* [Sysadmins] прозрачный прокси для себя самого
@ 2007-06-03 15:47 Artem Zolochevskiy
2007-06-03 19:29 ` Maxim Tyurin
2007-06-06 13:58 ` Вадим Илларионов
0 siblings, 2 replies; 15+ messages in thread
From: Artem Zolochevskiy @ 2007-06-03 15:47 UTC (permalink / raw)
To: sysadmins
hi all
Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде
прокси руками.
Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
а вот теперь на самой машинке, которая и является шлюзом хочется тоже
прозрачно проксировать. Это возможно?
я совершенно не спец в netfilter, но делаю вывод, что это невозможно.
вот ход рассуждений:
так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю
проходение пакетов "От локальных процессов". Единственное место где можно
сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t nat -A
OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно, что этим
рубится и squid траф, видимо надо делать как советовалми через uid) Но даже
так в итоге на squid приходит запрос с моего внешнего IP и соответсвенно
Access Denied. А т.у у меня pppoe и динамический IP то настроить должным
образом squid тоже не получится :(
вывод - при динамическом внешнем IP настроить прозрачный прокси для
приложений на шлюзе не получится (ну по крайней мере не предприняв совсем
нежелательных действий по разрешению доступа в squid.conf для всех
возможных адресов из динамически мне раздаваемых)
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-03 15:47 [Sysadmins] прозрачный прокси для себя самого Artem Zolochevskiy
@ 2007-06-03 19:29 ` Maxim Tyurin
2007-06-03 21:51 ` Artem Zolochevskiy
2007-06-06 13:58 ` Вадим Илларионов
1 sibling, 1 reply; 15+ messages in thread
From: Maxim Tyurin @ 2007-06-03 19:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1227 bytes --]
Artem Zolochevskiy пишет:
> hi all
>
> Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде
> прокси руками.
> Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе
> # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
>
> а вот теперь на самой машинке, которая и является шлюзом хочется тоже
> прозрачно проксировать. Это возможно?
>
> я совершенно не спец в netfilter, но делаю вывод, что это невозможно.
> вот ход рассуждений:
> так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю
> проходение пакетов "От локальных процессов". Единственное место где можно
> сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t nat -A
> OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно, что этим
> рубится и squid траф, видимо надо делать как советовалми через uid) Но даже
> так в итоге на squid приходит запрос с моего внешнего IP и соответсвенно
> Access Denied. А т.у у меня pppoe и динамический IP то настроить должным
> образом squid тоже не получится :(
Получится. Только включи еще в правило критерий --uid-owner
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-03 19:29 ` Maxim Tyurin
@ 2007-06-03 21:51 ` Artem Zolochevskiy
2007-06-04 5:09 ` Шенцев Алексей Владимирович
0 siblings, 1 reply; 15+ messages in thread
From: Artem Zolochevskiy @ 2007-06-03 21:51 UTC (permalink / raw)
To: sysadmins
Maxim Tyurin wrote:
> Artem Zolochevskiy пишет:
>> hi all
>>
>> Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде
>> прокси руками.
>> Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе
>> # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port
>> # 3128
>>
>> а вот теперь на самой машинке, которая и является шлюзом хочется тоже
>> прозрачно проксировать. Это возможно?
>>
>> я совершенно не спец в netfilter, но делаю вывод, что это невозможно.
>> вот ход рассуждений:
>> так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю
>> проходение пакетов "От локальных процессов". Единственное место где
>> можно сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t
>> nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно,
>> что этим рубится и squid траф, видимо надо делать как советовалми через
>> uid) Но даже так в итоге на squid приходит запрос с моего внешнего IP и
>> соответсвенно Access Denied. А т.у у меня pppoe и динамический IP то
>> настроить должным образом squid тоже не получится :(
>
> Получится. Только включи еще в правило критерий --uid-owner
>
Максим, тут скорее проблема не в --uid-owner, а в том что на squid приходит
запрос с моего внешнего IP. Мысль с --uid-owner понятна. Но работать так не
будет (без правки доступа к squid с внешнего IP, что затруднительно по
причине его динамичности ).
