Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Installfest 2026 - hlasování o přednáškách a workshopech

dnes 13:44 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní Installfest, jenž proběhne o víkendu 28. a 29. března v Praze na Karlově náměstí 13.

Ladislav Hagara | Komentářů: 0

GIMP 3.2 RC3

dnes 04:33 | Nová verze

Byla vydána (Mastodon, 𝕏) třetí RC verze GIMPu 3.2. Přehled novinek v oznámení o vydání. Podrobně v souboru NEWS na GitLabu.

Ladislav Hagara | Komentářů: 0

iPhone 17e a iPad Air s čipem M4

včera 21:44 | IT novinky

Apple představil iPhone 17e a iPad Air s čipem M4.

Ladislav Hagara | Komentářů: 4

Gram 1.0

včera 21:11 | Zajímavý software

Byla vydána verze 1.0 editoru kódů Gram. Jedná se o fork editoru Zed bez telemetrie a umělé inteligence.

Ladislav Hagara | Komentářů: 0

Oznámena spolupráce GrapheneOS s Motorolou

včera 20:33 | IT novinky

Byla oznámena spolupráce GrapheneOS s Motorolou. Podrobnosti v tiskové zprávě. GrapheneOS (Wikpedie) je varianta Androidu zaměřující se na bezpečnost a soukromí.

Ladislav Hagara | Komentářů: 0

Armbian 26.2.1

včera 02:22 | Nová verze

Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 26.2.1. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0

Začaly volby do Rady openSUSE

včera 02:11 | Komunita

Volí se dvě místa v Radě openSUSE. Seznamte se se čtyřmi kandidáty. Členové projektu openSUSE mohou hlasovat od 1. do 8. března. Výsledky budou oznámeny 9. března.

lkocman | Komentářů: 2

OpenAI uzavřela dohodu s Pentagonem

1.3. 19:22 | IT novinky

Společnost OpenAI uzavřela dohodu s americkým ministerstvem obrany o poskytování technologií umělé inteligence (AI) pro utajované sítě americké armády. Firma to oznámila několik hodin poté, co prezident Donald Trump nařídil vládě, aby přestala využívat služby společnosti Anthropic.

Ladislav Hagara | Komentářů: 12

Pentagon označil Anthropic za bezpečnostní riziko

1.3. 13:33 | IT novinky

Technologická společnost Anthropic v noci na dnešek oznámila, že se obrátí na soud kvůli rozhodnutí ministerstva obrany označit ji za bezpečnostní riziko dodavatelského řetězce poté, co nevyhověla jeho požadavkům týkajícím se používání umělé inteligence (AI). Prezident Donald Trump krátce před tím uvedl, že nařídil federálním úřadům postupně ukončit využívání jejích AI technologií. Spor mezi firmou vyvíjející chatbot Claude a

… více »

Ladislav Hagara | Komentářů: 15

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík

28.2. 15:44 | Upozornění

Zemřel Rob Grant, spolutvůrce kultovního sci-fi seriálu Červený trpaslík.

Ladislav Hagara | Komentářů: 8

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 25, poslední 3.2. 19:50

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Transparentní proxy + iptables

Štítky: BIND, DNS, firewally, Internet, iptables, proxy, server, sítě, SQUID

Dotaz: Transparentní proxy + iptables

3.5.2008 14:27 tommycz91
Transparentní proxy + iptables

Přečteno: 993×

Odpovědět | Admin

Zdravím, neporadil by mi někdo s nastavením transparentní proxy? v squid.conf mám http_port 3218 transparent, ale nedaří se mi nastavit správně iptables. Přikládám schéma sítě:

        ------------------------------        ------------------------
--NET--|ADSL modem/router (10.0.0.138)|------|squid,bind,...(10.0.0.1)|
        ------------------------------        ------------------------
           |                 |
           |                 |
       --------------     --------------
      |pc01 10.0.0.10|   |pc02 10.0.0.11|
       --------------     --------------

Na pc01 a pc02 mám nastavenou výchozí bránu 10.0.0.138 a DNS 10.0.0.1 a náhradní 10.0.0.138. Jde nějak nastavit, abych nemusel na obou počítačích ručně nastavovat proxy? Jde o to, že ten počítač se squidem a bindem není občas spuštěnej,takže oba počítače použijí náhradní DNS server a jsou připojení bez proxy.

