szerda 09 március 2011 09:24:19 dátummal Nyika Csaba az alábbiakat írta:
Sziasztok!
A fenti felallast szerttem volna kiprobalni - Barina Tamas utan szabadon -, de elakadtam. A csomagokat feltettem, azutan en is belefutottam a python-os hibaba, amit A Kovacs Krisztian altal publikalt patch megoldott. Szoval zorp el is indul a transparent http proxy hasit, de a https-el nem boldogulok. A konfigjaim a kovetkezoek:
ip + iptables:
ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100
iptables -t mangle -N DIVERT iptables -t mangle -A PREROUTING -p tcp -m socket --dport 433 -j DIVERT iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 443 -j TPROXY --on-port 50443 --on-ip 172.16.16.1 --tproxy-mark 0x1/0x1 iptables -t mangle -A DIVERT -j MARK --set-xmark 0x1/0xffffffff iptables -t mangle -A DIVERT -j ACCEPT Szia!
A DIVERT chain-ben teszed a csomagra a mark-ot, ami alapjan a policy routing (utan a 100-as tabla routingja) localra huzza a csomagot. Igy ha feltetelnek szabod a 443-as destination portot, akkor a valaszcsomagokra nem kerul mark. Tehat a DIVERT targetes sorbol vedd ki a --dport feltetelt. Gyula