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-03 21:51 ` Artem Zolochevskiy
@ 2007-06-04 5:09 ` Шенцев Алексей Владимирович
2007-06-04 20:09 ` Olvin
0 siblings, 1 reply; 15+ messages in thread
From: Шенцев Алексей Владимирович @ 2007-06-04 5:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Monday 04 June 2007 01:51:16 Artem Zolochevskiy написал(а):
> Максим, тут скорее проблема не в --uid-owner, а в том что на squid приходит
> запрос с моего внешнего IP. Мысль с --uid-owner понятна. Но работать так не
> будет (без правки доступа к squid с внешнего IP, что затруднительно по
> причине его динамичности ).
А если завернуть трафик на 127.0.0.1 ?
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-04 5:09 ` Шенцев Алексей Владимирович
@ 2007-06-04 20:09 ` Olvin
0 siblings, 0 replies; 15+ messages in thread
From: Olvin @ 2007-06-04 20:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Шенцев Алексей Владимирович пишет:
> В сообщении от Monday 04 June 2007 01:51:16 Artem Zolochevskiy написал(а):
>> Максим, тут скорее проблема не в --uid-owner, а в том что на squid приходит
>> запрос с моего внешнего IP. Мысль с --uid-owner понятна. Но работать так не
>> будет (без правки доступа к squid с внешнего IP, что затруднительно по
>> причине его динамичности ).
> А если завернуть трафик на 127.0.0.1 ?
Трафик уже завёрнут на врешний интерфейс (решение о маршрутизации в
самом начале срабатывает) и его адрес - это SRC пакета. В прозрачной
переадресации по uid мы меняем DST. Допустим, мы в NAT поменяем и SRC по
критерию uid (через mangle, а потом через nat), но трафик, получается,
будет идти с внешнего интерфейса, а адреса будут внутренние, как для
loopback-интерфейса. Не знаю, как у кого, но у меня такие марсиане
режутся сразу.
Впрочем, если кому-то такое будет нужно... Но он при этом ССЗБ :)
Вообще, в линуксе не мешало бы дублировать точку решения о маршрутизации
для локальных процессов или вообще эту точку перенести. Но последнее
чревато урезанием возможностей netfilter в отношении локально
сгенерированных пакетов...
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-03 15:47 [Sysadmins] прозрачный прокси для себя самого Artem Zolochevskiy
2007-06-03 19:29 ` Maxim Tyurin
@ 2007-06-06 13:58 ` Вадим Илларионов
2007-06-06 19:42 ` Artem Zolochevskiy
1 sibling, 1 reply; 15+ messages in thread
From: Вадим Илларионов @ 2007-06-06 13:58 UTC (permalink / raw)
To: sysadmins
От Artem Zolochevskiy поступило следующее:
> hi all
>
> Господа, вопрос уже скорее "из интереса". Ибо замучился и пропивал везде
> прокси руками.
> Как сделать прозрачный прокси понятно, что-то вроде этого на шлюзе
> # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
Пока верно.
> а вот теперь на самой машинке, которая и является шлюзом хочется тоже
> прозрачно проксировать. Это возможно?
Легко.
> я совершенно не спец в netfilter, но делаю вывод, что это невозможно.
Вывод неверен.
> вот ход рассуждений:
> так как я свой собственный браузер подрихтовать хочу соответсвенно смотрю
> проходение пакетов "От локальных процессов". Единственное место где можно
> сделать REDIRECT - это -t nat OUTPUT. Делаю к примеру iptables -t nat -A
> OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128. (да понятно, что этим
> рубится и squid траф, видимо надо делать как советовалми через uid) Но даже
> так в итоге на squid приходит запрос с моего внешнего IP и соответсвенно
> Access Denied. А т.у у меня pppoe и динамический IP то настроить должным
> образом squid тоже не получится :(
>
> вывод - при динамическом внешнем IP настроить прозрачный прокси для
> приложений на шлюзе не получится (ну по крайней мере не предприняв совсем
> нежелательных действий по разрешению доступа в squid.conf для всех
> возможных адресов из динамически мне раздаваемых)
Для начала - обеспечить прозрачность самомУ сквиду (РТФМ).
Для кончала - заворот на сквид даже при запросах от локалхоста.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-06 13:58 ` Вадим Илларионов
@ 2007-06-06 19:42 ` Artem Zolochevskiy
2007-06-10 9:50 ` Вадим Илларионов
0 siblings, 1 reply; 15+ messages in thread
From: Artem Zolochevskiy @ 2007-06-06 19:42 UTC (permalink / raw)
To: sysadmins
Вадим Илларионов wrote:
> Для кончала - заворот на сквид даже при запросах от локалхоста.