Když to shrnu, tak mi jde o tohle: když je použit jako DNS server 10.0.0.1, je všechno přesměrováno na transparentní proxy na stejném pc 10.0.0.1. jde to vůbec takhle udělat? Předem díky za všechny odpovědi.

Nástroje: Začni sledovat (0) ?

Odpovědi

3.5.2008 15:40 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Transparentní proxy + iptables

Nastavení iptables by bylo třeba

iptables -t nat -A PREROUTING -p tcp -i eth? --dport 80 -s !10.0.0.1 -j DNAT --to-destination 10.0.0.1:3128

Ale jste si jist, že na tom ADSL modemu jsou iptables?

Závislost na tom, jaký je použit DNS server půjde udělat asi dost těžko. Leda že byste pravidelně pingal na 10.0.0.1 a pokud bude dostupný, přidal tohle pravidlo, pokud nebude dostupný, zase jej odmazal. A přišlo by mi jednodušší zařídit, aby ten počítač 10.0.0.1 byl spuštěn vždy, když je potřeba, nebo proxy server nepoužívat.

3.5.2008 15:50 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: Transparentní proxy + iptables

taky si nejsem jistej ze ADSL router bude umet iptables, a iptables na tom PC kde je proxy ti jsou k nicemu. A jak budes zjistovat a menit proxy podle toho jestli PC bezi nebo ne by me taky zajimalo, ale prohlizece by se meli umet samy nakonfigurovat, automaticka konfigurace proxy. nasel jsem k tomu treba tohle - zde. Kdyby ten PC nebezel, nemeli by se z ceho nakonfigurovat, a nabehnout bez nastavene proxy.

Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.

2.6.2008 19:03 Marek
Rozbalit Rozbalit vše Re: Transparentní proxy + iptables

Nastavuji iptables na ADSL modemu při stejném rozvržení, jako je výše. Použil jsem Váš řádek pro iptables, ale bez úspěchu. Prosím tedy o radu nastavení iptables se směrováním na port 3128 (transparentní proxy server pomocí SQUID).

ADSL modem => 10.0.0.138 SQUID,DNS => 10.0.0.1 Ostatní PC => 10.0.0.2 - 10.0.0.5

Pokud zadám přímo v prohližeči PROXY server 10.0.0.1:3128, je instalace funkční. IPTABLES lze nastavit přímo na ADSL modemu.

Ohledně tohoto tématu je na Google dost, ale zatím nic funkčního (testováno REDIRECT i DNAT).

2.6.2008 20:05 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Transparentní proxy + iptables

Ten výše uvedený příklad funguje jenom v případě, že Squid je v jiné IP síti než klienti, tj. firewall mezi nimi routuje. Pokud jsou ve stejné síti, odpoví počítač se Squidem přímo, jenže klient odpověď z této IP adresy nečeká, takže paket zahodí a spojení se nenaváže. Řešení je buď Squid přesunout na jinou IP síť (třeba 10.0.1.0/24) nebo na firewallu dělat vedle DNATu i SNAT na IP adresu firewallu – Squid pak odpoví jemu a firewall může i paket s odpovědí upravit podle pravidel DNATu a klient dostane odpověď od té IP adresy, od které ji očekává.

Spíš bych se ale transparentnímu proxy serveru vyhnul, podle mne jsou s tím jenom problémy. Někdo udělá web na portu 8080 nebo 81 a prohlížeč už se na ten web nedostane – nebo musíte přidat další nestandardní porty do NATu, a to abyste tam přidal všechny, protože web si může každý provozovat na jakém portu se mu zlíbí.

3.6.2008 11:22 Marek
Rozbalit Rozbalit vše Re: Transparentní proxy + iptables

Moc Vám děkuji za radu, otestoval jsem tedy změnu IP adresy stroje se SQUIDem na 10.10.10.1, bohužel beze změny. Možný problém bych viděl v routeru, kde fuguruje více rozhraní: br0, eth0, nas0, ppp0 (externí), tiwlan0 a samořejmě lo.

Po nastavení na eth0 k žádné změně nedojde (shodaná MAC s br0), pokud se nastaví na br0, spojení k internetu není funkční.

Založit nové vlákno • Nahoru

Tiskni Sdílej: