Transparenter Proxy

[Toeffel]

Hi Leute ,
ich habe auf meinem Rechner Tor mit provoxy laufen. Ist zum surfen auch klasse! Nun möchte ich, dass die Applikationen die über Port 80 ins Internet gehen dies über den privoxy machen. Ich habe also die SuSEfirewall2 aktiviert und in der SuSEfirewall_custom folgendes eingetragen:

iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8118

Leider funktioniert das nicht! Ach ja, ich habe natürlich die custom möglichkeit im SuSEfirewall2 konfigfile konfiguriert!

Gruß
Toeffel[/code][/quote]

 

[spoensche]

Wenn ich mich nicht irre sollte das so funktionieren:

iptables -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-port 8181

 

[jengelh]

Wenn ich mich nicht irre sollte das so funktionieren:

iptables -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-port 8181

Du irrst, dein Vorposter hatte es schon richtig.

 

[spoensche]

Gut zu wissen, dass ich mich geirrt habe. Wieder was dazu gelernt.

 

[Houdie]

Hi Toeffel,
schau dir ma die conf und die log von deinem privoxy an und vergleich ma auf welcher IP er lauscht.

Hoffe das hilft

 

[Toeffel]

Gut zu wissen, dass mein Eintrag korrekt zu sein scheint.
[Houdie]Der Privoxy läuft sauber, stelle ich z.B. den Firefox auf den Proxy ein komme ich ins Internet.

Die SuSEFirewall2 scheint den Eintrag um zu formatieren. Wenn ich iptables -L|grep 8118 aufrufe, bekomme ich folgende Ausgabe:

LOG        tcp  --  anywhere             localhost           limit: avg 3/min burst 5 tcp dpt:8118 state NEW LOG level warning tcp-options ip-options prefix `SFW2-FWDext-ACC-REVMASQ '
ACCEPT     tcp  --  anywhere             localhost           tcp dpt:8118
LOG        tcp  --  anywhere             localhost           limit: avg 3/min burst 5 tcp dpt:8118 state NEW LOG level warning tcp-options ip-options prefix `SFW2-FWDint-ACC-REVMASQ '
ACCEPT     tcp  --  anywhere             localhost           tcp dpt:8118

 

[Toeffel]

So, ich habe mal die SuSEFirewall ausgeschaltet und nur die eine Regel aktiviert.
mit iptables -L -n -t nat sehe folgende Ausgabe:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 8118

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Das sieht für mich schonmal gut aus. Leider werden die Pakete von Port 80 nicht umgeleitet. Wenn ich den Traffic mit hilfe von Wireshark untersuche, dann sehe ich, dass der Traffic auf Port 80 rausgeht und an Port 8118 nix reinkommt. Dies ist im Firefox ohne Proxy das gleiche wie mit einer Wine Applikation.

Nun weis ich wirklich nicht mehr weiter :?

 

[Gimpel]

Was sagt

cat /proc/sys/net/ipv4/ip_forward

(sollte 1 ausgeben)

 

[Toeffel]

Kommt "1" bei raus.

 

[Houdie]

Hi Toeffel,

vllt kann dier Squid bei diesem Problem helfen

 

[Toeffel]

Hi Houdie,
es liegt nicht am verwendeten Proxy. Wenn ich den Netzwerkverkehr mit Wireshark mitschneide sehe ich ganz klar, das die Applikationen versuchen über den Port 80 zu kommunizieren. Normalerweise sollte der Port aber umgelenkt werden, wie oben beschrieben.
Ich werde das ganze mal auf einem anderen System testen.

 

[Houdie]

Hi Houdie,
es liegt nicht am verwendeten Proxy.

ich mein ja auch nicht dass du den squid mim privoxy austauschen sollst sondern den privoxy als parent proxy für den squid laufen lässt.

 

[Tooltime]

Moin moin,

openSUSE bietet eine einfache Möglichkeit, um Regeln zum Umleiten von Datenpaketen in die Firewall zu integrieren. Einfach den "Editor für /etc/sysconfig-Dateien" starten, findet man unter YaST -> System und nach dem Schlüssel "FW_REDIRECT" suchen. Die Verwendung des Schlüssels ist in der Beschreibung gut erklärt und die erste Demoregel "10.0.0.0/8,0/0,tcp,80,3128" entspricht genau einem transparenten Proxy mit squid. Für deine Verwendung muß nur das Subnetz 10.0.0.0/8 und Zielport 3128 angepasst werden.