Iptables transparent proxy weiterleitung mit original adresse
Hallo Forum,
Bei nutzung der DD-WRT Router software ist folgender Eintrag für IPTables nötig um die webanfragen an den Proxy weiterzureichen.
#!/bin/sh
PROXY_IP=192.168.1.10
PROXY_PORT=3128
LAN_IP=`nvram get lan_ipaddr`
LAN_NET=$LAN_IP/`nvram get lan_netmask`
iptables -t nat -A PREROUTING -i br0 -s $LAN_NET -d $LAN_NET -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i br0 -s ! $PROXY_IP -p tcp --dport 80 -j DNAT --to $PROXY_IP:$PROXY_PORT
iptables -t nat -I POSTROUTING -o br0 -s $LAN_NET -d $PROXY_IP -p tcp -j SNAT --to $LAN_IP
iptables -I FORWARD -i br0 -o br0 -s $LAN_NET -d $PROXY_IP -p tcp --dport $PROXY_PORT -j ACCEPT
jedoch kommen am Proxy alle ip packete mit der IP Des Routers an, wie kann ich den auf den, des angefragten users umschreiben lassen ?
dachte daran die 2. Zeile so zu verändern:
iptables -t nat -A PREROUTING -i br0 -s ! $PROXY_IP -p tcp --dport 80 -j REDIRECT --to $PROXY_IP:$PROXY_PORT
aber es will nicht :/
Danke!
Bei nutzung der DD-WRT Router software ist folgender Eintrag für IPTables nötig um die webanfragen an den Proxy weiterzureichen.
#!/bin/sh
PROXY_IP=192.168.1.10
PROXY_PORT=3128
LAN_IP=`nvram get lan_ipaddr`
LAN_NET=$LAN_IP/`nvram get lan_netmask`
iptables -t nat -A PREROUTING -i br0 -s $LAN_NET -d $LAN_NET -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i br0 -s ! $PROXY_IP -p tcp --dport 80 -j DNAT --to $PROXY_IP:$PROXY_PORT
iptables -t nat -I POSTROUTING -o br0 -s $LAN_NET -d $PROXY_IP -p tcp -j SNAT --to $LAN_IP
iptables -I FORWARD -i br0 -o br0 -s $LAN_NET -d $PROXY_IP -p tcp --dport $PROXY_PORT -j ACCEPT
jedoch kommen am Proxy alle ip packete mit der IP Des Routers an, wie kann ich den auf den, des angefragten users umschreiben lassen ?
dachte daran die 2. Zeile so zu verändern:
iptables -t nat -A PREROUTING -i br0 -s ! $PROXY_IP -p tcp --dport 80 -j REDIRECT --to $PROXY_IP:$PROXY_PORT
aber es will nicht :/
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 137611
Url: https://administrator.de/contentid/137611
Ausgedruckt am: 05.11.2024 um 23:11 Uhr
4 Kommentare
Neuester Kommentar
Steht ja nicht direkt da, die Router-IP ist ja nicht bekannt.
In dem Moment geht es dann scheinbar nicht anders, weil der Router nimmt ja sämtliche Verbindungen an und schreibt dann die Verbindung um, NAT halt. Der Client bekommt ja nichts davon mit, da der Proxy ja nur mit dem Router in Kontakt stehen darf, alternativ wäre es ja kein transparenter Proxyserver.
Mit dem Verhalten musst du dann leider auskommen.
In dem Moment geht es dann scheinbar nicht anders, weil der Router nimmt ja sämtliche Verbindungen an und schreibt dann die Verbindung um, NAT halt. Der Client bekommt ja nichts davon mit, da der Proxy ja nur mit dem Router in Kontakt stehen darf, alternativ wäre es ja kein transparenter Proxyserver.
Mit dem Verhalten musst du dann leider auskommen.