Перейти до

прозрачный прокси и STG


Рекомендованные сообщения

Народ! Мож кто сталкивался как сделать чтоб траффик считался по направлениям используя прозрачный прокси. :bue:

Пробовал поиском по форуму нашел пару постов но без ответа, подскажите кто чем может

Ссылка на сообщение
Поделиться на других сайтах

вроде считать считает уже, но кто скажет решили ли проблему если указать прокси сервер из локальной сети с портом 80?

Ссылка на сообщение
Поделиться на других сайтах
вроде считать считает уже, но кто скажет решили ли проблему если указать прокси сервер из локальной сети с портом 80?

нет

с портом 80 можно ставить не только локальный сервер а и любой сайт или айпишник в зоне юа-икс - тоесть человек будет считатся беспл\дешего трафик

Ссылка на сообщение
Поделиться на других сайтах

так один вариант нашел как избежать этого,

у меня получается если я делаю так то все гуд

iptables -t nat -A PREROUTING -s 192.168.1.2 -p tcp --dport 80 ! -d 192.168.2.0/24 -i eth2 -j REDIRECT --to-ports 3128

 

т.е. 192.168.2.0/24 это сеть с очень дешовым траффиком, тока теперь вопрос как iptables сказать еще айпишники?

Ссылка на сообщение
Поделиться на других сайтах

Вот вроде решил проблему.

Суть - не загонять на прокси дешёвые направления.

 

пример:

iptables -t nat -N halyava    \\создадим цепочку

grep "^" halyava.ip | while read ip;    \\halyava.ip файлик с дешёвыми сетями
do
   if [ $ip <> NULL ]
      then iptables -t nat -A UA_IX -d $ip -j ACCEPT   \\добавляем сети в цепочку
   fi
done

iptables -t nat -I PREROUTING 1 -p tcp --dport 80 -s 10.0.0.0/8 -j halyava \\заворачиваем клиентов на цепочку halyava
iptables -t nat -A PREROUTING -s 10.10.10.5 -p tcp --dport 80 -j REDIRECT --to-port 3128 \\если адресат был не в халявной сети то он пробежит всю цепочку и забежит на прокси, если нет то на прокси просто не пойдёт :)

 

Не пинать.... написал как смог....

Ссылка на сообщение
Поделиться на других сайтах

Лучше будет поставить редирект в конце халявной цепочки, а цели для остальных правил халявной цепи ставить не ACCEPT, а RETURN. В этом случае ты избежишь проблем, если в будущем будешь добавлять какие-то другие НАТы. Будет работать по принципу -"Если не напоролся на адрес UA-IX и не выскочил из халявной цепи - добро пожаловать на ридерект.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...