[x] Transparenter Proxy auf localhost

Antworten
Nachricht
Autor
Benutzeravatar
Lateralus
prolinux-forum-admin
Beiträge: 1238
Registriert: 05. Mai 2004 7:35

[x] Transparenter Proxy auf localhost

#1 Beitrag von Lateralus » 29. Mär 2006 8:12

Hi

Ich würde gerne (aus welchen Gründen auch immer) auf dem Rechner, mit dem ich ins Internet gehe, einen transparenten Proxy-Server einrichten. Nun habe ich (abgesehen davon, dass ich mir die genauen iptables-Befehle noch zusammensuchen muss) das Problem, dass es für mich nach einer theoretischen Unmöglichkeit aussieht:

Wenn der Proxy auf dem Rechner läuft, von dem die Anfragen an Port 80 und 443 kommen und diese dann an Port (sagen wir 3184) geleitet werden, dann werden auch die Anfragen des Proxy-Servers an diesen Port geleitet, so dass sie eine Schleife ergibt.

Wie ist dies zu verhindern? Ist dies zu verhindern?
Zuletzt geändert von Lateralus am 30. Mär 2006 7:28, insgesamt 1-mal geändert.

brum

frage

#2 Beitrag von brum » 29. Mär 2006 13:49

Grüß Dich,

ich verstehe die Fragestellung nicht :cry:

Du installiert eine Proxy auf Deinen Desktop. Z.B. 'privoxy'.
Dann konfiguriest Du Deinen Browser zu Port 3184 und der Proxys chaufelt Anfragen von 'draussen Port 80' nach 'intern Port 3184' und zurück.
Welche anderen Anfragen meinst Du?

bye brum

Benutzeravatar
Lateralus
prolinux-forum-admin
Beiträge: 1238
Registriert: 05. Mai 2004 7:35

#3 Beitrag von Lateralus » 29. Mär 2006 14:25

Deshalb ja transparenter Proxy: Es soll keine Browsereinstellung nötig (das heißt keine Manipulation von Benutzern jenseits root) möglich sein. Ein transparenter Proxy wird - meines Wissens nach - mit NAT realisiert, indem man einfach alle Packete, die den Destination Port 80 (und welche anderen auch immer) hat an den Proxy-Port leitet.

Soweit so gut. Wenn nun der Proxy die Anfrage bearbeitet und sich entschließt, eine Anfrage ins Internet (oder wohin auch immer) zu schicken, dann tut er dies mit dem Destination-Port 80. Dieses Paket wird also auch durch NAT an den Proxy-Server zurückgeschickt...

Benutzeravatar
killerhippy
Beiträge: 529
Registriert: 19. Mai 2000 19:36
Kontaktdaten:

#4 Beitrag von killerhippy » 29. Mär 2006 20:31

transparent proxy auf localhost habe ich noch nicht gemacht, aber ein bisschen $suchmachinen hat gezeigt, dass das kein ungewöhnlicher Wunsch ist und wird in der Online-Dokumentation von Squid berücksichtigt:

Interception on Linux with Squid and the Browser on the same box
Es gibt keine dumme Fragen!

Killerhippy

petameta
prolinux-forum-admin
Beiträge: 1294
Registriert: 14. Feb 2003 13:19

#5 Beitrag von petameta » 29. Mär 2006 22:13

Nun ist der Link ja schon da, aber die Idee das mit dem "owner"-Filter zu machen kam mir auch grad. Selbigen benutze ich, um den Donkey bei Bedarf per QoS zu bremsen. Das ist wesentlich effektiver als nur Port 4662 zu filtern, da ja viele den Donkey nicht auf dem Standardport laufen haben.

Das mit über "id -g proxy" die Gruppen-ID rauszufinden ist denke nich nicht mehr nötig, man kann den Namen der Gruppe direkt an iptables übergeben. Zumindest klappt das bei mir mit der UID so. Evtl. war das ja bei früheren iptables-Versionen anders

Benutzeravatar
Lateralus
prolinux-forum-admin
Beiträge: 1238
Registriert: 05. Mai 2004 7:35

#6 Beitrag von Lateralus » 30. Mär 2006 7:26

@killerhippy: Vielen Dank, funktioniert einwandfrei.

Antworten