[Frage] Transparenter Proxy auf einer anderen Maschine

[simonszu]

Hi,

ich spiele mit dem Gedanken, mir einen Privoxy in meinem LAN einzurichten. Weil im Wiki steht, dass der begrenzte Flash der FB eh nicht die kompletten Filterlisten speichern kann, und ich für größere Anwendungen sowieso einen Homeserver im LAN stehen habe, will ich den Privoxy da drauf laufen lassen. Nach Möglichkeit Transparent.

Nun bin ich kein Experte, was iptables angeht. Eigentlich sogar eher noch blutiger Anfänger. Daher weiß ich jetzt nicht, wie ich die Regel für einen transparenten Proxy auf der FB für einen transparenten Proxy auf einem anderen Host abändere.

Es geht mir um

iptables -t nat -A PREROUTING -p tcp -i lan --dport 80 -j REDIRECT --to 8118

Reicht es, also --to Parameter einfach hostort anzugeben? Und was ist mit dem grep-Befehl dadrunter?

[ -z "$(grep accept-intercepted-requests /var/mod/etc/privoxy/config)" ] && echo "accept-intercepted-requests 1" >> /var/mod/etc/privoxy/config

Als Input ist "lan" als Parameter angegeben. Greift das dann auch bei Zugriff über WLAN?

 

[JohnDoe42]

Hallo,

das

--dport 80 -j REDIRECT --to 8118

weist die Box an, alle aus dem (lokalen) LAN kommenden Anfragen an Port 80 auf den Port, auf dem Privoxy lauscht ( per derfault 8118 ) umzuleiten. Insbesondere nur Anfragen für Port 80. Also eben keine Anfragen für Port 8080, 443 etc. Es sei denn, Du paßt die iptables-Regel(n) entsprechend an.
Und

-i lan

ist natürlich nicht das WLAN-Device der Box. Wenn Du das mit abdecken möchtest, mußt Du auch hier die Regel(n) anpassen.
Grüße,

JD.

 

[sf3978]

Reicht es, also --to Parameter einfach hostort anzugeben?

Wo befindet sich deine iptables-Regel? Wo lauscht der privoxy?

Und was ist mit dem grep-Befehl dadrunter?

grep wirst Du auf dem anderen Host nicht benötigen, da Du privoxy konfigurieren kannst.

Als Input ist "lan" als Parameter angegeben. Greift das dann auch bei Zugriff über WLAN?

Nein. Dort wirst Du ein anderes input-Interface haben.

 

[simonszu]

Die iptables-Regel würd ich dann auf der FB einrichten, 192.168.1.1. Der Privoxy läuft auf dem Host mit der IP 192.168.1.4.
Joah, wie dann das andere input-Interface heißt, finde ich dann wohl noch raus. Aber bis auf das Interface wären dann beide Regeln identisch, oder?

 

[sf3978]

Der Privoxy läuft auf dem Host mit der IP 192.168.1.4.

Wie geht es von dem Host mit der IP-Adresse IP 192.168.1.4 dann weiter? Routet dieser in das Internet? Welche Funktion hat dieser Host?

 

[simonszu]

Nein, der .1.4 hängt genau so hinter der FB, wie alle anderen Hosts auch. Er routet also im Normalfall über die FB ins Internet. Normaler sternförmiger Aufbau halt, mit der FB als Sternpunkt. Das ist eigentlich nur eine Kiste, wo ein normales Debian drauf läuft, samt ein paar Diensten (TFTP, IRC-Bouncer, NTP). Ich finde ein normales Debian einfacher zu handlen als die Fritzbox. Auf der wiederum läuft ein freetz, wo eigentlich nur ein dnsmasq mit drin steckt, damit ich der Fritzbox auch andere Upstream Nameserver beibringen kann, als den standardmäßigen.

 

[sf3978]

Aber bis auf das Interface wären dann beide Regeln identisch, oder?

Nein, ... denn REDIRECT ist besonderer Fall von D-NAT. D. h. bei REDIRECT wird die Destinationsadresse durch die IP-Adresse des input-Interfaces (in deinem Fall wäre das die FB) ersetzt. Das willst Du ja nicht und deshalb ist dein target DNAT statt REDIRECT. Siehe im Internet die Hilfen zu iptables.

 

[JohnDoe42]

Ich verstehe ehrlich gesagt nicht, warum privoxy auf einem anderen Rechner laufen soll. Warum nutzt die Router-Funktionalität, die Du auf der Fritzbox "umsonst" bekommst, nicht direkt ?
Was spricht dagegen, iptables und privoxy gleichzeitig auf der Box zu betreiben ?
Platzprobleme können es schon mal nicht sein (s. external, insbesondere den Privoxy-Patch von MaxMuster zum auslagern der Firefox-Regeln).
Performance-Probleme können es nach meinem Dafürhalten auch nicht sein (von welcher Fritzbox sprechen wir überhaupt) ?
Grüße,

JD.

 

[sf3978]

Performance-Probleme können es nach meinem Dafürhalten auch nicht sein (von welcher Fritzbox sprechen wir überhaupt) ?

Abhängig von der Box, können mit privoxy, schon Performance-Probleme entstehen.

 

[simonszu]

Ja nu...das ist jetzt schon die 7390

Kann mir denn dann eventuell jemand erklären, wo das Loadscript von der privoxy-Wikiseite hin muss?

 

[JohnDoe42]

Was meinst Du mit ""Loadscript"?
Im Privoxy-CGI mußt Du doch nur den Pfad angeben, wo die Filter landen sollen .. (?)
S.a. hier.
Grüße,

JD.

 

[simonszu]

Ich meine dieses

 

[JohnDoe42]

Du weißt, wo man ein Shell-Script unterbringt, welches beim Booten der Box geladen werden soll?

 

[simonszu]

Würde ich sonst fragen?

 

[JohnDoe42]

Hier steht z.B. ein Beispiel, um einen User dauerhaft in der Box zu speichern.
Du müßtest das dargestellte User.sh durch Dein "Loadscript" ersetzen. Rest gleich.