А вот здесь пож. подробнее. Если с примером - будет просто отлично!
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-06 19:42 ` Artem Zolochevskiy
@ 2007-06-10 9:50 ` Вадим Илларионов
2007-06-10 12:09 ` Artem Zolochevskiy
0 siblings, 1 reply; 15+ messages in thread
From: Вадим Илларионов @ 2007-06-10 9:50 UTC (permalink / raw)
To: sysadmins
От Artem Zolochevskiy поступило следующее:
>> Для кончала - заворот на сквид даже при запросах от локалхоста.
> А вот здесь пож. подробнее. Если с примером - будет просто отлично!
В фаерволле что-нить типа этого:
iptables -t nat -A PREROUTING -p tcp -i lo -d ! localhost --dport www \
-j REDIRECT --to-port squid
У сквида же правила допуска локалхоста к самому себе настроены в умолчальной
конфигурации.
Правда, сознАюсь - на себе не проверял.
Попробуйте. "А вдруг получится!" (ц) попугай из сказок Э.Успенского.
________________________
С уважением,
Вадим Илларионов
системный администратор
Усолье-Сибирский почтамт
JID: см. <mailto:>
UIN: 7899517
Телефоны:
Мобильный +7 904 658-4154
Рабочий +7 39543 444-00
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-10 9:50 ` Вадим Илларионов
@ 2007-06-10 12:09 ` Artem Zolochevskiy
2007-06-11 7:32 ` Maxim Britov
0 siblings, 1 reply; 15+ messages in thread
From: Artem Zolochevskiy @ 2007-06-10 12:09 UTC (permalink / raw)
To: sysadmins
Вадим Илларионов wrote:
> iptables -t nat -A PREROUTING -p tcp -i lo -d ! localhost --dport www \
> -j REDIRECT --to-port squid
Если не ошибаюсь, PREROUTING НЕ фигурирует при прохождении пакетов от
локальных процессов
Так, что ... решения похоже нет.
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-10 12:09 ` Artem Zolochevskiy
@ 2007-06-11 7:32 ` Maxim Britov
2007-06-11 7:40 ` Artem Zolochevskiy
0 siblings, 1 reply; 15+ messages in thread
From: Maxim Britov @ 2007-06-11 7:32 UTC (permalink / raw)
To: sysadmins
On Sun, 10 Jun 2007 15:09:58 +0300
Artem Zolochevskiy wrote:
> Вадим Илларионов wrote:
>
> > iptables -t nat -A PREROUTING -p tcp -i lo -d ! localhost --dport www \
> > -j REDIRECT --to-port squid
>
> Если не ошибаюсь, PREROUTING НЕ фигурирует при прохождении пакетов от
> локальных процессов
>
> Так, что ... решения похоже нет.
>
-t nat -A OUTPUT
--
Maxim Britov
Modum.by (http://www.modum.by), system administrator
GnuPG KeyID 0x4580A6D66F3DB1FB xmpp:maxim@modum.by
GnuPG-ru Team (http://lists.gnupg.org/mailman/listinfo/gnupg-ru)
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-11 7:32 ` Maxim Britov
@ 2007-06-11 7:40 ` Artem Zolochevskiy
2007-06-11 9:03 ` Maxim Britov
0 siblings, 1 reply; 15+ messages in thread
From: Artem Zolochevskiy @ 2007-06-11 7:40 UTC (permalink / raw)
To: sysadmins
Maxim Britov wrote:
> On Sun, 10 Jun 2007 15:09:58 +0300
> Artem Zolochevskiy wrote:
>
>> Вадим Илларионов wrote:
>>
>> > iptables -t nat -A PREROUTING -p tcp -i lo -d ! localhost --dport www \
>> > -j REDIRECT --to-port squid
>>
>> Если не ошибаюсь, PREROUTING НЕ фигурирует при прохождении пакетов от
>> локальных процессов
>>
>> Так, что ... решения похоже нет.
>>
>
> -t nat -A OUTPUT
>
Смотрите выше изначальное сообщение. В этом случае запросы на squid приходят
с _внешнего_ ip, который ещё и _динамический_.
