Как сделать прозрачный прокси?

А сам squid включил в режиме Transparent proxy?

443 нельзя заворачивать. Толко 80й порт

емнип, там был какой-то костыль с подменой сертификатов

http_port 3128 transparent

или еще где то нужно?

там был какой-то костыль с подменой сертификатов

УБЕВАТЬ!!!

iptables -t nat -A PREROUTING -s 192.168.1.0/24 ! -d 192.168.1.1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

так должно работать? или нужно ! -d 192.168.1.0/24 или и так и так правильно будет?

А по подробнее?

угу, но если очень хочется, то можно

В смысле «подробнее»? При работе по https клиент пытается установить подключение к серверу на порт 443, затем делает согласование SSL и проверяет сертификат сервера.

Если мы предъявим свой сертификат - клиент выругается (но это можно пережить). Проблема начинается, если сервер захочет сертификат клиента - тут то и придет песец. И придет он всяким клиентбанкам, вебманям и прочему, что захочет аутентфицировать клиента по сертификату, поскольку прокся, которая коннектится к серверу, этого сертификата взять нигде не сможет.

Собственно, для реализации «прозрачного прокси на 443 порту» надо успешно реализовать атаку man-in-the-middle, чего пока что полностью никто сделать не смог.

Собственно, для реализации «прозрачного прокси на 443 порту» надо успешно реализовать атаку man-in-the-middle, чего пока что полностью никто сделать не смог.

мне бы пока с 80 портом разобраться )

iptables -t nat -A PREROUTING -s 192.168.1.0/24 ! -d 192.168.1.1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

это правило правильно по логике записано или нет?

что никто не подскажет правильно ли вообще правило написано или нет?

Правило верное. Но нужен сквид собраный с потдержкой прозрачности и в конфиге должно быть это: http_port 3128 transparent --enable-linux-netfilter опция для включения прозрачности. Всё это верно для версии 3.1, в старых кажись опции другие были.

блин ну и форматирование. Это опция --enable-linux-netfilter к configure А это http_port 3128 transparent в конфиге сквида.

У меня всё работает так:

-A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-ports 3128 

http_port 3128 transparent

Спасибо. Попробую на днях. Потом отпишусь.

А форвардинг пакетов включен на линукс-машине то?

Что выводит?

# sysctl -A |grep ip_forward

Что выводит?

# sysctl -A |grep ip_forward

error: «Success» reading key «dev.parport.parport0.autoprobe»

error: «Success» reading key «dev.parport.parport0.autoprobe0»

error: «Success» reading key «dev.parport.parport0.autoprobe1»

error: «Success» reading key «dev.parport.parport0.autoprobe2»

error: «Success» reading key «dev.parport.parport0.autoprobe3»

error: permission denied on key 'net.ipv4.route.flush'

net.ipv4.ip_forward = 1

error: permission denied on key 'net.ipv6.route.flush'

-A PREROUTING -s 192.168.1.0/24 -p tcp -m tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-ports 3128
и в конфиге
http_port 3128 transparent

попробовал, не работает почему то

Squid - локальный сервис и разрешения должны быть в INPUT/OUTPUT

iptables -A INPUT -s $LAN_NET -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -d $LAN_NET -p tcp --sport 3128 -j ACCEPT

В iptables знаний маловато

Берешь картинку из общеизвестного мана и медитируешь до просветления.

Берешь картинку из общеизвестного мана и медитируешь до просветления.

собственно почти так и делал, но нет постоянной практики и быстро забывается )), я в основном ищу в инете подобные примеры и пытаюсь догнать их )

iptables -A INPUT -s $LAN_NET -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -d $LAN_NET -p tcp --sport 3128 -j ACCEPT

я так понимаю что заместо $LAN_NET я должен подставить 192.168.1.0/24 ?

Зачем лишать пользователей гуглопочты, а также многих сайтов, использующих безопасную аутентификацию?

