[GTER] RES: RES: Tproxy

Diego HC Silva dhcsilva at mentat.com.br
Tue Nov 21 15:01:02 -02 2006


Depois o patch, recompilei o kernel com os modulos ativos.

Então, segui as instruções de uso como diz o README.

Eu até fui dentro do diretório fonte do iptables que está dentro do kernel e apliquei o patch como manda abaixo, porém qdo dei o comando "make" ele me retorna essa mensagem: 
	debian:/opt/sources/linux-2.4.33/net/ipv4/netfilter# make 	KERNELDIR=/opt/sources/linux-2.4.33
		Makefile:126: /Rules.make: No such file or directory 	Make: *** 		No rule to make target `/Rules.make'.  Stop.

Mas o Kernel é compilado com sucesso sem nenhum problema e da "boot" correto.

Segue um trecho do README

############################################################################
How to install it?
------------------

   Patch your kernel using:

      cd /usr/src/linux
      for i in <pathtocttproxy>/patch_tree/*.diff; do cat $i | patch -p1; done

   then enable conntrack, nat and tproxy support, compile your kernel and
   modules.

   Prior to starting a program using transparent proxy functions the module 
   iptable_tproxy.o must be loaded. It is _not_ autoloaded by default.

   You'll also have to patch your iptables userspace by using the following
   command:

      cd /usr/src/iptables-1.2.X
      cat <pathtocttproxy>/iptables/*.diff | patch -p1
      make KERNELDIR=/usr/src/linux

   Of course you might need to change the path in the examples above.

How to start using it?
----------------------

   This implementation of transparent proxying works by creating implicit
   NAT rules. This means that redirection, foreign address listen, and
   foreign address connect (the three features required for transparent
   proxying) all create a NAT mapping of some sort. 

   NOTE: that this doesn't mean that the 'nat' table will be modified in any
   way.

   Now let's see what happens when a proxy tries to use the required tproxy
   features I outlined earlier.

   1. Redirection

     This is easy, as this was already supported by iptables. Redirection is
     equivalent with the following nat rule:

       iptables -t nat -A PREROUTING -j DNAT --to-dest <localip> --to-port <proxyport>

         <localip>   is one the IP address of the interface where the packet
                     entered the IP stack
         <proxyport> is the port where the proxy was bound to

     To indicate that this is not simple NAT rule, a separate table named
     'tproxy' was created:

       iptables -t tproxy -A PREROUTING -j TPROXY --on-port <proxyport>

     The local IP address is determined automatically, but can be overridden
     by the --on-ip parameter.
############################################################################


[.]´s

Diego


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Julio Arruda
Enviada em: terça-feira, 21 de novembro de 2006 14:17
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Tproxy

Depois do patch, voce entrou no config como dizem as instrucoes ?
Bottom line, voce seguiu todas as instrucoes ? Nao e' so aplicar o patch 
e compilar o kernel pelo que vi..

Diego HC Silva wrote:
> Então ele não existe, já dei um find no disco todo e não localizei em nenhum lugar. Esse é meu problema pq ele não está sendo criado ou gerado qdo aplicao o patch e compilo o kernel com os módulos do Tproxy ativo.
> 
> [.]´s
> 
> Diego
> 
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Hamilton Vera
> Enviada em: terça-feira, 21 de novembro de 2006 14:03
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Tproxy
> 
> Bom, nunca usei mas...
> 
> /lib/iptables/libipt_TPROXY.so
> 
> existe?
> 
> 
> On Tue, 21 Nov 2006, Diego HC Silva wrote:
> 
>> Boa tarde pessoal,
>>
>> Como eu havia postado alguns dias atrás meu problema com proxy, recebi a dica sobre o Tproxy e aqui estou instalando ele.
>>
>> Baixei seu patch para ser aplicado no Kernel, no meu caso estou usando o 2.4.33 e compilado com os patch do Tproxy.
>>
>> Porém qdo vou listar suas regras, assim:
>> 	iptables -t tproxy -L -n -v
>>
>> Lista normalmente, mas qdo vou adicionar uma regra como essa:
>> 	iptables -t tproxy -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j TPROXY
>>
>> Recebo a seguinte mensagem:
>> 	iptables v1.2.11: Couldn't load target `TPROXY':/lib/iptables/libipt_TPROXY.so: cannot open shared object file: No such file or directory.
>>
>> Apliquei o patch do Tproxy da seguinte forma:
>>
>> 	debian:/opt/sources/linux-2.4.33# for i in tproxy/patch_tree/*.diff; do cat $i | patch -p1; done
>>
>> Como manda o documento: http://www.balabit.com/products/oss/tproxy/README.txt
>>
>> Até tentei a regra de exemplo que encontra-se nesse README:
>> 	iptables -t tproxy -A PREROUTING -j TPROXY --on-port 3128
>>
>> Mas também não funcionou....
>>
>> Alguém sabe qual é o macete para esse patch funcionar adequadamente.
>>
>> Obrigado,
>>
>> [.]´s
>>
>> Diego
>>
>>
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list