-I PREROUTING 2 -> scheiss paste and copy ;o) habe ichs falsch von oben übernommen ;o)))
super danke....
multipath-routing und transparenter proxy
Moderator: Securepoint
írgendwie funktioniert das leider nicht mit ausnahmen für bestimmte seiten...beim starten des scriptes kommt folgende meldung:
# sh /tmp/symantec.sh
iptables v1.4.0: Can't use -o with PREROUTING
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.0: Can't use -o with PREROUTING
Try `iptables -h' or 'iptables --help' for more information.
#
# sh /tmp/symantec.sh
iptables v1.4.0: Can't use -o with PREROUTING
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.0: Can't use -o with PREROUTING
Try `iptables -h' or 'iptables --help' for more information.
#
-
Christian Beyer
- Securepoint
- Beiträge: 170
- Registriert: Mo 17.11.2008, 21:38
- Kontaktdaten:
Hallo,
ersetzen Sie 'PREROUTING' durch 'POSTROUTING'.
iptables -t nat -D POSTROUTING -d [IP-des-Servers-mit-der-Webseite]/32 -o eth0 -p tcp -m tcp --dport 80 -j RETURN
iptables -t nat -I 2 POSTROUTING -d [IP-des-Servers-mit-der-Webseite]/32 -o eth0 -p tcp -m tcp --dport 80 -j RETURN
ersetzen Sie 'PREROUTING' durch 'POSTROUTING'.
iptables -t nat -D POSTROUTING -d [IP-des-Servers-mit-der-Webseite]/32 -o eth0 -p tcp -m tcp --dport 80 -j RETURN
iptables -t nat -I 2 POSTROUTING -d [IP-des-Servers-mit-der-Webseite]/32 -o eth0 -p tcp -m tcp --dport 80 -j RETURN
Dann lassen sie den Teil mit "-o eth0" weg. Da das eine recht spezifische Regel ist, wird es nicht nötig sein das Interface zu spezifizieren. Trotzdem muss die Regel in der PREROUTING-Chain stehen.
Zuletzt geändert von Erik am Sa 17.10.2009, 21:23, insgesamt 1-mal geändert.
nachdem ich mir jetzt stundenlang tutorials zu iptables durchgelesen habe (habe von linux eigentlich kaum ahnung), muss es wirklich prerouting statt postrouting sein, da ich ja den proxy umgehen will. leider klappt das aber immernoch noch nicht, auch mit weglassen des -o eth0 ..... ;o(
Ja...was soll ich sagen? Hab das vor ein paar Minuten getestet. Und naja es geht 
Bitte schauen Sie mal, ob das bei Ihnen ähnlich aussieht.
Code: Alles auswählen
# spcli show extc_template /tmp/proxytest.sh
#!/bin/sh
iptables -t nat -D PREROUTING -d 88.80.195.34/32 -p tcp -m tcp --dport 80 -j RETURN
iptables -t nat -I PREROUTING 2 -d 88.80.195.34/32 -p tcp -m tcp --dport 80 -j RETURN
Code: Alles auswählen
# iptables -t nat -L PREROUTING -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
SPUVA_NAT_PREROUTING all -- 0.0.0.0/0 0.0.0.0/0
RETURN tcp -- 0.0.0.0/0 88.80.195.34 tcp dpt:80
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 8080
Code: Alles auswählen
# spcli show history | grep cron
<14>Oct 18 13:22:43 server: cron5: /tmp/proxytest.sh
<14>Oct 18 13:27:44 server: cron5: /tmp/proxytest.sh
<14>Oct 18 13:32:45 server: cron5: /tmp/proxytest.sh
<14>Oct 18 13:37:46 server: cron5: /tmp/proxytest.sh
<14>Oct 18 13:42:47 server: cron5: /tmp/proxytest.sh
noch ne kurze frage ;o) (muss ja den fred hier bissl am leben erhalten)
könnte ich mit
#!/bin/sh
iptables -t nat -D PREROUTING -d 192.168.1.30/32 -i eth1 -p tcp -m tcp --dport 110 -j RETURN
iptables -t nat -I PREROUTING 2 -d 192.168.1.30/32 -i eth1 -p tcp -m tcp --dport 110 -j RETURN
es erreichen, das der client 192.168.1.30 den pop3 proxy (transparent) umgeht und direkt via pop3 abruft?
könnte ich mit
#!/bin/sh
iptables -t nat -D PREROUTING -d 192.168.1.30/32 -i eth1 -p tcp -m tcp --dport 110 -j RETURN
iptables -t nat -I PREROUTING 2 -d 192.168.1.30/32 -i eth1 -p tcp -m tcp --dport 110 -j RETURN
es erreichen, das der client 192.168.1.30 den pop3 proxy (transparent) umgeht und direkt via pop3 abruft?
Zuletzt geändert von Petasch am So 18.10.2009, 20:47, insgesamt 1-mal geändert.