Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes flux rése au
par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si
vous avez une autre idée similaire, je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications prévues p our
utiliser un proxy et configurées pour le faire devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet unique
intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes flux rése au
par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si
vous avez une autre idée similaire, je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications prévues p our
utiliser un proxy et configurées pour le faire devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet unique
intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes flux rése au
par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si
vous avez une autre idée similaire, je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications prévues p our
utiliser un proxy et configurées pour le faire devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet unique
intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes flux réseau
par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si
vous avez une autre idée similaire, je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications prévues pour
utiliser un proxy et configurées pour le faire devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet unique
intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes flux réseau
par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si
vous avez une autre idée similaire, je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications prévues pour
utiliser un proxy et configurées pour le faire devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet unique
intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes flux réseau
par un intermédiaire unique, en l'occurrence Tinyproxy. Maintenant, si
vous avez une autre idée similaire, je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications prévues pour
utiliser un proxy et configurées pour le faire devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet unique
intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes
flux réseau par un intermédiaire unique, en l'occurrence
Tinyproxy. Maintenant, si vous avez une autre idée similaire,
je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications
prévues pour utiliser un proxy et configurées pour le faire
devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet
unique intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes
flux réseau par un intermédiaire unique, en l'occurrence
Tinyproxy. Maintenant, si vous avez une autre idée similaire,
je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications
prévues pour utiliser un proxy et configurées pour le faire
devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet
unique intermédiaire ?
Bonjour,
Pour faire certains tests, j'aimerais restreindre tous mes
flux réseau par un intermédiaire unique, en l'occurrence
Tinyproxy. Maintenant, si vous avez une autre idée similaire,
je serais aussi preneur ;-)
Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
j'installe Tinyproxy, logiquement, seules les applications
prévues pour utiliser un proxy et configurées pour le faire
devraient passer par lui.
Savez-vous s'il serait possible de TOUT faire passer par cet
unique intermédiaire ?
David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
>
> Bonjour,
âsoir,
> Pour faire certains tests, j'aimerais restreindre tous mes
> flux réseau par un intermédiaire unique, en l'occurrence
> Tinyproxy. Maintenant, si vous avez une autre idée similaire,
> je serais aussi preneur ;-)
>
> Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
> j'installe Tinyproxy, logiquement, seules les applications
> prévues pour utiliser un proxy et configurées pour le faire
> devraient passer par lui.
>
> Savez-vous s'il serait possible de TOUT faire passer par cet
> unique intermédiaire ?
Ãa sâappelle un proxy transparent.
Il suffit de rediriger tout ce qui doit passer par le 80 vers
le proxy. :
iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT
--to-port 3128
Sauf que là , ça ne marchera pas : en général, un proxy
transparent nâest pas sur la machine dâoù sont issue s les
requêtes. Or les requêtes locales ne passent pas par PREROUTING,
seulement par OUTPUT. Donc :
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner
nobody -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j
REDIRECT --to-port 8080
La seconde règle fait la redirection de tout ce qui sort.
La première règle permet de faire passer les requêtes qui
viennent des applications lancées par nobody (ce qui était le
cas de tinyproxy), sinon, elles tourneraient en rond (tinyproxy
doit pouvoir sortir, lui). man iptables
David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
>
> Bonjour,
âsoir,
> Pour faire certains tests, j'aimerais restreindre tous mes
> flux réseau par un intermédiaire unique, en l'occurrence
> Tinyproxy. Maintenant, si vous avez une autre idée similaire,
> je serais aussi preneur ;-)
>
> Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
> j'installe Tinyproxy, logiquement, seules les applications
> prévues pour utiliser un proxy et configurées pour le faire
> devraient passer par lui.
>
> Savez-vous s'il serait possible de TOUT faire passer par cet
> unique intermédiaire ?
Ãa sâappelle un proxy transparent.
Il suffit de rediriger tout ce qui doit passer par le 80 vers
le proxy. :
iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT
--to-port 3128
Sauf que là , ça ne marchera pas : en général, un proxy
transparent nâest pas sur la machine dâoù sont issue s les
requêtes. Or les requêtes locales ne passent pas par PREROUTING,
seulement par OUTPUT. Donc :
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner
nobody -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j
REDIRECT --to-port 8080
La seconde règle fait la redirection de tout ce qui sort.
