[x] Transparenter Proxy auf localhost

Post Reply
Message
Author
User avatar
Lateralus
prolinux-forum-admin
Posts: 1238
Joined: 05. May 2004 7:35

[x] Transparenter Proxy auf localhost

#1 Post by Lateralus »

Hi

Ich würde gerne (aus welchen Gründen auch immer) auf dem Rechner, mit dem ich ins Internet gehe, einen transparenten Proxy-Server einrichten. Nun habe ich (abgesehen davon, dass ich mir die genauen iptables-Befehle noch zusammensuchen muss) das Problem, dass es für mich nach einer theoretischen Unmöglichkeit aussieht:

Wenn der Proxy auf dem Rechner läuft, von dem die Anfragen an Port 80 und 443 kommen und diese dann an Port (sagen wir 3184) geleitet werden, dann werden auch die Anfragen des Proxy-Servers an diesen Port geleitet, so dass sie eine Schleife ergibt.

Wie ist dies zu verhindern? Ist dies zu verhindern?
Last edited by Lateralus on 30. Mar 2006 7:28, edited 1 time in total.

brum

frage

#2 Post by brum »

Grüß Dich,

ich verstehe die Fragestellung nicht :cry:

Du installiert eine Proxy auf Deinen Desktop. Z.B. 'privoxy'.
Dann konfiguriest Du Deinen Browser zu Port 3184 und der Proxys chaufelt Anfragen von 'draussen Port 80' nach 'intern Port 3184' und zurück.
Welche anderen Anfragen meinst Du?

bye brum

User avatar
Lateralus
prolinux-forum-admin
Posts: 1238
Joined: 05. May 2004 7:35

#3 Post by Lateralus »

Deshalb ja transparenter Proxy: Es soll keine Browsereinstellung nötig (das heißt keine Manipulation von Benutzern jenseits root) möglich sein. Ein transparenter Proxy wird - meines Wissens nach - mit NAT realisiert, indem man einfach alle Packete, die den Destination Port 80 (und welche anderen auch immer) hat an den Proxy-Port leitet.

Soweit so gut. Wenn nun der Proxy die Anfrage bearbeitet und sich entschließt, eine Anfrage ins Internet (oder wohin auch immer) zu schicken, dann tut er dies mit dem Destination-Port 80. Dieses Paket wird also auch durch NAT an den Proxy-Server zurückgeschickt...

User avatar
killerhippy
Posts: 529
Joined: 19. May 2000 19:36
Contact:

#4 Post by killerhippy »

transparent proxy auf localhost habe ich noch nicht gemacht, aber ein bisschen $suchmachinen hat gezeigt, dass das kein ungewöhnlicher Wunsch ist und wird in der Online-Dokumentation von Squid berücksichtigt:

Interception on Linux with Squid and the Browser on the same box
Es gibt keine dumme Fragen!

Killerhippy

petameta
prolinux-forum-admin
Posts: 1294
Joined: 14. Feb 2003 13:19

#5 Post by petameta »

Nun ist der Link ja schon da, aber die Idee das mit dem "owner"-Filter zu machen kam mir auch grad. Selbigen benutze ich, um den Donkey bei Bedarf per QoS zu bremsen. Das ist wesentlich effektiver als nur Port 4662 zu filtern, da ja viele den Donkey nicht auf dem Standardport laufen haben.

Das mit über "id -g proxy" die Gruppen-ID rauszufinden ist denke nich nicht mehr nötig, man kann den Namen der Gruppe direkt an iptables übergeben. Zumindest klappt das bei mir mit der UID so. Evtl. war das ja bei früheren iptables-Versionen anders

User avatar
Lateralus
prolinux-forum-admin
Posts: 1238
Joined: 05. May 2004 7:35

#6 Post by Lateralus »

@killerhippy: Vielen Dank, funktioniert einwandfrei.

Post Reply