csütörtök 10 március 2011 15:44:55 dátummal Nyika Csaba az alábbiakat írta:
Sziasztok!
A problema megoldodott, koszonom a segitseget mindenkinek. Par szoban:
Gyula irat: >> A DIVERT chain-ben teszed a csomagra a mark-ot, ami alapjan a policy routing >> (utan a 100-as tabla routingja) localra huzza a csomagot. Igy ha feltetelnek >> szabod a 443-as destination portot, akkor a valaszcsomagokra nem kerul mark.>> Tehat a DIVERT targetes sorbol vedd ki a --dport feltetelt.>>
Ez igy nem teljesen igaz ebben az esetben. A SYN-es csomagokat a --tproxy-mark 0x1/0x1 fogja megjelolni, es mivel a proxy alat kuldot valasz csomagok nem fognak a PREROUTING agba kerulni, hanem szepen az output-on kinnek, nem is lesznek megjelolve. A -m socket a kliens viszont-valaszait teszi a helyere ezert siman lehet adni neki --dport-ot, szurni egy kicsit.
Szia! Azt hiszem, nem fogalmaztam teljesen vilagosan, igy nem ertetted meg, mit is akartam irni. Tehat: Igen, kliens oldalon a valaszcsomagokat (tehat a Zorp->Kliens forgalmat) valoban nem kell megjelolni, hiszen azokat nem is kell (es nem is szabad) lokalis csomagkent kezelni. De azok - mint irtad - nem is kerulnek PREROUTING- ra. Ellenben ha transzparens proxy-t hasznalsz, es a kliens forrascimevel kapcsolodsz tovabb, akkor a szerver fele meno kapcsolat valaszcsomagjainak lokalisakka kell valni, ami a te konfigoddal nem fog bekovetkezni. Ezert irtam, hogy ki kellene venni a --dport kapcsolot. Gyula