iptables возврат пакетов из FORWARD в PREROUTING , alexandrnew, 15-Янв-11, 15:43 [смотреть все]Всем привет! как в iptables можно сделать возврат пакетов из FORWARD в PREROUTING ? задача в том, что бы изменить ип адрес назначения пакета (как пример - прозрачный прокси) т.е. в FORWARD есть набор правил, разрешающий только определенные домены, надо что бы все, что не попало в этот список разрешений, форвардилось на мой прокси. у меня нет других идей как это сделать, кроме как перед правилом drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80 и отправить их назад в PREROUTING, что бы там по данной метке отфорвардить на прокси. просто сделать все через прокси - нельзя. нат тоже не подходит, так как испоьзуются правила типа: iptables -A FORWARD -m string –string «firma.ru» –algo kmp –to 65535 -j ACCEPT
|
- iptables возврат пакетов из FORWARD в PREROUTING , Aquarius, 17:15 , 15-Янв-11 (1)
>[оверквотинг удален] > надо что бы все, что не попало в этот список разрешений, форвардилось > на мой прокси. > у меня нет других идей как это сделать, кроме как перед правилом > drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80 > и отправить их назад в PREROUTING, что бы там по данной > метке отфорвардить на прокси. > просто сделать все через прокси - нельзя. > нат тоже не подходит, так как испоьзуются правила типа: > iptables -A FORWARD -m string –string «firma.ru» –algo kmp –to > 65535 -j ACCEPT лучше сформулируйте то, что надо изначально, а не то, что получилось в результате нагромождения неких конструкций, основанных на технологиях собственного изобретения
- iptables возврат пакетов из FORWARD в PREROUTING , alexandrnew, 17:22 , 15-Янв-11 (2)
>>[оверквотинг удален] > лучше сформулируйте то, что надо изначально, а не то, что получилось в > результате нагромождения неких конструкций, основанных на технологиях собственного изобретения пока ничего не получилось :) и не изобретено, только пробую надо с помощью iptables 1 разрешить нат 80 и 443 порта (может еще каких то) на список доменов\урлов 2 разрешить все на несолько конеретных ип адресов 3 все что не попало в 1 и 2е правило, и адресуется на 80 или 443 порт - завернуть на внешний прокси 4 все остальное - запретить
- iptables возврат пакетов из FORWARD в PREROUTING , shadow_alone, 19:09 , 15-Янв-11 (3)
>[оверквотинг удален] >> лучше сформулируйте то, что надо изначально, а не то, что получилось в >> результате нагромождения неких конструкций, основанных на технологиях собственного изобретения > пока ничего не получилось :) и не изобретено, только пробую > надо с помощью iptables > 1 разрешить нат 80 и 443 порта (может еще каких то) на > список доменов\урлов > 2 разрешить все на несолько конеретных ип адресов > 3 все что не попало в 1 и 2е правило, и адресуется > на 80 или 443 порт - завернуть на внешний прокси > 4 все остальное - запретить Такое лучше делать на уровне squid, и с iptables заворачивать прозрачно. А то з@3бетесь правила создавать, слишком много :) Список доменов/урлов как-то ближе к squid.
- iptables возврат пакетов из FORWARD в PREROUTING , alexandrnew, 19:33 , 15-Янв-11 (4)
>>[оверквотинг удален] > Такое лучше делать на уровне squid, и с iptables заворачивать прозрачно. А > то з@3бетесь правила создавать, слишком много :) > Список доменов/урлов как-то ближе к squid.увы, надо так, без сквида. тем более что список не будет более 150урлов\доменов, и клиентов - 2-3шт.. так что для фаера -нагрузка небольшая
- iptables возврат пакетов из FORWARD в PREROUTING , Aquarius, 01:09 , 16-Янв-11 (7)
>[оверквотинг удален] >> лучше сформулируйте то, что надо изначально, а не то, что получилось в >> результате нагромождения неких конструкций, основанных на технологиях собственного изобретения > пока ничего не получилось :) и не изобретено, только пробую > надо с помощью iptables > 1 разрешить нат 80 и 443 порта (может еще каких то) на > список доменов\урлов > 2 разрешить все на несолько конеретных ип адресов > 3 все что не попало в 1 и 2е правило, и адресуется > на 80 или 443 порт - завернуть на внешний прокси > 4 все остальное - запретить я имел в виду, что вы "изобрели", например, пакетный фильтр, позволяющий в правилах указывать домены возврат пакетов из FORWARD в PREROUTING - тоже "изобретение"
- iptables возврат пакетов из FORWARD в PREROUTING , alexandrnew, 10:15 , 16-Янв-11 (8)
> я имел в виду, что вы "изобрели", например, пакетный фильтр, позволяющий в > правилах указывать домены > возврат пакетов из FORWARD в PREROUTING - тоже "изобретение" ну если -m string –string мое изобретение - то я польщен > возврат пакетов из FORWARD в PREROUTING - тоже "изобретение" если бы Вы прочитали внимательно - то я спросил: > как в iptables можно сделать возврат пакетов из FORWARD в PREROUTING ? достаточно было ответить что это невозможно. так как в ваших ответах в данном топике - я пока пользы не нашел.
- iptables возврат пакетов из FORWARD в PREROUTING , PavelR, 20:51 , 15-Янв-11 (5)
>[оверквотинг удален] > надо что бы все, что не попало в этот список разрешений, форвардилось > на мой прокси. > у меня нет других идей как это сделать, кроме как перед правилом > drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80 > и отправить их назад в PREROUTING, что бы там по данной > метке отфорвардить на прокси. > просто сделать все через прокси - нельзя. > нат тоже не подходит, так как испоьзуются правила типа: > iptables -A FORWARD -m string –string «firma.ru» –algo kmp –to > 65535 -j ACCEPT Ну и делайте проверки в PREROUTING. iptables -t nat -A PREROUTING -m string –string «firma.ru» –algo kmp –to 65535 -j ACCEPT iptables -t nat -A PREROUTING -j REDIRECT ... Соответственно, в FORWARD нужен сравнительно безусловный ACCEPT, поскольку "запрещенные" пакеты уже будут REDIRECT.
- iptables возврат пакетов из FORWARD в PREROUTING , alexandrnew, 21:40 , 15-Янв-11 (6)
> Ну и делайте проверки в PREROUTING. > iptables -t nat -A PREROUTING -m string –string «firma.ru» –algo > kmp –to 65535 -j ACCEPT > iptables -t nat -A PREROUTING -j REDIRECT ... > Соответственно, в FORWARD нужен сравнительно безусловный ACCEPT, поскольку "запрещенные" > пакеты уже будут REDIRECT.хм... ступил. попробую
|