Правильный редирект 443 порта в iptables

@nauman · Регистрация: 03.11.2012

Студворк — интернет-сервис помощи студентам

Как правильно реализовать перенаправление портов исходящего трафика в iptables?
Из за блокировки государством некоторых сайтов решил пустить некоторый трафик через Tor, находящийся на домашнем сервере, он же шлюз, вся локальная сеть находится за натом.
К примеру:

Bash
1
$IPTABLES -t nat -A PREROUTING -p TCP -s 192.168.1.2 -m tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 8139

8139 - порт privoxy, privoxy перенаправляет трафик в Tor.
http - страницы грузятся.
https, он же - 443 не грузится, а должен.
Если использовать прокси плагин браузера и прописать туда "сервер:8139", тогда все прекрасно работает, но хочу всю локальную сеть завернуть через Tor.

@gng · 14.06.2017, 12:12

Сообщение от nauman

Как правильно реализовать перенаправление портов исходящего трафика в iptables?

У вас правило записано верно.
Проблема в данном случае в том, что privoxy не умеет или не настроен прозрачно проксировать https запросы. Я с этой программой не работал, подсказать конкретно не могу.

@nauman · 02.01.2018, 14:34 **[ТС]**

Решил все таки написать маленькую инструкцию, если кому-то понадобиться.
Для начала правим torrc файл, он обычно находится по пути: /etc/tor/torrc
В конец файла добавляем:
#Открываем доступ отовсюду на порт 9040

Code
1
2
TransPort 0.0.0.0:9040 
AutomapHostsOnResolve 1

Затем добавляем следующие правила в таблицу iptables:

Ваша подсеть:

Code
1
LAN_IP_RANGE="192.168.1.2-192.168.1.14"

#192.168.1.1 - адрес сервера где находится tor сервис.
Блокируем весь входящий трафик, если нужно:

Code
1
iptables -P INPUT DROP

Разрешаем доступ только из нашей подсети:

Code
1
iptables -I INPUT -p TCP -m iprange --src-range $LAN_IP_RANGE -m tcp -m multiport --dports 9040 -j ACCEPT

Перенаправляем трафик на наш tor по упоминанию "yandex" в URL адресе:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m string --string "yandex" --algo kmp --from 32 --to 300  -j DNAT --to-destination 192.168.1.1:9040

Перенаправляем трафик на "ya.ru" домен:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m tcp -d ya.ru -j DNAT --to-destination 192.168.1.1:9040

Перенаправляем трафик на наш tor сервис если он изначально направлен в определенный диапазон ip адресов:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m tcp --dst-range 18.196.0.0-18.197.255.255 -j DNAT --to-destination 192.168.1.1:9040

В конце перегружаем tor сервис и сохраняем таблицу пакетного фильтра.

Добавлено через 51 минуту
Забыл упомянуть, что правило:

Code
1
iptables -t nat -A PREROUTING -p TCP -m iprange --src-range $LAN_IP_RANGE -m string --string "yandex" --algo kmp --from 32 --to 300  -j DNAT --to-destination 192.168.1.1:9040

недостаточно справляется со своими задачами, может не работать.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

Правильный редирект 443 порта в iptables

Решение