[ Branimir Maksimovic @ 25.08.2019. 11:06 ] @
Elem vec dobrih para sati trazim po internetu kako da namestim na ruteru
da mi redirektuje sa porta 80 i 443 na port 127.0.0.1:8118 i nikako ne uspevam.
Da li ima neko da je slicno imao i da je postavljao proxy na ruter i slicno pa eventualno
zna kakva iptables pravila treba napraviti?
Na ruteru je Linux, ima iptables tako da to nije problem.
Sva pravila koja sam nasao na netu ne pomazu, ukljucujuci i
ovo:
Code:

iptables -t nat -A PREROUTING --source [the static IP address of device] -p tcp -m tcp --dport 80 -j REDIRECT --to-ports ...

Problem je sto na ruteru nemam REDIRECT ima samo DNAT /SNAT

[ Branimir Maksimovic @ 25.08.2019. 13:02 ] @
Resio, trebalo je omoguciti da kernel forvarduje loopback pakete:
evo kako izgleda skripta:

Code:

#!/bin/sh
PROXY_IP=127.0.0.1
PROXY_PORT=8118
LAN_IP=`nvram get lan_ipaddr`
LAN_NET=$LAN_IP/`nvram get lan_netmask`
echo 1 >  /proc/sys/net/ipv4/conf/br0/route_localnet
iptables -t nat -A PREROUTING -i br0  -p tcp --dport 80 -j DNAT --to $PROXY_IP:$PROXY_PORT
iptables -t nat -A PREROUTING  -i br0 -p tcp --dport 443 -j DNAT --to $PROXY_IP:$PROXY_PORT
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE


nisam siguran da mi je ova zadnja linija potrebna.
E sad kad bi jos privoxy propustao https pakete ;(
Nista videcu sta mogu sa squidom.
[ Branimir Maksimovic @ 26.08.2019. 03:59 ] @
Nazalost, nema nacina bez intervencije na klijentu odraditi bar treba sertifikat, tako da transparentni proxy za https nije moguc ;(

(Naravno da nije kada treba CONNECT, kako proxy da zna gde da forvarduje ako ne moze da analizira request liniju?)
[ nkrgovic @ 26.08.2019. 08:41 ] @
Nije da cu tebi da pomognem, ail u corporate mrezi, gde postoji globalni Certificate Authority (na primer Windows Active Directiry), on moze da izda intermediate cert za proxy, koji onda time potpisuje nove certove za sajtove. Tako da, transparentni https proxy moze, ako vec imas CA u mrezi.
[ Branimir Maksimovic @ 26.08.2019. 18:51 ] @
Nisam bas upucen, da li CA automatski dolazi uz instalaciju ?
[ nkrgovic @ 26.08.2019. 19:27 ] @
Ako imas active directory on sam napravi CA i proglasi sebe za isti. Dodavanjem windows masine "na domen" ona automatski primi cert od AD-a i prhvati ga kao CA.

Vecina linux-a ima lokalni CA cert, samo treba da ga podelis po svim racunarima, tj. da napravis da ti je jedan racunar u mrezi CA, njegov cert stavis na sve ostale kao trusted authority, onda napravis intermediary i dodelis ga proxy-ju. Ima malo posla ;)