探讨透明代理“漏洞”！！！

sitlhj

省略squid.conf文件配置，（1）：只用一条规则（iptables -t nat -A PREROUTING -i eth0(外网) -p tcp --dport 80 -j REDIRECT --to-port 3128）也可以实现透明代理，但对dns有点“过分”的要求，即必须为内网ip；（2）：一般透明代理要加上iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to x.x.x.x，上面那句改为：iptables -t nat -A PREROUTING -i eth1(内网) -p tcp --dport 80 -j REDIRECT --to-port 3128，这样dns可以设为外网合法dns。
在第二种情况下：如果客户端因为某规则比如时间限制不能上网，但它却可以ftp，为了不让它ftp，如果在POSTROUTING里加 -s 规则，则以后它就无法上网，能不能让透明代理既可以控制http又可以控制ftp呢？望高手指点！

llzqq

iptables -t nat -A PREROUTING -i eth1(内网) -p tcp --dport 21 -j REDIRECT --to-port 3128


对启用其他PROT的FTPD无效

szkingrose

，（1）：只用一条规则（iptables -t nat -A PREROUTING -i eth0(外网) -p tcp --dport 80 -j REDIRECT --to-port 3128）也可以实现透明代理，但对dns有点“过分”的要求，即必须为内网ip；
----------------------------------------------------------------------------
解释同意楼上的。

一般透明代理要加上iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to x.x.x.x，上面那句改为：iptables -t nat -A PREROUTING -i eth1(内网) -p tcp --dport 80 -j REDIRECT --to-port 3128，这样dns可以设为外网合法dns。
---------------------------------------------------------------------------------
这后面应该还有一个应该是ＩＰ　ＭＡＳＱＵＥＲＡＤＥ，要不就是ＳＮＡＴ，不然的话，你的client应该出不去。

在第二种情况下：如果客户端因为某规则比如时间限制不能上网，但它却可以ftp，为了不让它ftp，如果在POSTROUTING里加 -s 规则，则以后它就无法上网，能不能让透明代理既可以控制http又可以控制ftp呢？望高手指点！
-----------------------------------------------------------------------------
squid只能控制基于ＨＴＴＰ的ftp，并不是用flashget下载也可以控制。
所以在firewall中，控制每一个ip除了port 80以外的的internet网络。