я так понимаю что заместо $LAN_NET я должен подставить 192.168.1.0/24 ?

Ага.

Некоторые на моей практике вообще лишали своих манагеров аськи. Надеюсь разорились уже.

Чтоб работало, нужно: 1) чтоб сквид слушал локалхост на определенном порту и позволял принимать там прозрачные запросы http_port 3128 transparent

В новых версиях сквида этот параметр (transparent) кажись стал называться по другому, гуглите оф. документацию

2) чтобы транзитные запросы приходили на сервер и редиректились

2а) сервер должен быть дефолт шлюзом или иным способом получать транзитный трафик.

2б) сервер должен перехватывать трафик.

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 -m comment --comment 'Redirect http traffic to local port 3128'

2в) сервер должен принять трафик:

iptables -I INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT -m comment --comment 'Accept traffic for http proxy'

Проверить, работает ли система можно:

1) iptables -t nat -L -v -n

2) iptables -L -v -n

3) tail -f /var/log/squid/access.log

В айпитейблз должны накручиваться счетчики пакетов\байт на соответсвующих правилах, в лог сквида должны добавляться записи

Я у себя дома сначала хотел прозрачный прокси сделать, чтобы другие компьютеры в квартирной микролокалке не настраивать, но не вышло (т.к. https и ftp прозрачно не захотели проксироваться, а подмена сертификата https - какой-то грязный хак).

Пркси для меня - это учет www трафика юзеров, контроль кто куда лазит, кое-какая резалка нежелательного контента. Зачем это делать дома не понимаю. Дома достаточно шлюза.
Для проксирования всего трафика можно посмотреть в сторону SOCKS. Хотя сам не делал, не знаю как там с прозрачностью и логированием.

Зачем это делать дома не понимаю

Для «ускорения» интернета (статика кешируется - все быстрее странички отображаются). А с учетом трафика squid не справится, т.к. не логгирует CONNECT-методы.

Я у себя дома сначала хотел прозрачный прокси сделать, чтобы другие компьютеры в квартирной микролокалке не настраивать, но не вышло (т.к. https и ftp прозрачно не захотели проксироваться, а подмена сертификата https - какой-то грязный хак).

Я вот тоже дома делаю... ну и заодно знания повышаю ))

Пркси для меня - это учет www трафика юзеров, контроль кто куда лазит, кое-какая резалка нежелательного контента.

Имеется опыт использования для подобных целей Ipcop.

Должен сказать, что ограничения по контенту при желании почти всегда можно обойти.

Считалка траффика у сквида кривая. т.к. считает траффик постфактум, т.е. если у юзера установлен лимит в 1гб, а он качает iso-шник в 4 Гб, то сквид даст ему скачать весь файл, а только потом порежет траффик.

Считалка траффика у сквида кривая.

Дело в том что с появлением жирных каналов с безлимитом отпала надобность ограничивать количество трафика. Разве что скорость. А у сквида очень удобно можно зарезать скорость только для больших файлов. И как средство мониторинга www вполне даже хорош.
Раньше пользовался NetAMS для биллинга.

Если ТС нужно резать трафик по объему - то сквид конечно не очень для этого подходит.

2б) сервер должен перехватывать трафик.

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 -m comment --comment 'Redirect http traffic to local port 3128'

2в) сервер должен принять трафик:

iptables -I INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT -m comment --comment 'Accept traffic for http proxy'

Что то я запутался... так в iptables нужно -I или -A ставить?

-I - добавит правило в начало цепочки

-A - добавит правило в конец цепочки

Я написал -I , чтоб быть уверенным, что другие правила не зарубят трафик до того, как он обработается этими правилами.

Спасибо всем кто откликнулся!!! Вопрос решен.

Ну так в чем же был бок? Интересно же, какие ошибки теперь популярные.

Ну так в чем же был бок? Интересно же, какие ошибки теперь популярные.

Ну скажем я в iptables новичек и не подумал про цепочку INPUT