LINUX.ORG.RU

История изменений

Исправление Pinkbyte, (текущая версия) :

а с TPROXY можно разве прозрачный SSL сделать? Это ж вроде man-in-the-middle и как бы не-Ъ.

У меня организовано так:

vpn1 ~ # ip rule
0:      from all lookup local 
50:     from all fwmark 0x1 lookup tproxy 
32766:  from all lookup main 
32767:  from all lookup default

vpn1 ~ # cat /etc/iproute2/rt_tables 
#
# reserved values
#
255     local
254     main
253     default
0       unspec
#
# local
#
#1      inr.ruhep

100     tproxy

Кусок правил iptables: 

*mangle
:TRANSPARENT_PROXY - [0:0]
-A TRANSPARENT_PROXY -j MARK --set-mark 1
-A TRANSPARENT_PROXY -j ACCEPT
:PREROUTING ACCEPT [0:0]
# for TPROXY
-A PREROUTING -p tcp -m socket -j TRANSPARENT_PROXY
-A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:INPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -i eth3 -p tcp --dport 1723 -j ACCEPT
# for TPROXY
-A INPUT -i ppp+ -p tcp --dport 80 -j ACCEPT
#
-A INPUT -j REJECT --reject-with icmp-port-unreachable
СOMMIT

Конфиг сквида: 

http_port 3129 tproxy
icp_port 0
max_filedesc 16384
access_log /var/log/squid/access.log
cache_store_log none

acl localhost src 127.0.0.1/32
acl manager proto cache_object
http_access allow manager localhost
http_access deny manager

http_access allow all

shutdown_lifetime 3 seconds

Версия squid и используемая ОС:

vpn1 ~ # squid -v | head -1
Squid Cache: Version 3.1.19
vpn1 ~ # cat /etc/*release
Gentoo Base System release 2.1

Исходная версия Pinkbyte, :

а с TPROXY можно разве прозрачный SSL сделать? Это ж вроде man-in-the-middle и как бы не-Ъ.

У меня организовано так:

vpn1 ~ # ip rule
0:      from all lookup local 
50:     from all fwmark 0x1 lookup tproxy 
32766:  from all lookup main 
32767:  from all lookup default

vpn1 ~ # cat /etc/iproute2/rt_tables 
#
# reserved values
#
255     local
254     main
253     default
0       unspec
#
# local
#
#1      inr.ruhep

100     tproxy

Кусок правил iptables: 

*mangle
:TRANSPARENT_PROXY - [0:0]
-A TRANSPARENT_PROXY -j MARK --set-mark 1
-A TRANSPARENT_PROXY -j ACCEPT
:PREROUTING ACCEPT [0:0]
# for TPROXY
-A PREROUTING -p tcp -m socket -j TRANSPARENT_PROXY
-A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129
:POSTROUTING ACCEPT [0:0]
COMMIT

Конфиг сквида: 

http_port 3129 tproxy
icp_port 0
max_filedesc 16384
access_log /var/log/squid/access.log
cache_store_log none

acl localhost src 127.0.0.1/32
acl manager proto cache_object
http_access allow manager localhost
http_access deny manager

http_access allow all

shutdown_lifetime 3 seconds

Версия squid и используемая ОС:

vpn1 ~ # squid -v | head -1
Squid Cache: Version 3.1.19
vpn1 ~ # cat /etc/*release
Gentoo Base System release 2.1