[Proxy] Iptables per Loopback

[WillyLord]

Ciao a tutti,
sul mio proxy Ubuntu ho installato squid e p3scan rispettivamente per fare proxy web e di posta con mascheramento dell'ip.
In breve, avendo aggiunto delle alcune regole sul router, i computer client non navigavano più perchè la trasmissione dei dns avveniva comunque via proxy, ma non veniva mascherata quindi verso il router figurava l'ip del client e la risoluzione dell'host veniva respinta.

Ho installato quindi DnsMasq , che non è altro che un proxy Dns.
Inserendo come Dns primario l'Ip del Pc Proxy infatti tutto funziona bene.

Ora arriva il mio quesito:

Attualmente i pc client hanno, come default gw l'ip del proxy e come Dns quello predefinito di Telecom (151.99.125.2). Visto che sono più di 100 pc client, non posso modificare tutti i dns, mi chiedevo quindi se era possibile fare una regola (magari via Netfilter/Iptables) per fare in modo tutte le richieste verso il proxy dell'ip 151.99.125.2 vengano automaticamente processate sulla macchina stessa (quindi come localhost).

Dite che è possibile?

Grazie

[WillyLord]

up

[Z0rn]

aiuto...
intanto cerca iptabled4dummies, ovvero come configurare un firewall guida in italiano che non guasta mai.
Poi: se reindirizzi le chiamate alla porta web, pop3 e smtp al tuo proxy, per quale motivo non dovrebbero andare piu' le chiamate al DNS? Deduco che la configurazione di iptables non e' congruente con quanto dici. Ricorda che con iptables ovviamente puoi mascherare e nattare anche le chiamate dns. Alternativamente installa un server dns che faccia banalmente da cache sul tuo server, cosa che velocizzerà di qualche punto percentuale le ricerche dei nomi. Prova a postare qualche stralcio, magari commentato a dovere, delle regole iptables...

[WillyLord]

Installando un server dns sulla macchina proxy, penso sarei comunque costretto a modificare le impostazioni dns sui client,quindi non risolverebbe il mio problema.

Questo è l'attuale stato di iptables:

# Generated by iptables-save v1.3.6 on Wed Apr 16 13:01:04 2008
*nat
:PREROUTING ACCEPT [15:808]
:POSTROUTING ACCEPT [20:1200]
:OUTPUT ACCEPT [17:1020]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 563 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth0 -p tcp -m tcp --dport 110 -j REDIRECT --to-ports 8110
-A PREROUTING -i eth0 -p tcp -m tcp --dport 25 -j REDIRECT --to-ports 8110
-A PREROUTING -i eth0 -p tcp -m tcp --dport 995 -j REDIRECT --to-ports 8110
-A PREROUTING -i eth0 -p tcp -m tcp --dport 143 -j REDIRECT --to-ports 8110
-A OUTPUT -p tcp -m tcp --dport 110 -m owner --uid-owner p3scan -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j REDIRECT --to-ports 8110
COMMIT
# Completed on Wed Apr 16 13:01:04 2008

Con queste regole faccio semplicemente girare le porte di default di posta e web su p3scan e squid.

[WillyLord]

In pratica quello che dovrei fare è una rotta statica.
Ogni volta che una richiesta viene effettuata verso il 151.99.125.2 , deve essere processata come localhost.

[Z0rn]

Se le tue regole finiscono li' ti manca completamente il natting.
Come ti suggerivo nel primo messaggio (ipt4dummies), vai qui:
https://wiki.augo.it/manuali/linux/i...ummies-24.html
e nello specifico qui:
https://wiki.augo.it/manuali/linux/i...ummies-25.html