La première règle permet de faire passer les requêtes qui
viennent des applications lancées par nobody (ce qui était le
cas de tinyproxy), sinon, elles tourneraient en rond (tinyproxy
doit pouvoir sortir, lui). man iptables
David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
>
> Bonjour,
âsoir,
> Pour faire certains tests, j'aimerais restreindre tous mes
> flux réseau par un intermédiaire unique, en l'occurrence
> Tinyproxy. Maintenant, si vous avez une autre idée similaire,
> je serais aussi preneur ;-)
>
> Bref, si je pars d'un ordinateur seul, sous Debian, sur lequel
> j'installe Tinyproxy, logiquement, seules les applications
> prévues pour utiliser un proxy et configurées pour le faire
> devraient passer par lui.
>
> Savez-vous s'il serait possible de TOUT faire passer par cet
> unique intermédiaire ?
Ãa sâappelle un proxy transparent.
Il suffit de rediriger tout ce qui doit passer par le 80 vers
le proxy. :
iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT
--to-port 3128
Sauf que là , ça ne marchera pas : en général, un proxy
transparent nâest pas sur la machine dâoù sont issue s les
requêtes. Or les requêtes locales ne passent pas par PREROUTING,
seulement par OUTPUT. Donc :
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner
nobody -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport www -j
REDIRECT --to-port 8080
La seconde règle fait la redirection de tout ce qui sort.
La première règle permet de faire passer les requêtes qui
viennent des applications lancées par nobody (ce qui était le
cas de tinyproxy), sinon, elles tourneraient en rond (tinyproxy
doit pouvoir sortir, lui). man iptables
David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
’soir,
Ça s’appelle un proxy transparent.
Il suffit de rediriger tout ce qui doit passer par le 80 vers
le proxy. :
iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port 3128
Sauf que là, ça ne marchera pas : en général, un proxy
transparent n’est pas sur la machine d’où sont issues les
requêtes. Or les requêtes locales ne passent pas par PREROUTING,
seulement par OUTPUT. Donc :
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080
David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
’soir,
Ça s’appelle un proxy transparent.
Il suffit de rediriger tout ce qui doit passer par le 80 vers
le proxy. :
iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port 3128
Sauf que là, ça ne marchera pas : en général, un proxy
transparent n’est pas sur la machine d’où sont issues les
requêtes. Or les requêtes locales ne passent pas par PREROUTING,
seulement par OUTPUT. Donc :
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080
David BERCOT, lundi 16 juin 2008, 20:47:11 CEST
’soir,
Ça s’appelle un proxy transparent.
Il suffit de rediriger tout ce qui doit passer par le 80 vers
le proxy. :
iptables -t nat -A PREROUTING -p tcp --syn --dport www -j REDIRECT --to-port 3128
Sauf que là, ça ne marchera pas : en général, un proxy
transparent n’est pas sur la machine d’où sont issues les
requêtes. Or les requêtes locales ne passent pas par PREROUTING,
seulement par OUTPUT. Donc :
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080
[â¦]
> iptables -t nat -A PREROUTING -p tcp --syn --dport www -j
> REDIRECT --to-port 3128
Tu peux omettre --syn vu que la table nat ne vois passer que
les paquets créant __les nouvelles connexions__.
[â¦]
Et la je pencherais pour le tout dans la même règle.
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner
--uid-owner nobody - -j REDIRECT --to-port 8080
vu que le ACCEPT, je pense, Ã plus sa place dans la table
filter.
[â¦]
> iptables -t nat -A PREROUTING -p tcp --syn --dport www -j
> REDIRECT --to-port 3128
Tu peux omettre --syn vu que la table nat ne vois passer que
les paquets créant __les nouvelles connexions__.
[â¦]
Et la je pencherais pour le tout dans la même règle.
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner
--uid-owner nobody - -j REDIRECT --to-port 8080
vu que le ACCEPT, je pense, Ã plus sa place dans la table
filter.
[â¦]
> iptables -t nat -A PREROUTING -p tcp --syn --dport www -j
> REDIRECT --to-port 3128
Tu peux omettre --syn vu que la table nat ne vois passer que
les paquets créant __les nouvelles connexions__.
[â¦]
Et la je pencherais pour le tout dans la même règle.
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner
--uid-owner nobody - -j REDIRECT --to-port 8080
vu que le ACCEPT, je pense, Ã plus sa place dans la table
filter.
Franck Joncourt, lundi 16 juin 2008, 22:46:35 CEST
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner
--uid-owner nobody - -j REDIRECT --to-port 8080
vu que le ACCEPT, je pense, à plus sa place dans la table
filter.
