iptables - как загнать весь трафик системы в локальную прокси?

[thunderamur]

сабж. Есть прокси локально на компе, нужно пустить весь трафик через неё, как?

[AnrDaemon]

Весь - никак.
Некоторые протоколы в принципе не проксируются.

[thunderamur]

AnrDaemon,
для tcp можешь показать?

[AnrDaemon]

NTLM тоже по TCP работет. Однако в принципе не проксируется.
Ты поставь задачу нормально, что надо сделать. Не "загнать на прокси", а конкретно. С какой целью это зангоняние на прокси тебе понадобилось?

[thunderamur]

стоит polipo, пускает трафик через tor, хочу иметь возможность пустить весь возможный трафик через tor, независимо от того, умеет ли программа прокси или нет.

[ArcFi]

⚡ Thunde® ⚡, с polipo не знаком, поэтому буду ссылаться на аналогию со squid.

Прокси можно настроить прозрачно либо непрозрачно.
Дальше опишу мой опыт общения с конкретными протоколами через squid:

• http (80/tcp) — прозрачно / непрозрачно без проблем
• https (443/tcp) — прозрачно с подменой сертификата, другой порт на прокси / непрозрачно без проблем
• ftp (21/tcp) — прозрачно через другой прокси-сервер (в теории, на практике не пробовал) / непрозрачно без проблем
• xmpp (5222/tcp), icq/oscar (5190/tcp, 443/tcp), skype (443/tcp) — эти все настроены в клиентах ходить через ssl, прозрачное прокси даже не пробовал, предполагаю, будет аналогично https, непрозрачно проксируется без проблем
• ssh (22/tcp) — для проксирования нужны костыли: http://daniel.haxx.se/docs/sshproxy.html
• почтовые протоколы: imap[@tls] (143/tcp), imap@ssl (993/tcp), pop3[@tls] (110/tcp), pop3@ssl (995/tcp), smtp[@tls] (25/tcp, 587/tcp), smtp@ssl (465/tcp) — с этим всё сложно, я пробовал настроить прокси в evolution для imap@ssl и smtp@tls, но то ли что-то криво сделал, то ли оно не умеет

В случае прозрачного локального проксирования надо nat/OUTPUT завернуть на прокси:
https://wiki.archlinux.org/index.php/Polipo#Tunneling
А чтобы разрешить трафик исключительно через прокси, надо разрешить filter/OUTPUT только для прокси.
Однако, не забываем о dhcp, dns, ntp и т.п.

Надеюсь, AnrDaemon поправит меня, если где накосячил.

[AnrDaemon]

То, что ты перечислил, далеко не весь трафик. Даже не 1%.

[ArcFi]

AnrDaemon, дело ясное, обо всех протоколах написать нереально, самое основное только, впрочем зависит от задач.

[thunderamur]

задача 80-й порт всего лишь.

Из арчевики попробовал правило, получил:

Код: [Выделить]

# iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner ! --uid-owner polipo -j ACCEPT
iptables v1.4.12: owner: Bad value for "--uid-owner" option: "polipo"
Try `iptables -h' or 'iptables --help' for more information.


[ArcFi]

Код: [Выделить]

id polipo?

[AnrDaemon]

задача 80-й порт всего лишь.

Так ты уточнись, весь трафик или только HTTP.
Если HTTP, то идём читать статьи про прозрачное проксирование.