Proxy-Zwangsumleitung: Unterschied zwischen den Versionen
(+probleme) |
(+squid besonerhieitne) |
||
Zeile 15: | Zeile 15: | ||
iptables -t nat -A POSTROUTING -o br0 -s 10.5.28.0/24 -d 10.5.28.139 -j SNAT --to 10.5.28.254 | iptables -t nat -A POSTROUTING -o br0 -s 10.5.28.0/24 -d 10.5.28.139 -j SNAT --to 10.5.28.254 | ||
+ | |||
+ | ===Besonderheiten mit Squid als Proxy=== | ||
+ | Damit die Headeranfragen richtig weitergeleitet werden, muessen bei squid als Proxy umbedingt 2 Angaben in der squid.conf stehen: | ||
+ | httpd_accel_host virtual | ||
+ | httpd_accel_uses_host_header on | ||
===Probleme=== | ===Probleme=== | ||
Guenstig waere es,wenn nicht nur Pakate aus dem LAN, sondern auch aus dem WLAN ("eth1") an den Proxy geleitet werden. | Guenstig waere es,wenn nicht nur Pakate aus dem LAN, sondern auch aus dem WLAN ("eth1") an den Proxy geleitet werden. |
Version vom 28. November 2005, 01:16 Uhr
Was
HowTo fuer einen Zwangsproxy fuer alle Rechner im Kabelnetz hinter dem Linksys.
Warum
Ein Proxy nimmt jede (HTTP-)Anfrage an und schaut nach,ob er das vielleicht schonmal geladen hat (Bilder&Webseiten). Hat er das,liefert er sie aus seinem Cache und die Daten muss nicht nochmal (langsam) aus dem Internet geladen werden.
Wie
Auf dem Linksys werden zwei Firewallregeln eingerichtet. Diese zwei Regeln kann man resetfest in ein eigenes Skript schreiben. Zum Beispiel in /etc/init.d/S55zwangsproxy
Regel1: Alle Pakete,die vom Kabelnetz("br0") reinkommen und als Ziel Port80 haben und NICHT vom Proxy("10.5.28.139") kommen,werden auf den Proxy(Port3128) geleitet:
iptables -t nat -A PREROUTING -i br0 -s ! 10.5.28.139 -p tcp --dport 80 -j DNAT --to 10.5.28.139:3128
Regel2: Alle Pakete die in mein Netzwerk("10.5.28.0/24") als Antwort zurueckkommen und an den Proxy wollen,gehen zum Linksys
iptables -t nat -A POSTROUTING -o br0 -s 10.5.28.0/24 -d 10.5.28.139 -j SNAT --to 10.5.28.254
Besonderheiten mit Squid als Proxy
Damit die Headeranfragen richtig weitergeleitet werden, muessen bei squid als Proxy umbedingt 2 Angaben in der squid.conf stehen:
httpd_accel_host virtual httpd_accel_uses_host_header on
Probleme
Guenstig waere es,wenn nicht nur Pakate aus dem LAN, sondern auch aus dem WLAN ("eth1") an den Proxy geleitet werden.