Как настроить правило iptables, чтобы конкретный ip шел через локальный прокси?

Question

[nike_ta]

Есть хост на нем установлен Openvpn, все работет прекрасно. Так же есть пользователь user2, в openvpn настроенно что ему присваевоен статический ip при подключении к vpn (10.8.0.15). Так же есть локальный tor который висит на порту 9040.

проверка выдает что локально работает

curl --socks5 127.0.0.1:9040 https://httpbin.org/ip

curl --socks5 127.0.0.1:9040 https://httpbin.org/ip
{
"origin": "45.138.16.76"
}

Вопрос как указать на хосте чтобы пользователь с ip 10.8.0.15 шел только через прокси 127.0.0.1:9040

Сейчас правила при старте системы выполняю через скритп

iptables_pravila.sh

#!/bin/bash

# Очистка правил
iptables -F
iptables -t nat -F
iptables -X

# Политики по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Разрешить трафик loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Разрешить трафик на интерфейсе tun0
iptables -A INPUT -i tun0 -j ACCEPT

# Разрешить установленные и связанные соединения
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Порты
iptables -A INPUT -p tcp --dport 222 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # OpenVPN

# NAT для VPN-трафика
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens3 -j MASQUERADE

# Разрешить пересылку трафика через VPN
iptables -A FORWARD -i tun0 -o ens3 -j ACCEPT
iptables -A FORWARD -i ens3 -o tun0 -j ACCEPT

Comments

[Valentin Barbolin]

Попробуй через DHCP, но это буде не socks.

Что-то типа

push "dhcp-option PROXY_AUTO_CONFIG_URL http://www.openvpn.net/proxy.pac"
push "dhcp-option PROXY_HTTP 10.144.5.14 3128"
push "dhcp-option PROXY_HTTPS 10.144.5.14 3128"

Answer 1

[Alexey Dmitriev]

В общем и целом это делается в -t nat -A PREROUTING.
Но в данном случае ответ - никак, ибо прокси для этого должен уметь работать в transparent mode.

Comments

[nike_ta]

я пробовал перенаправлять вот так

iptables -t nat -I PREROUTING 1 -i tun0 -s 10.8.0.15 -p tcp --dport 443 -j REDIRECT --to-ports 9040

но не сработало, может просто не правильно написал, еслибы не правильно iptables ошибку выдал бы

[Valentin Barbolin]

nike_ta, Так будет работать только для прозрачного прокси.

[nike_ta]

Valentin Barbolin, а зачем прозрачное прокси? я пытаюсь не отследить или подменить трафик пользователя user2, мне нужно весь трафик от конкретного пользователя с конкретным ip завернуть в tor. тут же редерикт всего трафика

[Valentin Barbolin]

nike_ta, Например твой браузер отправляет запрос на google.com:443 и ожидает в ответ получить http ответ, а твой редирект перенаправляет его на socks прокси где в ответ ему прилетает не http ответ а запрос на согласование socks.

[Alexey Dmitriev]

nike_ta, потому что iptables и socks proxy работают на разных уровнях OSI

[Valentin Barbolin]

nike_ta, Вот неплохой пример как это делается

https://habr.com/ru/articles/460469/

Соответственно c 3proxy ты може на него заворачивать трафик через iptables и надо подумать как сам 3proxy заставить выходить через tor.

Есть такой вариант, но давно не обновлялся, неизвестно будет работать или нет

https://github.com/artemkaxboy/tor3proxy

[nike_ta]

Alexey Dmitriev, Valentin Barbolin, https://trac.torproject.org/projects/tor/wiki/doc/... как раз таки tor это умеет, это для информации к вопросу. По крайне мере в документации это нашел