйте, community !
> 
> Ситуация такая. Есть шлюз в мою сеть, доступ в инет вся сетка получает
> через прокси, установленный на нем. Прокси ходит через выделенный
> виртуальный интерфейс. Сам прокси прозрачный, трафик на него
> заворичивается в PREROUTING iptables.
> Например:
> -A PREROUTING -s 192.168.1.39 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
> 
> Повторюсь, доступ в инет только через прокси. Или, если точнее, только
> от ip адреса, заданного виртуальному интерфейсу, через который ходит
> прокси.
> 
> Не могу придумать как завернуть трафик самого шлюза на прохождение
> через прокси. Речь сейчас идет только об обновлении clamav.
> Логичным представляется добавление аналогичного правила заворота в
> цепочку OUTPUT, но по какому признаку отделить трафик clamav от
> трафика самого прокси ?

Т.е. у Вас есть какой-то хитрый прокси, который сам в интрнет попадает, но на 
столько не стандартными средствами что никто кроме этого проски в инет ходить не 
умеет на прямую? Проблема на лицо, она же и решение. ;)

Не нужно отделять трафик кламава от прокси. Нужно ВЫДЯЛЕТЬ трафик прокси от 
всего остального. Т.е. в таблице OUTPUT делаете серии правил следующего смысла
все что прокси -j ACCEPT
все что не проски -j ЗАВОРАЧИВАЕМ НА ПРОСКИ

В Вашем случае прокси -- это, скорее всего, два в одном прокси+демон тунеля, а 
значит уже "запроксированный" трафик выглядит совершенно определенным образом, 
например идет на строго определенный адрес (или набор адресов), если это не так, 
и Ваш прокси ходит в интернет стандартными средствами я не вижу причин почему 
прочие программы Вашего сервера не могут делать тоже самое.


-- 
Pavel S. Khmelinsky <hmepas@yauza.ru>
System Administrator,
ISP Yauza Telecom
http://www.yauza.ru