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-11 7:40 ` Artem Zolochevskiy
@ 2007-06-11 9:03 ` Maxim Britov
2007-06-11 11:36 ` Artem Zolochevskiy
0 siblings, 1 reply; 15+ messages in thread
From: Maxim Britov @ 2007-06-11 9:03 UTC (permalink / raw)
To: sysadmins
On Mon, 11 Jun 2007 10:40:38 +0300
Artem Zolochevskiy wrote:
> Maxim Britov wrote:
>
> > On Sun, 10 Jun 2007 15:09:58 +0300
> > Artem Zolochevskiy wrote:
> >
> >> Вадим Илларионов wrote:
> >>
> >> > iptables -t nat -A PREROUTING -p tcp -i lo -d ! localhost --dport www \
> >> > -j REDIRECT --to-port squid
> >>
> >> Если не ошибаюсь, PREROUTING НЕ фигурирует при прохождении пакетов от
> >> локальных процессов
> >>
> >> Так, что ... решения похоже нет.
> >>
> >
> > -t nat -A OUTPUT
> >
>
> Смотрите выше изначальное сообщение. В этом случае запросы на squid приходят
> с _внешнего_ ip, который ещё и _динамический_.
>
а что-то вроде такого извращения? :)
-t nat -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-t nat -A POSTROUTING -o lo -p tcp -m tcp --dport 3128 -j SNAT --to-source 127.0.0.1
--
Maxim Britov
Modum.by (http://www.modum.by), system administrator
GnuPG KeyID 0x4580A6D66F3DB1FB xmpp:maxim@modum.by
GnuPG-ru Team (http://lists.gnupg.org/mailman/listinfo/gnupg-ru)
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Sysadmins] прозрачный прокси для себя самого
2007-06-11 9:03 ` Maxim Britov
@ 2007-06-11 11:36 ` Artem Zolochevskiy
2007-06-11 18:56 ` Vitaly Lipatov
0 siblings, 1 reply; 15+ messages in thread
From: Artem Zolochevskiy @ 2007-06-11 11:36 UTC (permalink / raw)
To: sysadmins
Maxim Britov wrote:
> On Mon, 11 Jun 2007 10:40:38 +0300
> Artem Zolochevskiy wrote:
>
>> Maxim Britov wrote:
>>
>> > On Sun, 10 Jun 2007 15:09:58 +0300
>> > Artem Zolochevskiy wrote:
>> >
>> >> Вадим Илларионов wrote:
>> >>
>> >> > iptables -t nat -A PREROUTING -p tcp -i lo -d ! localhost --dport
>> >> > www \ -j REDIRECT --to-port squid
>> >>
>> >> Если не ошибаюсь, PREROUTING НЕ фигурирует при прохождении пакетов от
>> >> локальных процессов
>> >>
>> >> Так, что ... решения похоже нет.
>> >>
>> >
>> > -t nat -A OUTPUT
>> >
>>
>> Смотрите выше изначальное сообщение. В этом случае запросы на squid
>> приходят с _внешнего_ ip, который ещё и _динамический_.
>>
>
> а что-то вроде такого извращения? :)
>
> -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
> -t nat -A POSTROUTING -o lo -p tcp -m tcp --dport 3128 -j SNAT --to-source
> 127.0.0.1
А кстати заработало! Правда с незначительными правками.
-t nat -A OUTPUT -m owner ! --uid-owner squid
--
Artem Zolochevskiy
Kaliningrad, Russia
JID: az@jabber.org
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2007-06-13 6:58 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-06-03 15:47 [Sysadmins] прозрачный прокси для себя самого Artem Zolochevskiy
2007-06-03 19:29 ` Maxim Tyurin
2007-06-03 21:51 ` Artem Zolochevskiy
2007-06-04 5:09 ` Шенцев Алексей Владимирович
2007-06-04 20:09 ` Olvin
2007-06-06 13:58 ` Вадим Илларионов
2007-06-06 19:42 ` Artem Zolochevskiy
2007-06-10 9:50 ` Вадим Илларионов
2007-06-10 12:09 ` Artem Zolochevskiy
2007-06-11 7:32 ` Maxim Britov
2007-06-11 7:40 ` Artem Zolochevskiy
2007-06-11 9:03 ` Maxim Britov
2007-06-11 11:36 ` Artem Zolochevskiy
2007-06-11 18:56 ` Vitaly Lipatov
2007-06-13 6:58 ` Maxim Britov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git