2009/10/17 Andrea Giuliano <sarkiapon...@alice.it>: > Salve, > > sto cercando di realizzare un transparent proxy per bloccare l'accesso a > determinati siti web. Ho usato squidGuard e squid come da Debian Lenny, > e il tutto sembra funzionare se configuro il network proxy di Gnome a > localhost:3128. > > Il fatto è che questa è una configurazione scelta dal singolo utente, > mentre io vorrei girare qualsiasi richiesta web in questo modo, senza > lasciare agli utenti la scelta. Ho usato la seguente regola iptables: > > # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport www -j REDIRECT > --to-port 3128 > > che sembra plausibile, ma non ridirige un bel niente: la navigazione web > non è minimamente bloccata e uno va dove vuole. > > Ribadisco che la configurazione di squi e squidGuard è corretta, perché > se imposto il proxy come sopra i siti nelle blacklist sono > effettivamente bloccati. > > Sto usando il kernel 2.6.31.3, opportunamente modificato, ma penso di > aver compilato tutto il supporto netfilter. E infatti iptables non da > mai errori, e altre regole che ho provato fanno quello che gli si chiede > di fare. Solo quella di redirect non ha alcun effetto. > > Altra cosa da considerare è che squid sta sulla stessa macchina che deve > accedere al web. Per questo non ho pensato al DNAT, ma al REDIRECT. > > Non capisco dove sbaglio. La regola sopra è citatissima. e tutti dicono > che è l'unica cosa che serve a questo scopo (se squid è configurato > bene). Controlla due cose: 1) In squid la riga http_port è stata configurata correttamente per permettere le connessioni proxy trasparente: http_port 3128 transparent
2) Hai bloccato il forward verso la porta 80? iptables -A FORWARD -i eth0 -p tcp --dport 80 -j DROP -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org