Jump to content
Sign in to follow this  
handler

iptables за прокси

Recommended Posts

Здравствуйте!

Администрирую сеть с роутером на базе линукс, который, в свою очередь, сам стоит за роутером, на котором стоит прокси.

Таким образом, в вверенной мне сети все клиенты и сам роутер в том числе (имеется в виду приложения, работающие с веб-трафиком) приходится настраивать на прокси, к примеру: 192. 168.100.100:8080

На роутере поднят нат и форвардинг, чтобы машины из сети могли ходить в интерент.

Но мне не хочется на каждой машине настраивать прокси, потому я добавил правило в фаервол:

iptables -t nat -A PREROUTING -s $LOCAL_NET -p tcp --dport 80 -j DNAT --to 192.168.100.100.8080

Но такая конструкция не работает.

Возможно ли написать правило для всей сети, чтобы не настраивать каждого клиента?

ВАЖНО: сам роутер также стоит за прокси и также требует настройки

Share this post


Link to post
Share on other sites

Алексей писал(а) Sun, 20 December 2009 12:44

На роутере поднят нат и форвардинг, чтобы машины из сети могли ходить в интерент.

Но мне не хочется на каждой машине настраивать прокси, потому я добавил правило в фаервол:

iptables -t nat -A PREROUTING -s $LOCAL_NET -p tcp --dport 80 -j DNAT --to 192.168.100.100.8080

Но такая конструкция не работает.

Возможно ли написать правило для всей сети, чтобы не настраивать каждого клиента?

Если остальные правила прописаны верно, то

iptables -t nat -A PREROUTING -s $LOCAL_NET -p tcp --dport 80 -j DNAT --to-destination 192.168.100.100:8080

по идее должно работать

Цитата:

ВАЖНО: сам роутер также стоит за прокси и также требует настройки

Конкретно для этой задачи значения не имеет.

PS: В том случае, конечно, если эти пакеты не надо s-натить.

Share this post


Link to post
Share on other sites

Byte писал(а) Mon, 21 December 2009 12:25

Кстати, а построутинг настраивать не надо для этого случая?

Из представленных Алексеем сведений, это нельзя заключить наверняка.

Если на прокси марштутизуется один ip, а остальные надо натить, то построутинг здесь нужен, а если вся подсеть - то нет, благо недостатка в серых адресах нету.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...