Правила iptables

@JohnLemon · Регистрация: 14.02.2011

Студворк — интернет-сервис помощи студентам

Подскажите пожалуйста поставил на ubuntu desktop для использования локально squid, если в браузере прописываю 127.0.0.1 порт 8080 все нормально работает, добавил правило iptables

Bash
1
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

но почему то на squid не редеректит. подскажите, как правильно сделать, и в чем ошибка, плз? Инет настроен через pppoe.

Dr_Quake · 26.07.2014, 16:40

Если сквид правильно собран(у 3 по другому transparent пишется) - --to-destination 127.0.0.1

ort, а так ты только порт меняешь.

@JohnLemon · 26.07.2014, 17:40 **[ТС]**

сквид работает проверил

Добавлено через 58 минут
сделал так

Code
1
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:8080

Тоже ходит напрямую access.log не заполняется (((

Dr_Quake · 26.07.2014, 18:05

Конфиг сквида где? Судя по "пробовал" у тебя он в виде http_port 8080, а это неверно.

Добавлено через 49 секунд
P.S. И цепочка конечно же FORWARD где с полным конфигом iptables?

@JohnLemon · 26.07.2014, 18:39 **[ТС]**

Сообщение от Dr_Quake

http_port 8080, а это неверно.

Да такого вида, как правильно прописать ? Когда я в браузере то указываю прокси все работает?

Сообщение от Dr_Quake

P.S. И цепочка конечно же FORWARD где с полным конфигом iptables?

Больше нету правил никаких (

Добавлено через 27 минут
исправил конфиг

Code
1
2
3
4
5
6
http_port 8080 intercept
visible_hostname home
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
http_access allow all

добавил правило

Bash
1
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:8080

В роде редиректит но теперь сквид говорит нету доступа (

Dr_Quake · 26.07.2014, 19:07

http_port для transparent с 3 ОБЯЗАН быть иным. Так что для обычного прокси и для transparent 2 порта нужны, скажем, http_port 8081 transparent и редир на него через iptables, а 8080 оставь как было для просто прокси если надо.

@JohnLemon · 26.07.2014, 19:51 **[ТС]**

Переделал на 8081 как intercept я так понимаю это и есть transparent (transparent тоже прописывал такая же беда). Все равно нету доступа, в чем может быть проблема ???

Dr_Quake · 26.07.2014, 19:53

А, так ты ещё и сам с себя делаешь. Тут надо подумать и поэкспериментировать сначала. Для начала это будет не routing цепочка вообще.

@JohnLemon · 26.07.2014, 20:19 **[ТС]**

А, так ты ещё и сам с себя делаешь

мне по сути и нужно только самого себя, комп домашний хочу позакрывать ребенку фигню всякую ).

Добавлено через 13 минут
Пробовал и так

Code
1
iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-port 8080

Тоже не пашет (

Добавлено через 1 минуту
Может быть конечно postrouting, но там у меня вообще пишет что эта цепочка не принимает ни REDIRECT ни DNAT

Dr_Quake · 26.07.2014, 20:21

Ты откуда опять взял --to-port?!

@Amet13 · 26.07.2014, 21:11

Сообщение от JohnLemon

комп домашний хочу позакрывать ребенку фигню всякую

Ребёнок осилит https и всё. Транспарент этого не умеет.

Dr_Quake · 26.07.2014, 23:21

Amet13, скорее не так - он не осилит from self/to self правила чтобы сам squid не попал в редир, там же надо по PID уже будет писать, а это уже через пень-колоду...

JohnLemon, во-первых да - с помощью сквида это 100% дохлая идея, во-вторых см. замечание выше, если С НЕГО ЖЕ - надо очень раком писать правила и это нестабильно на данный момент.
В-третьих - средства должны быть ТАКИМИ ЖЕ, а не тупо прокси, например Gnome parental control, вроде Nanny зовётся, а лучше OpenDNS глобально, подмена DNS и всё, без рута скорее всего никуда не пролезет, локальный DANSGuardian аналогично, но неудобно и обновляться раком. Я бы начал с http://www.opendns.com/home-in... -controls/

@JohnLemon · 27.07.2014, 07:48 **[ТС]**

да это я от отчаяния уже все пробую ничего не выходит (

Добавлено через 3 минуты
Dr_Quake, да я для себя хочу разобраться что такое то неужели такая великая проблема сквид локально пустить

Dr_Quake · 27.07.2014, 10:36

Проблема делать transparent когда клиент на том же хосте что и сервер. Хотя по идее в убунте последнее ядро и там уже есть --uid-owner, тебе ещё и это надо дописать к правилам - чтобы только его перенаправляло, а сам squid под скорее всего squid пропускало. В принципе не проблема с этим ключом.

