Gesamten webverkehr über Privoxy mit IP-Tables?

[sf3978]

Siehe mein Edit. War mein Fehler. So ist es richtig: "cat /var/mod/etc/privoxy/config"
Deaktiviere auch das Filtern und keine Einträge in die Zugriffskontrolle beim Privoxy.

 

[sphings]

/ # cat /var/mod/etc/privoxy/config
confdir /mod/etc/privoxy
actionsfile standard.action
actionsfile default.action
filterfile default.filter
enable-edit-actions 0
logdir /var/log
logfile privoxy.log
# debug   4096
debug   8192
actionsfile /tmp/flash/user.action
filterfile /tmp/flash/user.filter
toggle 1
enable-remote-toggle 0
enforce-blocks 1
listen-address 192.168.181.1:8118
permit-access 127.0.0.1
permit-access 192.168.181.0/24

deny-access 192.168.181.100 www.google.de

und auf dem freetz linux:

freetz@freetz-linux:~$ cat freetz-1.1.2/make/privoxy/files/root/etc/default.privoxy/privoxy_conf
#!/bin/sh

cat <<EOF
confdir /mod/etc/privoxy
actionsfile standard.action
actionsfile default.action
filterfile default.filter
enable-edit-actions 0
accept-intercepted-requests 1
logdir /var/log
logfile privoxy.log
# debug   4096
debug   8192
EOF

[ -r "/tmp/flash/user.action" ] && echo "actionsfile /tmp/flash/user.action"

[ -r "/tmp/flash/user.filter" ] && echo "filterfile /tmp/flash/user.filter"

echo "toggle $PRIVOXY_TOGGLE"
echo "enable-remote-toggle $PRIVOXY_ENABLE_REMOTE_TOGGLE"
echo "enforce-blocks $PRIVOXY_ENFORCE_BLOCKS"

echo "listen-address $PRIVOXY_LISTEN_ADDRESS:$PRIVOXY_LISTEN_PORT"

[ "$PRIVOXY_FORWARD_SOCKS" ] && echo "forward-socks4a / $PRIVOXY_FORWARD_SOCKS ."

if [ ! -z "$PRIVOXY_PERMIT_ACCESS" ]; then
        echo "$PRIVOXY_PERMIT_ACCESS" | grep -v "^#" | while read -r permit; do
                [ -n "$permit" ] && echo "permit-access $permit"
        done
        echo ""
fi

if [ ! -z "$PRIVOXY_DENY_ACCESS" ]; then
        echo "$PRIVOXY_DENY_ACCESS" | grep -v "^#" | while read -r deny; do
                [ -n "$deny" ] && echo "deny-access $deny"
        done
        echo ""
fi

mucc ich da vor dem make noch was machen?

 

[sf3978]

[...]
mucc ich da vor dem make noch was machen?

Die Änderung speichern und "make privoxy-dirclean".

EDIT:
zum Testen diese Einstellungen weg lassen:

enforce-blocks 1
permit-access 127.0.0.1
permit-access 192.168.181.0/24
deny-access 192.168.181.100 www.google.de

 

[sphings]

ok ich bau mal eben das image neu!
wird dann wohl so 10 mins dauern ... ich editiere dann meinen beitrag.
würde es nicht auch reichen, den eintrag in die config datei auf der box einzutragen?

--

die einstellungen habe ich bereits aus der config entfernt ...

---

die iptables passen aber ja?

iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d localhost --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8118

 

[sf3978]

[...]
würde es nicht auch reichen, den eintrag in die config datei auf der box einzutragen?[...]

Nein, denn die config-Datei auf der Box, wird vom Skript (ohne diesen Eintrag) generiert und somit immer überschrieben bei einem start/restart von Privoxy.

EDIT:
Versuch es mal ohne die 1 und 2 Regel:

iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d localhost --dport 80 -j ACCEPT

Bei iptables ist die Reihenfolge der Regeln wichtig bzw. in -t nat braucht man kein ACCEPT target.

 

[sphings]

so image ist drauf ...

/var/mod/root # cat /var/mod/etc/privoxy/config
confdir /mod/etc/privoxy
actionsfile standard.action
actionsfile default.action
filterfile default.filter
enable-edit-actions 0
accept-intercepted-requests 1
logdir /var/log
logfile privoxy.log
# debug   4096
debug   8192
actionsfile /tmp/flash/user.action
filterfile /tmp/flash/user.filter
toggle 1
enable-remote-toggle 0
enforce-blocks 0
listen-address 192.168.181.1:8118

dafür kommt jetzt beim hinzufügen der iptables

/var/mod/root # iptables -t nat -A PREROUTING -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables v1.4.1.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
/var/mod/root # iptables -t nat -A PREROUTING -p tcp -d localhost --dport 80 -j
ACCEPT
iptables v1.4.1.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
/var/mod/root # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to
-port 8118
iptables v1.4.1.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

______
EDIT

sorry der dienst lief noch nicht ...
Ist schon spät

ich häng mal die iptables seite von freetz mit dran ...

 

[sf3978]

lsmod und evtl. fehlende Module mit dem Freetz-Web-IF laden.

EDIT:
"iptables -S" zeigt mehr.
Module kann man nur dann laden, wenn auch im Freetz-Image vorhanden (siehe make menuconfig)

 

[sphings]

Freetz-Web-IF ?

