Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
https://www.pro-linux.de/forum/

[x] Transparenter Proxy auf localhost

https://www.pro-linux.de/forum/viewtopic.php?t=1030562

Page 1 of 1

[x] Transparenter Proxy auf localhost

Posted: 29. Mar 2006 8:12
by Lateralus
Hi

Ich würde gerne (aus welchen Gründen auch immer) auf dem Rechner, mit dem ich ins Internet gehe, einen transparenten Proxy-Server einrichten. Nun habe ich (abgesehen davon, dass ich mir die genauen iptables-Befehle noch zusammensuchen muss) das Problem, dass es für mich nach einer theoretischen Unmöglichkeit aussieht:

Wenn der Proxy auf dem Rechner läuft, von dem die Anfragen an Port 80 und 443 kommen und diese dann an Port (sagen wir 3184) geleitet werden, dann werden auch die Anfragen des Proxy-Servers an diesen Port geleitet, so dass sie eine Schleife ergibt.

Wie ist dies zu verhindern? Ist dies zu verhindern?

frage

Posted: 29. Mar 2006 13:49
by brum
Grüß Dich,

ich verstehe die Fragestellung nicht :cry:

Du installiert eine Proxy auf Deinen Desktop. Z.B. 'privoxy'.
Dann konfiguriest Du Deinen Browser zu Port 3184 und der Proxys chaufelt Anfragen von 'draussen Port 80' nach 'intern Port 3184' und zurück.
Welche anderen Anfragen meinst Du?

bye brum

Posted: 29. Mar 2006 14:25
by Lateralus
Deshalb ja transparenter Proxy: Es soll keine Browsereinstellung nötig (das heißt keine Manipulation von Benutzern jenseits root) möglich sein. Ein transparenter Proxy wird - meines Wissens nach - mit NAT realisiert, indem man einfach alle Packete, die den Destination Port 80 (und welche anderen auch immer) hat an den Proxy-Port leitet.

Soweit so gut. Wenn nun der Proxy die Anfrage bearbeitet und sich entschließt, eine Anfrage ins Internet (oder wohin auch immer) zu schicken, dann tut er dies mit dem Destination-Port 80. Dieses Paket wird also auch durch NAT an den Proxy-Server zurückgeschickt...

Posted: 29. Mar 2006 20:31
by killerhippy
transparent proxy auf localhost habe ich noch nicht gemacht, aber ein bisschen $suchmachinen hat gezeigt, dass das kein ungewöhnlicher Wunsch ist und wird in der Online-Dokumentation von Squid berücksichtigt:

Interception on Linux with Squid and the Browser on the same box

Posted: 29. Mar 2006 22:13
by petameta
Nun ist der Link ja schon da, aber die Idee das mit dem "owner"-Filter zu machen kam mir auch grad. Selbigen benutze ich, um den Donkey bei Bedarf per QoS zu bremsen. Das ist wesentlich effektiver als nur Port 4662 zu filtern, da ja viele den Donkey nicht auf dem Standardport laufen haben.

Das mit über "id -g proxy" die Gruppen-ID rauszufinden ist denke nich nicht mehr nötig, man kann den Namen der Gruppe direkt an iptables übergeben. Zumindest klappt das bei mir mit der UID so. Evtl. war das ja bei früheren iptables-Versionen anders

Posted: 30. Mar 2006 7:26
by Lateralus
@killerhippy: Vielen Dank, funktioniert einwandfrei.
All times are UTC+01:00
Page 1 of 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/