[GTER] RES: RES: Tproxy
Diego HC Silva
dhcsilva at mentat.com.br
Tue Nov 21 15:01:02 -02 2006
Depois o patch, recompilei o kernel com os modulos ativos.
Então, segui as instruções de uso como diz o README.
Eu até fui dentro do diretório fonte do iptables que está dentro do kernel e apliquei o patch como manda abaixo, porém qdo dei o comando "make" ele me retorna essa mensagem:
debian:/opt/sources/linux-2.4.33/net/ipv4/netfilter# make KERNELDIR=/opt/sources/linux-2.4.33
Makefile:126: /Rules.make: No such file or directory Make: *** No rule to make target `/Rules.make'. Stop.
Mas o Kernel é compilado com sucesso sem nenhum problema e da "boot" correto.
Segue um trecho do README
############################################################################
How to install it?
------------------
Patch your kernel using:
cd /usr/src/linux
for i in <pathtocttproxy>/patch_tree/*.diff; do cat $i | patch -p1; done
then enable conntrack, nat and tproxy support, compile your kernel and
modules.
Prior to starting a program using transparent proxy functions the module
iptable_tproxy.o must be loaded. It is _not_ autoloaded by default.
You'll also have to patch your iptables userspace by using the following
command:
cd /usr/src/iptables-1.2.X
cat <pathtocttproxy>/iptables/*.diff | patch -p1
make KERNELDIR=/usr/src/linux
Of course you might need to change the path in the examples above.
How to start using it?
----------------------
This implementation of transparent proxying works by creating implicit
NAT rules. This means that redirection, foreign address listen, and
foreign address connect (the three features required for transparent
proxying) all create a NAT mapping of some sort.
NOTE: that this doesn't mean that the 'nat' table will be modified in any
way.
Now let's see what happens when a proxy tries to use the required tproxy
features I outlined earlier.
1. Redirection
This is easy, as this was already supported by iptables. Redirection is
equivalent with the following nat rule:
iptables -t nat -A PREROUTING -j DNAT --to-dest <localip> --to-port <proxyport>
<localip> is one the IP address of the interface where the packet
entered the IP stack
<proxyport> is the port where the proxy was bound to
To indicate that this is not simple NAT rule, a separate table named
'tproxy' was created:
iptables -t tproxy -A PREROUTING -j TPROXY --on-port <proxyport>
The local IP address is determined automatically, but can be overridden
by the --on-ip parameter.
############################################################################
[.]´s
Diego
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Julio Arruda
Enviada em: terça-feira, 21 de novembro de 2006 14:17
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Tproxy
Depois do patch, voce entrou no config como dizem as instrucoes ?
Bottom line, voce seguiu todas as instrucoes ? Nao e' so aplicar o patch
e compilar o kernel pelo que vi..
Diego HC Silva wrote:
> Então ele não existe, já dei um find no disco todo e não localizei em nenhum lugar. Esse é meu problema pq ele não está sendo criado ou gerado qdo aplicao o patch e compilo o kernel com os módulos do Tproxy ativo.
>
> [.]´s
>
> Diego
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Hamilton Vera
> Enviada em: terça-feira, 21 de novembro de 2006 14:03
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Tproxy
>
> Bom, nunca usei mas...
>
> /lib/iptables/libipt_TPROXY.so
>
> existe?
>
>
> On Tue, 21 Nov 2006, Diego HC Silva wrote:
>
>> Boa tarde pessoal,
>>
>> Como eu havia postado alguns dias atrás meu problema com proxy, recebi a dica sobre o Tproxy e aqui estou instalando ele.
>>
>> Baixei seu patch para ser aplicado no Kernel, no meu caso estou usando o 2.4.33 e compilado com os patch do Tproxy.
>>
>> Porém qdo vou listar suas regras, assim:
>> iptables -t tproxy -L -n -v
>>
>> Lista normalmente, mas qdo vou adicionar uma regra como essa:
>> iptables -t tproxy -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j TPROXY
>>
>> Recebo a seguinte mensagem:
>> iptables v1.2.11: Couldn't load target `TPROXY':/lib/iptables/libipt_TPROXY.so: cannot open shared object file: No such file or directory.
>>
>> Apliquei o patch do Tproxy da seguinte forma:
>>
>> debian:/opt/sources/linux-2.4.33# for i in tproxy/patch_tree/*.diff; do cat $i | patch -p1; done
>>
>> Como manda o documento: http://www.balabit.com/products/oss/tproxy/README.txt
>>
>> Até tentei a regra de exemplo que encontra-se nesse README:
>> iptables -t tproxy -A PREROUTING -j TPROXY --on-port 3128
>>
>> Mas também não funcionou....
>>
>> Alguém sabe qual é o macete para esse patch funcionar adequadamente.
>>
>> Obrigado,
>>
>> [.]´s
>>
>> Diego
>>
>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list