Завернуть трафик с eth на lo.

[Jolly Roger]

Доброго времени суток.
В системе 2 интерфейса, eth0 и lo, на lo запущен сквид, на этой же машине запущен браузер, запросы из которого ухочят с eth0. Нужно завернуть 443 и 80 порты на lo в сквид а затем выпустить это через eth0. если сделать так:
iptables -t nat -A OUTPUT -p tcp -s 192.168.1.3 --dport 80 -j DNAT --to-destination 127.0.0.1:3130
iptables -t nat -A OUTPUT -p tcp -s 192.168.1.3 --dport 443 -j DNAT --to-destination 127.0.0.1:3131
образуется петля, может есть способ это решить?
Пока видится это так, сделать в системе br0, навесить на него ip, удалить маршрут поумолчанию, прописать маршрут по умолчанию в dev br0, маркировать пакеты вылетающие из br0 и заворачивать их выше упомянутыми правилами, а пакеты которые уже промаркированы отправлять в другую таблицу маршрутизации в которую предварительно добавлен eth0 и маршрут по умолчанию в него.
Но что-то не мне нравится такой вариант т.к. с iptables и iproute не очень и через полгода можно не вспонить что и зачем сделано (хотя можно добавить комментарии).
Пользователь добавил сообщение 27 Июня 2017, 14:05:33:Попробовал так:

Код: [Выделить]

iptables -t nat -A OUTPUT -m mark --mark 2 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:3130
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 443 -j DNAT --to-destination 127.0.0.1:3131
iptables -t mangle -A OUTPUT -s 127.0.0.1 -j MARK --set-mark 2
всеравно петля..

промаркированный пакет на выходе lo почемуто не попадает в правило, или что-то работает не так как я думаю )

Код: [Выделить]

iptables -L -nv -t nat

Chain OUTPUT (policy ACCEPT 16 packets, 982 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x2
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:127.0.0.1:3130
  516 30960 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:127.0.0.1:3131
Пользователь добавил сообщение 27 Июня 2017, 14:14:29:Какието пакеты начали появляться после очистки filter, было лишнее правило, теперь весь iptables состаит из 4х вышеуказанных правил, но всеравно петля, система уходит в swap.

Код: [Выделить]

Chain OUTPUT (policy ACCEPT 16 packets, 1012 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   24  1440 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x2
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:127.0.0.1:3130
 1112 66720 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:127.0.0.1:3131
Пользователь добавил сообщение 27 Июня 2017, 14:24:46:Заменил:

Код: [Выделить]

iptables -t mangle -A OUTPUT -s 127.0.0.1 -j MARK --set-mark 2на

Код: [Выделить]

iptables -t mangle -A INPUT -i lo -j MARK --set-mark 2и пакетов снова не видно:

Код: [Выделить]

Chain OUTPUT (policy ACCEPT 47 packets, 2731 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x2
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:127.0.0.1:3130
  508 30480 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:127.0.0.1:3131
Пользователь добавил сообщение 27 Июня 2017, 14:25:46:Какоето колдовство.. Где ошибка?

[AnrDaemon]

-j REDIRECT

[Jolly Roger]

Здравствуйте.
Переместил сквид на eth и сделал:

Код: [Выделить]

modprobe iptable_nat
modprobe ip_conntrack
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A OUTPUT -m mark --mark 2 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j MARK --set-mark 2
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 443 -j MARK --set-mark 2
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3130
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3131
в логах сквида:

Код: [Выделить]

2017/06/28 21:23:33 kid1| WARNING: Forwarding loop detected for:
GET /favicon.ico HTTP/1.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Via: 1.1 debian (squid/3.5.26)
X-Forwarded-For: unknown
Cache-Control: max-age=259200
Connection: keep-alive
Host: mail.ru
в счетчиках:

Код: [Выделить]

iptables -L -nv -t nat
Chain OUTPUT (policy ACCEPT 39 packets, 2586 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x2
   22  1320 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
  987 59220 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 MARK set 0x2
   22  1320 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 redir ports 3130
  987 59220 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 redir ports 3131


[AnrDaemon]

А так всё и будет.
Можете попробовать перевести кальмара в intercept, но опять же вряд ли что-то получится.
Ибо вы хотите странного.

[Jolly Roger]

Он сейчас и настроен в intercept т.к. нужен именно прозрачный режим, если в браузере указать прокси явно на локалхост и сквид (без intercept) повесить тудаже то все работает без всяких костылей с iptables.
Пользователь добавил сообщение 29 Июня 2017, 15:06:14:

А так всё и будет.

Почему? Не может быть такого что метка не навешивается потому что не подгружен какойто модуль или снимается при пролете через сквид?

[fisher74]

Метка при пролёте через кальмара не слетает, а просто пропадает вместе с пакетом, ибо он уже доходит до конечной цели (сквид) и прекращает своё существование.

[Jolly Roger]

Точно, этож не маршрутизатор), переделал так:

Код: [Выделить]

modprobe iptable_nat
modprobe ip_conntrack
echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A OUTPUT -m mark --mark 2 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:3130
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 443 -j DNAT --to-destination 127.0.0.1:3131
iptables -t nat -A OUTPUT -o lo -p tcp -m tcp --dport 80 -j MARK --set-mark 2
iptables -t nat -A OUTPUT -o lo -p tcp -m tcp --dport 443 -j MARK --set-mark 2

Код: [Выделить]

netstat -ntlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 127.0.0.1:3130          0.0.0.0:*               LISTEN      1480/(squid-1)     
tcp        0      0 127.0.0.1:3131          0.0.0.0:*               LISTEN      1480/(squid-1)     
tcp        0      0 127.0.0.1:3132          0.0.0.0:*               LISTEN      1480/(squid-1)     

Код: [Выделить]

iptables -L -nv -t nat
Chain PREROUTING (policy ACCEPT 1 packets, 257 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 1 packets, 257 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 35 packets, 2598 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x2
   66  3960 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:127.0.0.1:3130
24006 1440K DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:127.0.0.1:3131
    0     0 MARK       tcp  --  *      lo      0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
    0     0 MARK       tcp  --  *      lo      0.0.0.0/0            0.0.0.0/0            tcp dpt:443 MARK set 0x2

Chain POSTROUTING (policy ACCEPT 24107 packets, 1447K bytes)
 pkts bytes target     prot opt in     out     source               destination         


И система уходит в swap, в логе сквида:

Код: [Выделить]

2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting
2017/06/29 20:50:00 kid1| Queue overload, rejecting

[fisher74]

Ядро не различает Ваш браузер и кальмара. Для него это просто локальные приложения, спешащие в интернет.

[Jolly Roger]

Подумав над изложенным выше, решил посмотреть в сторону "как различить ядру" браузер и squid.
И вот что увидел, оказывается squid умеет навешивать метки tos на исходящие пакеты, отвечает за это директива tcp_outgoing_tos, чтобы она работала, при сборке squid нужно указать соответствующие опции конфигурации, делаем в конфиге после секции acl

Код: [Выделить]

tcp_outgoing_tos 0x30 localnet, в iptables указываем:

Код: [Выделить]

iptables -t nat -A OUTPUT -m tos --tos 0x30 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3130
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3131И радуемся жизни.
Спасибо всем принимавшим участие.

[fisher74]

Про параметр кальмара не знал (ибо подобных задач не стояло), решение задачи на "отлично".
Снимаю шляпу и жму кнопку "Спасибо".