@JohnLemon · 27.07.2014, 14:08 **[ТС]**

да я по ходу решил уже сделал так

Code
1
iptables -A OUTPUT -m owner --uid-owner evgeny -t nat -p tcp --dport 80 -j REDIRECT --to-port 8081

В логи пишет, в роде работает сейчас буду правила тестить

@Korax · 31.07.2014, 09:14

для ограничения информации для детей можно попробовать фильтрацию на DNS
Например:

Кликните здесь для просмотра всего текста

http://dns.yandex.ru/

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .
SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .

Dr_Quake Заблокирован
	26.07.2014, 16:40
	Если сквид правильно собран(у 3 по другому transparent пишется) - --to-destination 127.0.0.1ort, а так ты только порт меняешь. 1

Dr_Quake Заблокирован
	26.07.2014, 18:05
	Конфиг сквида где? Судя по "пробовал" у тебя он в виде http_port 8080, а это неверно. Добавлено через 49 секунд P.S. И цепочка конечно же FORWARD где с полным конфигом iptables? 1

Dr_Quake Заблокирован
	26.07.2014, 19:07
	http_port для transparent с 3 ОБЯЗАН быть иным. Так что для обычного прокси и для transparent 2 порта нужны, скажем, http_port 8081 transparent и редир на него через iptables, а 8080 оставь как было для просто прокси если надо. 1

@JohnLemon 9 / 10 / 4 Регистрация: 14.02.2011 Сообщений: 253
	26.07.2014, 19:51 [ТС]
	Переделал на 8081 как intercept я так понимаю это и есть transparent (transparent тоже прописывал такая же беда). Все равно нету доступа, в чем может быть проблема ??? 0

Dr_Quake Заблокирован
	26.07.2014, 19:53
	А, так ты ещё и сам с себя делаешь. Тут надо подумать и поэкспериментировать сначала. Для начала это будет не routing цепочка вообще. 1

Dr_Quake Заблокирован
	26.07.2014, 20:21
	Ты откуда опять взял --to-port?! 1

Dr_Quake Заблокирован
	26.07.2014, 23:21
	Amet13, скорее не так - он не осилит from self/to self правила чтобы сам squid не попал в редир, там же надо по PID уже будет писать, а это уже через пень-колоду... JohnLemon, во-первых да - с помощью сквида это 100% дохлая идея, во-вторых см. замечание выше, если С НЕГО ЖЕ - надо очень раком писать правила и это нестабильно на данный момент. В-третьих - средства должны быть ТАКИМИ ЖЕ, а не тупо прокси, например Gnome parental control, вроде Nanny зовётся, а лучше OpenDNS глобально, подмена DNS и всё, без рута скорее всего никуда не пролезет, локальный DANSGuardian аналогично, но неудобно и обновляться раком. Я бы начал с http://www.opendns.com/home-in... -controls/ 1

@JohnLemon 9 / 10 / 4 Регистрация: 14.02.2011 Сообщений: 253
	27.07.2014, 07:48 [ТС]
	да это я от отчаяния уже все пробую ничего не выходит ( Добавлено через 3 минуты Dr_Quake, да я для себя хочу разобраться что такое то неужели такая великая проблема сквид локально пустить 0

Dr_Quake Заблокирован
	27.07.2014, 10:36
	Сообщение было отмечено JohnLemon как решение Решение Проблема делать transparent когда клиент на том же хосте что и сервер. Хотя по идее в убунте последнее ядро и там уже есть --uid-owner, тебе ещё и это надо дописать к правилам - чтобы только его перенаправляло, а сам squid под скорее всего squid пропускало. В принципе не проблема с этим ключом. 1

@Korax 866 / 438 / 130 Регистрация: 20.04.2014 Сообщений: 1,127
	31.07.2014, 09:14
	для ограничения информации для детей можно попробовать фильтрацию на DNS Например: Кликните здесь для просмотра всего текста http://dns.yandex.ru/ 0

Правила iptables

Решение