Mmm, donc le « - » servirait à inverser la condition ?
Ce n’est pas dans ma page de man. D’habitude c’est « ! » pour
la négation et elle n’est pas indiquée pour owner.
En tout cas, si c’est ça, je trouve le « - » facilement
ratable. Sinon, je ne vois pas trop…
Franck Joncourt, lundi 16 juin 2008, 22:46:35 CEST
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner
--uid-owner nobody - -j REDIRECT --to-port 8080
vu que le ACCEPT, je pense, à plus sa place dans la table
filter.
Mmm, donc le « - » servirait à inverser la condition ?
Ce n’est pas dans ma page de man. D’habitude c’est « ! » pour
la négation et elle n’est pas indiquée pour owner.
En tout cas, si c’est ça, je trouve le « - » facilement
ratable. Sinon, je ne vois pas trop…
Franck Joncourt, lundi 16 juin 2008, 22:46:35 CEST
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner
--uid-owner nobody - -j REDIRECT --to-port 8080
vu que le ACCEPT, je pense, à plus sa place dans la table
filter.
Mmm, donc le « - » servirait à inverser la condition ?
Ce n’est pas dans ma page de man. D’habitude c’est « ! » pour
la négation et elle n’est pas indiquée pour owner.
En tout cas, si c’est ça, je trouve le « - » facilement
ratable. Sinon, je ne vois pas trop…
[...]
> Mmm, donc le « - » servirait à inverser la condition ?
> Ce nâest pas dans ma page de man. Dâhabitude câ est « ! »
> pour la négation et elle nâest pas indiquée pour owne r.
> En tout cas, si câest ça, je trouve le « - » f acilement
> ratable. Sinon, je ne vois pas tropâ¦
C'est toi qui l'a rajouté ? On dirait une coupure de ligne :p!
[code]
iptables -t nat -A OUTPUT -p tcp --dport www -m owner
--uid-owner nobody
- -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT
--to-port 8080 [/code]
Oups. Je ne sais pas pourquoi j'ai imaginé que l'on continuait
après le ACCEPT.
Ca sent le manque de pratique, va falloir s'y remettre
sérieusement :)
[...]
> Mmm, donc le « - » servirait à inverser la condition ?
> Ce nâest pas dans ma page de man. Dâhabitude câ est « ! »
> pour la négation et elle nâest pas indiquée pour owne r.
> En tout cas, si câest ça, je trouve le « - » f acilement
> ratable. Sinon, je ne vois pas tropâ¦
C'est toi qui l'a rajouté ? On dirait une coupure de ligne :p!
[code]
iptables -t nat -A OUTPUT -p tcp --dport www -m owner
--uid-owner nobody
- -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT
--to-port 8080 [/code]
Oups. Je ne sais pas pourquoi j'ai imaginé que l'on continuait
après le ACCEPT.
Ca sent le manque de pratique, va falloir s'y remettre
sérieusement :)
[...]
> Mmm, donc le « - » servirait à inverser la condition ?
> Ce nâest pas dans ma page de man. Dâhabitude câ est « ! »
> pour la négation et elle nâest pas indiquée pour owne r.
> En tout cas, si câest ça, je trouve le « - » f acilement
> ratable. Sinon, je ne vois pas tropâ¦
C'est toi qui l'a rajouté ? On dirait une coupure de ligne :p!
[code]
iptables -t nat -A OUTPUT -p tcp --dport www -m owner
--uid-owner nobody
- -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT
--to-port 8080 [/code]
Oups. Je ne sais pas pourquoi j'ai imaginé que l'on continuait
après le ACCEPT.
Ca sent le manque de pratique, va falloir s'y remettre
sérieusement :)
Tu peux omettre --syn vu que la table nat ne vois passer que les paquets
créant __les nouvelles connexions__.
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080
Et la je pencherais pour le tout dans la même règle.
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody
- -j REDIRECT --to-port 8080
Tu peux omettre --syn vu que la table nat ne vois passer que les paquets
créant __les nouvelles connexions__.
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080
Et la je pencherais pour le tout dans la même règle.
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody
- -j REDIRECT --to-port 8080
Tu peux omettre --syn vu que la table nat ne vois passer que les paquets
créant __les nouvelles connexions__.
iptables -t nat -A OUTPUT -p tcp --dport www -m owner --uid-owner nobody -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 8080
Et la je pencherais pour le tout dans la même règle.
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody
- -j REDIRECT --to-port 8080