Transparenter Proxy und IPTABLES

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
Nase
Beiträge: 51
Registriert: 18.03.2003 21:46:09
Wohnort: Paderborn

Transparenter Proxy und IPTABLES

Beitrag von Nase » 04.04.2015 15:47:22

Hallo zusammen,

ich betreibe hier bei mir zu hause einen Server mit mehreren virtuellen Debian Installationen.
Das funktioniert soweit auch wie ich mir das vorstelle. Allerdings bin ich gerade dabei und möchte zwecks schlechter Internetanbindung einen Transparenten Proxy für Port 80 einbinden und daran scheitere ich momentan.

Mein Setup sieht wie folgt aus:

Code: Alles auswählen

AVM FritzBox für den Internetzugang (IP 192.168.13.1)
Debian Gateway mit 2 NIC's
--> eth1 (IP 192.168.13.31) geht in die FritzBox
--> eth0 (IP 192.168.127.31) in mein LAN
Debian Proxy mit Squid (IP 192.168.127.32 / intercept Port 3030 )
--> der Transparent Proxy funktioniert
Ich verzweifle, wie ich auf dem Gateway die IPTABLES Einstellungen anpassen muss, damit aller Netzwerkverkehr über Port 80 auf den Transparenten Squid weitergeleitet wird.
Normal sieht das IPTABLES-save bei mir so aus: NoPaste-Eintrag38433

Meine Versuche (bisher alle Erfolglos) bekomme ich nicht mehr komplett hin, aber dieser war mir doch der sinnvollste:

Code: Alles auswählen

iptables -t nat -A PREROUTING -s 192.168.127.130/32 ! -d 192.168.127.32/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.127.32:3130
iptables -A FORWARD -s 192.168.127.0/24 -d 192.168.127.32/32 -m multiport -p tcp --dports 80 -j ACCEPT
Hat jemand eine Hilfe für mich, wie das zu bewerkstelligen ist?


Danke und Grüße

Christian (aka nase)
Nach oben
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: Transparenter Proxy und IPTABLES

Beitrag von DynaBlaster » 10.04.2015 16:57:02

Code: Alles auswählen

iptables -t nat -A PREROUTING -s 192.168.127.130/32 ! -d 192.168.127.32/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.127.32:3130
iptables -A FORWARD -s 192.168.127.0/24 -d 192.168.127.32/32 -m multiport -p tcp --dports 80 -j ACCEPT
müsste das nocht so lauten? Schließlich willst du Port 3130 auf 192.168.127.32 und nicht 80.

Code: Alles auswählen

iptables -t nat -A PREROUTING -s 192.168.127.130/32 ! -d 192.168.127.32/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.127.32:3130
iptables -A FORWARD -s 192.168.127.0/24 -d 192.168.127.32/32 -m multiport -p tcp --dports 3130 -j ACCEPT
Ansonsten mal ein bisschen mit tcdump mitschneiden und das iptables-Logging aktivieren, damit man sieht, was passiert :-)

EDIT: copy&paste-Fehler
Nach oben
Antworten

Zurück zu „Internetrouter und Proxies“