Как использовать iptables для подключения прокси-сервера

Question

В моей компании все http и https должны подключаться к прокси-серверу, что означает, что мы должны установить прокси в нашем веб-браузере.

Наш отдел имеет внутреннюю сеть (192.168.0.xxx). Я использую сервер Linux в качестве маршрутизатора, для настройки NAT используйте iptables.

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Теперь роутер Linux работает хорошо. Мы можем установить прокси для доступа в интернет.

Мой вопрос: я хочу использовать маршрутизатор Linux для подключения прокси-сервера, чтобы компьютеры нашей внутренней сети (192.168.0.xxx) могли выходить в Интернет без настройки прокси.

Это возможно?

Answer 1

Не проверяя его, я думаю, что решение @ymn действительно для HTTP, но я не думаю, что вы можете обойтись без указания эквивалентной строки для HTTPS - действительно, любое такое решение должно вызывать ошибки сертификата и т.д., Потому что вы, в действительности, проводить атаку «человек посередине» в своей сети.

(Возможно, вам удастся обойти это - в некоторой степени - но это не очень хорошая идея, поскольку вы лишаете безопасности, которую дает SSL. Взгляните на sslstrip - http://www.thoughtcrime.org/software/sslstrip/)

Может быть, лучше было бы попытаться сделать автоконфигурацию прокси (WPAD с DHCP) - http://wiki.squid-cache.org/SquidFaq/ConfiguringBrowsers#Fully_Automatics_Configuring_Browsers_for_WPAD

Answer 2

Попробуйте это правило:

iptables -t nat -A PREROUTING -i eth0 -s ! 192.168.0.2 -p tcp --dport 80 -j DNAT --to 192.168.0.2:3128
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d 192.168.0.2 -j SNAT --to 192.168.0.1
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.2 -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

где:

192.168.0.2 - proxy server IP (Squid, etc);
192.168.0.1 - router IP (where started iptables);
192.168.0.0/24 - your local network

Я могу ошибаться, проверьте внимательно.