Правильный редирект 443 порта в iptables

@nauman · Регистрация: 03.11.2012

Студворк — интернет-сервис помощи студентам

Как правильно реализовать перенаправление портов исходящего трафика в iptables?
Из за блокировки государством некоторых сайтов решил пустить некоторый трафик через Tor, находящийся на домашнем сервере, он же шлюз, вся локальная сеть находится за натом.
К примеру:

Bash
1
$IPTABLES -t nat -A PREROUTING -p TCP -s 192.168.1.2 -m tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 8139

8139 - порт privoxy, privoxy перенаправляет трафик в Tor.
http - страницы грузятся.
https, он же - 443 не грузится, а должен.
Если использовать прокси плагин браузера и прописать туда "сервер:8139", тогда все прекрасно работает, но хочу всю локальную сеть завернуть через Tor.

@gng · 14.06.2017, 12:12

Сообщение от nauman

Как правильно реализовать перенаправление портов исходящего трафика в iptables?

У вас правило записано верно.
Проблема в данном случае в том, что privoxy не умеет или не настроен прозрачно проксировать https запросы. Я с этой программой не работал, подсказать конкретно не могу.

@nauman · 02.01.2018, 14:34 **[ТС]**

Решил все таки написать маленькую инструкцию, если кому-то понадобиться.
Для начала правим torrc файл, он обычно находится по пути: /etc/tor/torrc
В конец файла добавляем:
#Открываем доступ отовсюду на порт 9040

Code
1
2
TransPort 0.0.0.0:9040 
AutomapHostsOnResolve 1

Затем добавляем следующие правила в таблицу iptables:

Ваша подсеть:

Code
1
LAN_IP_RANGE="192.168.1.2-192.168.1.14"

#192.168.1.1 - адрес сервера где находится tor сервис.
Блокируем весь входящий трафик, если нужно:

Code
1
iptables -P INPUT DROP

Разрешаем доступ только из нашей подсети:

Code
1
iptables -I INPUT -p TCP -m iprange --src-range $LAN_IP_RANGE -m tcp -m multiport --dports 9040 -j ACCEPT

Перенаправляем трафик на наш tor по упоминанию "yandex" в URL адресе:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m string --string "yandex" --algo kmp --from 32 --to 300  -j DNAT --to-destination 192.168.1.1:9040

Перенаправляем трафик на "ya.ru" домен:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m tcp -d ya.ru -j DNAT --to-destination 192.168.1.1:9040

Перенаправляем трафик на наш tor сервис если он изначально направлен в определенный диапазон ip адресов:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m tcp --dst-range 18.196.0.0-18.197.255.255 -j DNAT --to-destination 192.168.1.1:9040

В конце перегружаем tor сервис и сохраняем таблицу пакетного фильтра.

Добавлено через 51 минуту
Забыл упомянуть, что правило:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m string --string "yandex" --algo kmp --from 32 --to 300  -j DNAT --to-destination 192.168.1.1:9040

недостаточно справляется со своими задачами, может не работать.

Новые блоги и статьи Все статьи Все блоги /
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.

Правильный редирект 443 порта в iptables

Решение