https://opennet.me/openforum/vsluhforumID1/90734.html Всем привет!<br>как в iptables можно сделать возврат пакетов из FORWARD в PREROUTING ? <br>задача в том, что бы изменить ип адрес назначения пакета (как пример - прозрачный прокси)<br>т.е. в FORWARD есть набор правил, разрешающий только определенные домены, <br>надо что бы все, что не попало в этот список разрешений, форвардилось на мой прокси.<br>у меня нет других идей как это сделать, кроме как перед правилом drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80 и отправить их назад в PREROUTING, что бы там по данной метке отфорвардить на прокси.<br>просто сделать все через прокси - нельзя.<br>нат тоже не подходит, так как испоьзуются правила типа:<br>iptables -A FORWARD -m string &#8211;string &#171;firma.ru&#187; &#8211;algo kmp &#8211;to 65535 -j ACCEPT<br> https://opennet.me/openforum/vsluhforumID1/90734.html#9 Fri, 29 Aug 2014 10:54:34 GMT Не, srting в PREROUTING не заработает:<br>http://serverfault.com/questions/402838/iptables-string<br><br> https://opennet.me/openforum/vsluhforumID1/90734.html#8 Sun, 16 Jan 2011 07:15:30 GMT &gt; я имел в виду, что вы "изобрели", например, пакетный фильтр, позволяющий в <br>&gt; правилах указывать домены <br>&gt; возврат пакетов из FORWARD в PREROUTING - тоже "изобретение" <br><br>ну если -m string &#8211;string мое изобретение - то я польщен<br><br>&gt; возврат пакетов из FORWARD в PREROUTING - тоже "изобретение" <br><br>если бы Вы прочитали внимательно - то я спросил:<br><br>&gt; как в iptables можно сделать возврат пакетов из FORWARD в PREROUTING ?<br><br>достаточно было ответить что это невозможно.<br>так как в ваших ответах в данном топике - я пока пользы не нашел.<br> https://opennet.me/openforum/vsluhforumID1/90734.html#7 Sat, 15 Jan 2011 22:09:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt; лучше сформулируйте то, что надо изначально, а не то, что получилось в <br>&gt;&gt; результате нагромождения неких конструкций, основанных на технологиях собственного изобретения <br>&gt; пока ничего не получилось :) и не изобретено, только пробую <br>&gt; надо с помощью iptables <br>&gt; 1 разрешить нат 80 и 443 порта (может еще каких то) на <br>&gt; список доменов\урлов <br>&gt; 2 разрешить все на несолько конеретных ип адресов <br>&gt; 3 все что не попало в 1 и 2е правило, и адресуется <br>&gt; на 80 или 443 порт - завернуть на внешний прокси <br>&gt; 4 все остальное - запретить <br><br>я имел в виду, что вы "изобрели", например, пакетный фильтр, позволяющий в правилах указывать домены<br>возврат пакетов из FORWARD в PREROUTING - тоже "изобретение"<br> https://opennet.me/openforum/vsluhforumID1/90734.html#6 Sat, 15 Jan 2011 18:40:29 GMT &gt; Ну и делайте проверки в PREROUTING.<br>&gt; iptables -t nat -A PREROUTING -m string &#8211;string &#171;firma.ru&#187; &#8211;algo <br>&gt; kmp &#8211;to 65535 -j ACCEPT <br>&gt; iptables -t nat -A PREROUTING -j REDIRECT ...<br>&gt; Соответственно, в FORWARD нужен сравнительно безусловный ACCEPT, поскольку "запрещенные" <br>&gt; пакеты уже будут REDIRECT.<br><br>хм...<br>ступил.<br>попробую<br> https://opennet.me/openforum/vsluhforumID1/90734.html#5 Sat, 15 Jan 2011 17:51:00 GMT &gt;[оверквотинг удален]<br>&gt; надо что бы все, что не попало в этот список разрешений, форвардилось <br>&gt; на мой прокси.<br>&gt; у меня нет других идей как это сделать, кроме как перед правилом <br>&gt; drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80 <br>&gt; и отправить их назад в PREROUTING, что бы там по данной <br>&gt; метке отфорвардить на прокси.