Dansguardian+SQUID3 localhost-on

Hálózatok általános

Hello,

Szerver:

eth0 192.168.1.252 192.168.1.0/24
eth0:1 192.168.2.252 192.168.2.0/24
eth1: 195.x.x.x

Rajta squid3+dansguardian. squid transparent módban, mindenkettő 127.0.0.1-re konfigolva.

Szeretném a teljes hálózati forgalmat a szűrőn átkergetni.
Ha a dansguardian-t a 192.168.x.252-re rakom akkor megy minden további nélkül, de ez nem megoldás, mert akkor a másik subnet-et nem tudom szűrni.
Két ip-n nem tud figyelni (fixme) ezért gondoltam a localhost-ra rakni.
Ha localhostról nézek meg egy oldalt firefox-al, akkor szépen működik, de más gépről indítva egy darab csomag sem jön át az lo-ra.

Mit kéne tennem, hogy menjen ?

Így néznek ki a szabályaim:

PROXY_PORT=8080
PROXY_IP1=127.0.0.1
PROXY_IP2=127.0.0.1

iptables -F
iptables -F -t nat

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j DNAT --to $PROXY_IP1:$PROXY_PORT
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port $PROXY_PORT
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j DNAT --to $PROXY_IP2:$PROXY_PORT
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -j REDIRECT --to-port $PROXY_PORT

iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner proxy --dport 80 -j REDIRECT --to-ports 8080
iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner dansguardian --dport 3128 -j REDIRECT --to-ports 8080

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.2.0/24 -j SNAT --to-source=195.x.x.x

( stra | 2014. 11. 28., p – 10:33 )

"Két ip-n nem tud figyelni (fixme)"
Amikor konfiguráltad, a dansguardian.conf-ban ezt láttad: 


# Network Settings
#
# the IP that DansGuardian listens on.  If left blank DansGuardian will
# listen on all IPs.  That would include all NICs, loopback, modem, etc.
# Normally you would have your firewall protecting this, but if you want
# you can limit it to a certain IP. To bind to multiple interfaces,
# specify each IP on an individual filterip line.
filterip =

"de más gépről indítva egy darab csomag sem jön át az lo-ra."
Miért a loopbacken várod? Más gépről a szokásos interfészen fog bejönni a csomag. Az pedig egy másik kérdés, hogy a NAT (akár DNAT, akár REDIRECT) mit változtat a csomag cél IP-jén.

Miért van azonos feltételhez két különböző tevékenység megadva? Így ugye a másodikra soha nem kerül sor.
Ha a 192.168.1.0/24 PREROUTING szabályt interfésszel együtt adtad meg, akkor a 192.168.2.0/24-et miért nem?

# Normally you would have your firewall protecting this, but if you want
# you can limit it to a certain IP. To bind to multiple interfaces,
# specify each IP on an individual filterip line.

Ezt benéztem. Illetve már olyan konfigot reszeltem, amiben nem voltak kommentek. Google-ztam pedig keményen a multiple ip-re :(...


Miért a loopbacken várod? Más gépről a szokásos interfészen fog bejönni a csomag. Az pedig egy másik kérdés, hogy a NAT (akár DNAT, akár REDIRECT) mit változtat a csomag cél IP-jén.

Ok, világos. A cél ip nem fogja az interfészt megváltoztatni.


Miért van azonos feltételhez két különböző tevékenység megadva? Így ugye a másodikra soha nem kerül sor.

Korábbi próbálkozás, lusta voltam utána járni és kivenni ami nem kell.


Ha a 192.168.1.0/24 PREROUTING szabályt interfésszel együtt adtad meg, akkor a 192.168.2.0/24-et miért nem?

Remek kérdés :). Most van itt az ideje rendbe rakni ezt is.

Működik a multiple ip ez a lényeg. Innentől menni fog..
Köszönöm a segítséget!