Chinaunix

标题: iptables不能透明代理了。帮忙看看。 [打印本页]

---

作者: legumer    时间: 2005-07-18 18:15
标题: iptables不能透明代理了。帮忙看看。
本来我加了个规则（伪装）：
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

我service iptables restart 后，终端出了个提示：
ip_conntrack version 2.1(4084 buckets,32672 max) - 304 byte per conntrack。

然后我就不能直接用透明代理出去了。
我看了一下：wc -l /proc/sys/net/ipv4/ip_conntrack_max
为32676。

wc -l /proc/net/ip_conntrack
220条记录。
grep -v unreplied  /proc/net/ip_conntrack
220条记录

不知道有什么问题，大家帮我看看。

---

作者: platinum    时间: 2005-07-18 19:31
标题: iptables不能透明代理了。帮忙看看。
service iptables restart 后，iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 还有吗？
做 PREROUTING 了吗？

---

作者: legumer    时间: 2005-07-19 08:04
标题: iptables不能透明代理了。帮忙看看。
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 还有的。
prerouting我没有做。我先做个看看。

---

作者: legumer    时间: 2005-07-19 08:10
标题: iptables不能透明代理了。帮忙看看。
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.1.103
做了以后，也不齐作用。

---

作者: platinum    时间: 2005-07-19 10:07
标题: iptables不能透明代理了。帮忙看看。

原帖由 "legumer" 发表：
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.1.103
做了以后，也不齐作用。

192.168.1.103 是做什么的？
eth0 是哪个网卡？
说说你的意图？

原帖由 "legumer" 发表：
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 还有的。
prerouting我没有做。我先做个看看。

从这两点来看，你做错了

---

作者: legumer    时间: 2005-07-19 12:24
标题: iptables不能透明代理了。帮忙看看。
我的代理服务器就一块网卡-eth0，ip地址：192.168.1.103。
我是想不需要设置ie里的代理，就能直接访问外网，包括mail等都能直接使用。我想nat伪装应该可以实现的。

不知道我哪里做错了？请提示。

---

作者: platinum    时间: 2005-07-19 15:50
标题: iptables不能透明代理了。帮忙看看。
我不是问你代理服务器几块网卡，我是问做策略这台机器，几块？

---

作者: legumer    时间: 2005-07-19 17:28
标题: iptables不能透明代理了。帮忙看看。
[quote]原帖由 "platinum"]我不是问你代理服务器几块网卡，我是问做策略这台机器，几块？[/quote 发表：


我不是很明白你的意思。
我的需求就是能透明代理上网。

---

作者: platinum    时间: 2005-07-19 17:37
标题: iptables不能透明代理了。帮忙看看。
你画个网络拓扑图好啦，然后我再针对图来说，这样直观些

---

作者: legumer    时间: 2005-07-19 18:25
标题: iptables不能透明代理了。帮忙看看。
我大致画了一下。

绘图1.gif (20.05 KB, 下载次数: 99)

下载附件

2005-07-19 18:25 上传

---

作者: DreamJiang    时间: 2005-07-19 21:04
标题: iptables不能透明代理了。帮忙看看。
从你所绘制的图来说和上面你所表达的意思,你真的是理解错了.可能你还没有理解什么是"透明代理"以及什么是"非透明代理".建议你多看看网上的兄弟发表的贴子后,再来解决你自己的问题,相信你很快就会实现自己所需的功能,祝你好运!

---

作者: legumer    时间: 2005-07-20 08:29
标题: iptables不能透明代理了。帮忙看看。
我不认为我理解错了。透明代理让使用者（不能直接连外网）像正常使用外网一样，不需要做任何设置。

---

作者: platinum    时间: 2005-07-20 08:58
标题: iptables不能透明代理了。帮忙看看。

有以下几个疑点

1、你说了下面的话

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.1.103
做了以后，也不齐作用。

192.168.1.103 在哪里？图上没有看出来

2、从你图上来看，proxy 是双网卡，但你前面说是单网卡，我们看不明白你的拓扑图。。。。如果是单网卡，你一定网络拓扑不是这样连的，应该一起连个 switch 就对了

3、如何做透明代理，实际的文章不是做在 proxy 上，而是写 PREROUTING 的那台（当然，也可能是同一台）

总之，看不懂你的图，前面说的和后面画的不一致

---

作者: liuhanzhao    时间: 2005-07-22 18:08
标题: iptables不能透明代理了。帮忙看看。
我能明白他的图的意思，我估计这台代理的电脑是接在交换机上的，但只有一块网卡，这台代理通过交换机就可以直接连接到外网，但是不希望别的电脑从交换机上直接上网，而是也接在交换机上，但是是通过这台透明代理上网，楼主是不是这个意思

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2