Guss Asked: 2013-10-08 07:22:28 +0800 CST2013-10-08 07:22:28 +0800 CST 2013-10-08 07:22:28 +0800 CST 强制 LAN 主机通过代理 772 我在 Debian 服务器上有一个 IPTables 防火墙,后面有一堆主机伪装。在上游网络中,我无法直接访问互联网,我需要通过代理服务器才能访问网站。 我希望防火墙后面的主机自动通过代理服务器,而不需要每个主机自己设置代理(主要是因为我希望能够单点更改代理地址,因为我有不同的代理用于不同的网络场景)。 有没有办法让 IPTables 强制端口 80 和 443 上的所有传出流量通过代理?如果没有,我可以使用其他一些现成的软件来获得我需要的行为吗? linux 2 个回答 Voted Best Answer ab77 2013-10-08T07:49:01+08:002013-10-08T07:49:01+08:00 至少有两种方法可以做到这一点: 通过 DHCP 的代理自动配置 URL 使用 iptables 进行透明代理重定向 第一个选项使用WPAD机制: 在您的 DHCP 服务器配置中,您必须包含选项 252(例如,对于 dhcpd): option local-proxy-config code 252 = text; ... subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.20 192.168.0.30; ... option local-proxy-config "http://your_http_server/proxy.pac"; } 你的 proxy.pac 只是一个 JS 告诉浏览器代理什么(例如): function FindProxyForURL(url, host) { var proxy = "PROXY your_proxy_server:3128; DIRECT"; var direct = "DIRECT"; // no proxy for local hosts without domain: if(isPlainHostName(host)) return direct; // proxy everything else: return proxy; } 第二种选择是使用iptables透明地重定向 http 流量(例如): iptables -t nat -A PREROUTING -i eth0 -s ! your_proxy_server -p tcp --dport 80 -j DNAT --to your_proxy_server:3128 iptables -t nat -A POSTROUTING -o eth0 -s local-network -d your_proxy_server -j SNAT --to iptables-box iptables -A FORWARD -s local-network -d your_proxy_server -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT jirib 2013-10-08T07:27:45+08:002013-10-08T07:27:45+08:00 是的,你可以,它被称为透明拦截代理。只需将流量重定向到 squid 并将其配置为充当透明代理。 顺便说一句,在客户端上手动部署代理配置是有好处的。如果有任何东西直接与您的代理对话,您就知道有些奇怪。并且您可以不通过 IP 而是通过主机名来定义代理,因此您可以更改引用该主机名的 IP。
至少有两种方法可以做到这一点:
第一个选项使用WPAD机制:
在您的 DHCP 服务器配置中,您必须包含选项 252(例如,对于 dhcpd):
你的 proxy.pac 只是一个 JS 告诉浏览器代理什么(例如):
第二种选择是使用iptables透明地重定向 http 流量(例如):
是的,你可以,它被称为透明拦截代理。只需将流量重定向到 squid 并将其配置为充当透明代理。
顺便说一句,在客户端上手动部署代理配置是有好处的。如果有任何东西直接与您的代理对话,您就知道有些奇怪。并且您可以不通过 IP 而是通过主机名来定义代理,因此您可以更改引用该主机名的 IP。