我有一个Ubuntu Linux系统作为网关系统,上面有两个接口。一个接口是用于本地网络的,另一个接口是用于互联网的。我能够毫无问题地通过它路由流量。我使用两条iptables规则将出站流量从内部接口转发:
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT
我现在需要创建一个 iptables 规则,以过滤和重定向通过 eth1 接口离开我的网络的所有 TCP 端口 80 和 443 流量,并将其发送到在本地回环接口上的 TCP 端口 9090 上的代理服务器。
我已经在 Stack Overflow 上搜索了很久,但是没有找到可行的示例。有没有一种有效的方法可以做到这一点?
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 9090
透明代理无法使用HTTPS。虽然有一些技巧,但这没有任何意义且毫无用处。
iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128
iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box
iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT
说明:
第一个命令将数据包从iptables-box发送到squid-box。第二个命令确保回复通过iptables-box发送回来,而不是直接发送给客户端(这非常重要!)。最后一个命令确保iptables-box将适当的数据包转发到squid-box。它可能不是必需的,具体情况因人而异。请注意,我们指定了“-i eth0”和“-o eth0”,它们分别代表输入接口eth0和输出接口eth0。如果你的数据包在不同的接口上进入和离开,则需要相应地调整命令。
将这些命令添加到适当的启动脚本中,路径为/etc/rc.d/。