/var/mod/root # lsmod
Module                  Size  Used by    Tainted: P
xt_tcpudp               2743  4
xt_MARK                 1910  0
xt_mark                 1445  0
xt_state                1603  0
ipt_REJECT              3581  0
ipt_REDIRECT            1562  2
ipt_MASQUERADE          2579  0
ipt_iprange             1494  0
ipt_LOG                 7037  0
ip_conntrack_ftp        6519  0
iptable_filter          2158  0
iptable_nat             5837  1
ip_tables              11822  2 iptable_filter,iptable_nat
x_tables               13427  11 xt_tcpudp,xt_MARK,xt_mark,xt_state,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,ipt_iprange,ipt_LOG,iptable_nat,ip_tables
ip_nat                 15833  3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
ip_conntrack           46260  5 xt_state,ipt_MASQUERADE,ip_conntrack_ftp,iptable_nat,ip_nat
rtc_sysfs               2704  0
rtc_proc                3847  0
rtc_dev                 5493  1
sch_sfq                 5619  4
sch_llq                 9102  1
sch_tbf                 5664  1
userman                33702  2
wlan_scan_ap            8481  1
wlan_acl                4090  1
wlan_wep                6114  0
wlan_tkip              12521  0
wlan_ccmp               8524  2
wlan_xauth              1182  0
ath_pci               152567  0
ath_rate_atheros       61891  1 ath_pci
wlan                  229944  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                39236  2 ath_pci,wlan
ath_hal               237540  4 ath_pci,ath_rate_atheros,ath_dfs
avm_ath_extensions     41518  4 ath_pci,ath_rate_atheros,wlan,ath_hal
usblp                  13578  1
kdsldmod              873597  7 userman
musb_hdrc              36999  0
usbcore               125996  4 usblp,musb_hdrc
dect_io                21126  2
avm_dect              390881  1 dect_io
capi_codec            142935  0
isdn_fbox_fon5        761750  0
pcmlink               262925  3 avm_dect,capi_codec,isdn_fbox_fon5
rtc_avm                 6573  2 pcmlink
rtc_core                7083  4 rtc_sysfs,rtc_proc,rtc_dev,rtc_avm
rtc_lib                 2712  3 rtc_sysfs,rtc_avm,rtc_core
dsl_ur8               173781  1
jffs2                 115345  1
Piglet_noemif          36534  0
led_modul_Fritz_Box_7270    63229  9 ath_hal


/var/mod/root # iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
/var/mod/root #

________
EDIT

Ich sehe schon ist doch nicht so einfach wie gedacht ...

 

[sf3978]

OK, die module sind da. Ja, Freetz-Web-IF, zumindest im trunk, ob bei deinem Freetz auch, weiss ich nicht.

 

[sphings]

ok google hilft
Freetz WebInterface

naja hätte ich mir auch denken können.
Da ja die Module alle da sind ... was gibts den nnoch woran es liegen könnte?

 

[sf3978]

... was gibts den nnoch woran es liegen könnte?

Evtl. die Konfiguration des Privoxy nochmal genau anschauen.

 

[sphings]

ok ohne die 1. & 2. iptables blockt er mir ne seite die ich in actions eingetragen habe aber dafür funktioniert keine andere seite mehr *grml*

 

[sf3978]

zum Testen diese Einstellungen weg lassen:

enforce-blocks 1
permit-access 127.0.0.1
permit-access 192.168.181.0/24
deny-access 192.168.181.100 www.google.de

 

[sphings]

hatte ich schon.

egal ob mit oder ohne ...
beides mal das gleiche ergebnis ...

 

[sf3978]

Dann solltest vielleicht doch mit iptables die Verbindungen loggen.

 

[sphings]

Das mag er ja nicht. Siehe post #16 auf der 1. Seite ...

 

[sf3978]

Das geht schon, wenn Du mit "make menuconfig" die erforderlichen iptables-Module aktivierst und dann ein Freetz-Image kompilierst.

 

[RalfFriedl]

siehe post auf der seite davor ...

Zum einen solltest Du die Shift-Taste angemessen nutzen.

Und zum anderen solltest Du konkret die Nummer des Beitrags nennen. Die Formulierung "seite davor" ist reichlich ungenau, und erst recht sinnlos, wenn sie auf der ersten Seite steht.

 

[sphings]

Zum einen solltest Du die Shift-Taste angemessen nutzen.

Zum einen hat IPPF nicht mehr funktioniert und ich war froh das ich nach 10000x F5 drücken überhaupt noch ne antwort schreiben konnte ...

Und zum anderen solltest Du konkret die Nummer des Beitrags nennen. Die Formulierung "seite davor" ist reichlich ungenau, und erst recht sinnlos, wenn sie auf der ersten Seite steht.

... zum anderen hätte ich auch einen Post angegeben aber wenn die Seite sich nicht mehr anzeigen lässt ...


Ich habe bei make menuconfig alles ausgewählt was iptables angeboten hat.
Aus allen untermenüs.

 

[Silent-Tears]

Zum einen hat IPPF nicht mehr funktioniert und ich war froh das ich nach 10000x F5 drücken überhaupt noch ne antwort schreiben konnte ...

Jetzt auch? Btw kann man durchaus mal ne halbe Stunde warten oder auch ne Stunde, wenns denn mal hakt.