The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables возврат пакетов из FORWARD в PREROUTING "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от alexandrnew (ok) on 15-Янв-11, 15:43 
Всем привет!
как в iptables можно сделать возврат пакетов из FORWARD в PREROUTING ?
задача в том, что бы изменить ип адрес назначения пакета (как пример - прозрачный прокси)
т.е. в FORWARD есть набор правил, разрешающий только определенные домены,
надо что бы все, что не попало в этот список разрешений, форвардилось на мой прокси.
у меня нет других идей как это сделать, кроме как перед правилом drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80 и отправить их назад в PREROUTING, что бы там по данной метке отфорвардить на прокси.
просто сделать все через прокси - нельзя.
нат  тоже не подходит, так как испоьзуются правила типа:
iptables -A FORWARD -m string –string «firma.ru» –algo kmp –to 65535 -j ACCEPT
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от Aquarius (ok) on 15-Янв-11, 17:15 
>[оверквотинг удален]
> надо что бы все, что не попало в этот список разрешений, форвардилось
> на мой прокси.
> у меня нет других идей как это сделать, кроме как перед правилом
> drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80
> и отправить их назад в PREROUTING, что бы там по данной
> метке отфорвардить на прокси.
> просто сделать все через прокси - нельзя.
> нат  тоже не подходит, так как испоьзуются правила типа:
> iptables -A FORWARD -m string –string «firma.ru» –algo kmp –to
> 65535 -j ACCEPT

лучше сформулируйте то, что надо изначально, а не то, что получилось в результате нагромождения неких конструкций, основанных на технологиях собственного изобретения

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от alexandrnew (ok) on 15-Янв-11, 17:22 
>>[оверквотинг удален]
> лучше сформулируйте то, что надо изначально, а не то, что получилось в
> результате нагромождения неких конструкций, основанных на технологиях собственного изобретения

пока ничего не получилось :) и не изобретено, только пробую
надо с помощью iptables
1 разрешить нат 80 и 443 порта (может еще каких то) на список доменов\урлов
2 разрешить все на несолько конеретных ип адресов
3 все что не попало в 1 и 2е правило, и адресуется на 80 или 443 порт - завернуть на внешний прокси
4 все остальное - запретить

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от shadow_alone (ok) on 15-Янв-11, 19:09 
>[оверквотинг удален]
>> лучше сформулируйте то, что надо изначально, а не то, что получилось в
>> результате нагромождения неких конструкций, основанных на технологиях собственного изобретения
> пока ничего не получилось :) и не изобретено, только пробую
> надо с помощью iptables
> 1 разрешить нат 80 и 443 порта (может еще каких то) на
> список доменов\урлов
> 2 разрешить все на несолько конеретных ип адресов
> 3 все что не попало в 1 и 2е правило, и адресуется
> на 80 или 443 порт - завернуть на внешний прокси
> 4 все остальное - запретить

Такое лучше делать на уровне squid, и с iptables заворачивать прозрачно. А то з@3бетесь правила создавать, слишком много :)
Список доменов/урлов как-то ближе к squid.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от alexandrnew (ok) on 15-Янв-11, 19:33 
>>[оверквотинг удален]
> Такое лучше делать на уровне squid, и с iptables заворачивать прозрачно. А
> то з@3бетесь правила создавать, слишком много :)
> Список доменов/урлов как-то ближе к squid.

увы, надо так, без сквида. тем более что список не будет более 150урлов\доменов, и клиентов - 2-3шт..
так что для фаера -нагрузка небольшая

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от Aquarius (ok) on 16-Янв-11, 01:09 
>[оверквотинг удален]
>> лучше сформулируйте то, что надо изначально, а не то, что получилось в
>> результате нагромождения неких конструкций, основанных на технологиях собственного изобретения
> пока ничего не получилось :) и не изобретено, только пробую
> надо с помощью iptables
> 1 разрешить нат 80 и 443 порта (может еще каких то) на
> список доменов\урлов
> 2 разрешить все на несолько конеретных ип адресов
> 3 все что не попало в 1 и 2е правило, и адресуется
> на 80 или 443 порт - завернуть на внешний прокси
> 4 все остальное - запретить

я имел в виду, что вы "изобрели", например, пакетный фильтр, позволяющий в правилах указывать домены
возврат пакетов из FORWARD в PREROUTING - тоже "изобретение"

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от alexandrnew (ok) on 16-Янв-11, 10:15 
> я имел в виду, что вы "изобрели", например, пакетный фильтр, позволяющий в
> правилах указывать домены
> возврат пакетов из FORWARD в PREROUTING - тоже "изобретение"

ну если -m string –string  мое изобретение - то я польщен

> возврат пакетов из FORWARD в PREROUTING - тоже "изобретение"

если бы Вы прочитали внимательно - то я спросил:

> как в iptables можно сделать возврат пакетов из FORWARD в PREROUTING ?

достаточно было ответить что это невозможно.
так как в ваших ответах в данном топике - я пока пользы не нашел.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

5. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от PavelR (??) on 15-Янв-11, 20:51 
>[оверквотинг удален]
> надо что бы все, что не попало в этот список разрешений, форвардилось
> на мой прокси.
> у меня нет других идей как это сделать, кроме как перед правилом
> drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80
> и отправить их назад в PREROUTING, что бы там по данной
> метке отфорвардить на прокси.
> просто сделать все через прокси - нельзя.
> нат  тоже не подходит, так как испоьзуются правила типа:
> iptables -A FORWARD -m string –string «firma.ru» –algo kmp –to
> 65535 -j ACCEPT

Ну и делайте проверки в PREROUTING.

iptables -t nat -A PREROUTING -m string –string «firma.ru» –algo kmp –to 65535 -j ACCEPT
iptables -t nat -A PREROUTING -j REDIRECT ...


Соответственно, в FORWARD нужен сравнительно безусловный ACCEPT, поскольку "запрещенные" пакеты уже будут REDIRECT.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от alexandrnew (ok) on 15-Янв-11, 21:40 
> Ну и делайте проверки в PREROUTING.
> iptables -t nat -A PREROUTING -m string –string «firma.ru» –algo
> kmp –to 65535 -j ACCEPT
> iptables -t nat -A PREROUTING -j REDIRECT ...
> Соответственно, в FORWARD нужен сравнительно безусловный ACCEPT, поскольку "запрещенные"
> пакеты уже будут REDIRECT.

хм...
ступил.
попробую

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "iptables возврат пакетов из FORWARD в PREROUTING "  +/
Сообщение от gene on 29-Авг-14, 14:54 
Не, srting в PREROUTING не заработает:
http://serverfault.com/questions/402838/iptables-string

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру