From: Tonguc Yumruk (tongucyumruk@interaktif.gen.tr)
Date: Mon 09 Aug 2004 - 14:24:45 EEST
Merhaba,
Mon, Aug 09, 2004 at 02:09:27PM +0300 Tarihinde Serdar KOYLU Demişki :
> Selamlar..
>
> Bu kadar uzatmadan,
>
> iptables -t nat -A PREROUTING -p tcp -s ! proxy.ip --dport 80 -j DNAT
> --to proxy.ip:3128
DNAT yöntemi bildiğim kadarıyla bazı koşullarda sorun çıkarta
biliyor.
Daha genel bir yöntem olduğu için fwmark yöntemini kullanmak istiyo
rum.
> Yapin, sadece gateway uzerinde. Bu yeterli olmasi lazim.
>
> iptables -t mangle -A PREROUTING -s proxy -p tcp --dport 80 -j ACCEPT
>
> satiri ile, paketi iptables paket yolundan cikariyorsunuz. Bu accept
> ile, paket kabul ediliyor ve devam eden kurallara bakilmiyor. Sorun
> burada sanirim.
Bu satır sadece proxy makinadan gelen paketlerin fwmark kuralına
takılmadan geçmesini sağlıyor. Diğer makineler bu kurala takılm
ıyorlar.
Zaten iptables'ın kural sayaçlarından görebildiğim kadarıyla ku
rallarda
bir sorun yok. Paketler düzgün bir şekilde işaretleniyor. Bu yüzd
en
sorunun routing'de olduğunu düşünüyorum.
>
> Saygi ve sevgiler..
>
> > Ağımdaki bir makinamda proxy server çalışıyor, gateway maki
nada
> > n http
> > isteklerini proxy makinasına yönlendirerek transparent proxy kurmak
> > istiyorum.
> > Önce gateway'den şu komutları yazıyorum:
> > iptables -t mangle -A PREROUTING -s proxy -p tcp --dport 80 -j ACCEPT
> > iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 1
> > ip rule add fwmark 1 table 42
> > ip route add default via proxy dev eth1 table 42
> >
> > Proxy makinadan da şu komutu veriyorum:
> > iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT -to-port
> > 3128
> >
> > Paketler uygun şekilde mark'lanıyor, fakat kesinlikle eklediğim r
ule'a
> > takılmadan normal şekilde proxy'ye uğramadan gateway üzerinden
ç
> > ıkıp
> > gidiyorlar.
> >
> > ip route flush cache dememe rağmen çalışmıyor. Paketlerin uyg
un r
> > oute
> > üzerinden gitmelerini nasıl sağlarım?
> >
> > --
> > Sevgi Saygı GNU/Linux
> > ########################################################################
> > Finagle's First Law:
> > If an experiment works, something has gone wrong.
> > ########################################################################
> > Tonguç Yumruk
> >
> >
> > -- Attached file included as plaintext by Ecartis --
> > -- File: signature.asc
> > -- Desc: Digital signature
> >
> > -----BEGIN PGP SIGNATURE-----
> > Version: GnuPG v1.2.4 (GNU/Linux)
> >
> > iD8DBQFBF1bA1xWu4MLSyoYRAphMAJ48HPRHby7n3emefHk7XAJvFmFp7gCfcueW
> > b8lJ4NmKf9RGEKqdKhirYQs
> > =qHkR
> > -----END PGP SIGNATURE-----
> >
> >
> >
>
-- Sevgi Saygı GNU/Linux ######################################################################## (1) Never draw what you can copy. (2) Never copy what you can trace. (3) Never trace what you can cut out and paste down. ######################################################################## Tonguç Yumruk-- Attached file included as plaintext by Ecartis -- -- File: signature.asc -- Desc: Digital signature
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQFBF1791xWu4MLSyoYRArt7AKDvltJF8s33FFe7ngie8sKoe0axawCcCYAY 4mRUdRSrUy58XiMAA7Bkzfg =KVSX -----END PGP SIGNATURE-----