<br>&gt; просто сделать все через прокси - нельзя.<br>&gt; нат тоже не подходит, так как испоьзуются правила типа: <br>&gt; iptables -A FORWARD -m string &#8211;string &#171;firma.ru&#187; &#8211;algo kmp &#8211;to <br>&gt; 65535 -j ACCEPT <br><br>Ну и делайте проверки в PREROUTING.<br><br>iptables -t nat -A PREROUTING -m string &#8211;string &#171;firma.ru&#187; &#8211;algo kmp &#8211;to 65535 -j ACCEPT <br>iptables -t nat -A PREROUTING -j REDIRECT ...<br><br><br>Соответственно, в FORWARD нужен сравнительно безусловный ACCEPT, поскольку "запрещенные" пакеты уже будут REDIRECT.<br><br><br><br><br> https://opennet.me/openforum/vsluhforumID1/90734.html#4 Sat, 15 Jan 2011 16:33:26 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Такое лучше делать на уровне squid, и с iptables заворачивать прозрачно. А <br>&gt; то з@3бетесь правила создавать, слишком много :) <br>&gt; Список доменов/урлов как-то ближе к squid.<br><br>увы, надо так, без сквида. тем более что список не будет более 150урлов\доменов, и клиентов - 2-3шт..<br>так что для фаера -нагрузка небольшая<br> https://opennet.me/openforum/vsluhforumID1/90734.html#3 Sat, 15 Jan 2011 16:09:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt; лучше сформулируйте то, что надо изначально, а не то, что получилось в <br>&gt;&gt; результате нагромождения неких конструкций, основанных на технологиях собственного изобретения <br>&gt; пока ничего не получилось :) и не изобретено, только пробую <br>&gt; надо с помощью iptables <br>&gt; 1 разрешить нат 80 и 443 порта (может еще каких то) на <br>&gt; список доменов\урлов <br>&gt; 2 разрешить все на несолько конеретных ип адресов <br>&gt; 3 все что не попало в 1 и 2е правило, и адресуется <br>&gt; на 80 или 443 порт - завернуть на внешний прокси <br>&gt; 4 все остальное - запретить <br><br>Такое лучше делать на уровне squid, и с iptables заворачивать прозрачно. А то з@3бетесь правила создавать, слишком много :) <br>Список доменов/урлов как-то ближе к squid.<br> https://opennet.me/openforum/vsluhforumID1/90734.html#2 Sat, 15 Jan 2011 14:22:41 GMT &gt;&gt;[оверквотинг удален] <br>&gt; лучше сформулируйте то, что надо изначально, а не то, что получилось в <br>&gt; результате нагромождения неких конструкций, основанных на технологиях собственного изобретения <br><br>пока ничего не получилось :) и не изобретено, только пробую<br>надо с помощью iptables <br>1 разрешить нат 80 и 443 порта (может еще каких то) на список доменов\урлов<br>2 разрешить все на несолько конеретных ип адресов<br>3 все что не попало в 1 и 2е правило, и адресуется на 80 или 443 порт - завернуть на внешний прокси<br>4 все остальное - запретить<br> https://opennet.me/openforum/vsluhforumID1/90734.html#1 Sat, 15 Jan 2011 14:15:29 GMT &gt;[оверквотинг удален]<br>&gt; надо что бы все, что не попало в этот список разрешений, форвардилось <br>&gt; на мой прокси.<br>&gt; у меня нет других идей как это сделать, кроме как перед правилом <br>&gt; drop по умолчанию в FORWARD, пометить пакеты с портом назначения 80 <br>&gt; и отправить их назад в PREROUTING, что бы там по данной <br>&gt; метке отфорвардить на прокси.<br>&gt; просто сделать все через прокси - нельзя.<br>&gt; нат тоже не подходит, так как испоьзуются правила типа: <br>&gt; iptables -A FORWARD -m string &#8211;string &#171;firma.ru&#187; &#8211;algo kmp &#8211;to <br>&gt; 65535 -j ACCEPT <br><br>лучше сформулируйте то, что надо изначально, а не то, что получилось в результате нагромождения неких конструкций, основанных на технологиях собственного изобретения<br>