Пропускание всех пакетов на один адрес и порт в ubuntu?

Question

[Марат Рахматуллин]

По следам предыдущего вопроса



Дано:

1.Сеть предприятия с виндовым прокси для интернета,

2. Сервер с Ubuntu, который общается с этим прокси с помощью утилиты cntlm. Эта утилита слушает 127.0.0.1:6666 (его же мы указываем в http_proxy) и дальше уже сама общается с виндовым прокси (аутентифицируется и.т.п.).

3.Некоторые вещи на сервере с Ubuntu не работают например fopen() в php

Вопрос:

Можно ли перенаправить все сетевые пакеты на 127.0.0.1:6666 и поможет ли это?

Например с помощью iptables

Напишите подробнее, с расчетом на ламерановичка.

Answer 1

[cjey]

в моем понимании должно быть что-то вроде этого:
iptables -t nat -A POSTROUTING -i eth* -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:6666
но проверить нет возможности.

Comments

[Марат Рахматуллин]

с параметрами что-то не так…

Answer 2

[cjey]

хотя правильнее наверное так:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:6666

Comments

[Марат Рахматуллин]

не помогло

Answer 3

[merlin-vrn]

Во-первых, «все порты» туда перенаправлять — не поможет. Поможет только для тех, с которыми позволит работать прокси «на том конце». То есть, если разрешён CONNECT на 25-й порт, то SMTP будет работать, но вот этот порт почти никогда не разрешён и т. п.

Во-вторых — правило для перенаправления http-трафика в прозрачный прокси:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 6666
при желании, можно воткнуть в правило несколько портов — например, 443: -p tcp -m multiport --dports 80,443

Comments

[Марат Рахматуллин]

к сожалению тоже не помогло
попробовал и так:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 6666
и так:
iptables -t nat -A OUTPUT -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 6666

все так же имеем, например: WP HTTP Error: Невозможно открыть обработку для fopen() в wordpress.org/development/feed/

[Марат Рахматуллин]

apt-get обновляет и устанавливает пакеты, т.е. связь с интернетом есть, wget тоже работает

[merlin-vrn]

Ну значит пора применять артиллерию для того, чтобы разобраться, что происходит. Например, в одной консоли — tcpdump, в другой — telnet куда-нибудь 80, и руками в телнете говорим на HTTP, т.е. например GET / HTTP/1.1Host: www.example.ruConnection: close. Если ваше перенаправление прокси работает, то вы увидите ответ и соответствующие строки в tcpdumpе.

[merlin-vrn]

Предательство! Я забыл, что хабр угловые скобочки вырезает. В telnetе писать примерно такое: GET / HTTP/1.1<Enter>Host: www.example.ru<Enter>Connection: close<Enter><Enter>

[Марат Рахматуллин]

Буду пробовать в понедельник, спасибо за наводки!