|
|
|
@ -1,4 +1,4 @@ |
|
|
|
zapret v.25 |
|
|
|
zapret v.26 |
|
|
|
|
|
|
|
Для чего это надо |
|
|
|
----------------- |
|
|
|
@ -91,6 +91,15 @@ transparent proxy (TPROXY или DNAT). TPROXY не работает с соед |
|
|
|
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 127.0.0.1:1188 |
|
|
|
iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to 127.0.0.1:1188 |
|
|
|
|
|
|
|
ПРИМЕЧАНИЕ: DNAT на localhost работает в цепочке OUTPUT, но не работает в цепочке PREROUTING без включения параметра route_localnet : |
|
|
|
|
|
|
|
sysctl -w net.ipv4.conf.<incoming_interface_name>.route_localnet=1 |
|
|
|
|
|
|
|
Можно использовать "-j REDIRECT --to-port:1188" вместо DNAT , однако в этом случае процесс transparent proxy |
|
|
|
должен слушать на ip адресе входящего интерфейса или на всех адресах. Слушать на всех - не есть хорошо |
|
|
|
с точки зрения безопасности. Слушать на одном (локальном) можно, но в случае автоматизированного |
|
|
|
скрипта придется его узнавать, потом динамически вписывать в команду. В любом случае требуются дополнительные усилия. |
|
|
|
|
|
|
|
Особенности применения ip6tables |
|
|
|
-------------------------------- |
|
|
|
|
|
|
|
@ -606,8 +615,7 @@ ipset можно выкинуть, если не будем пользовать |
|
|
|
Перезапустить фаервол : |
|
|
|
fw3 restart |
|
|
|
|
|
|
|
Если не включен параметр DISABLE_IPV6, |
|
|
|
Посмотреть через iptables -nL или через luci вкладку "firewall" появились ли нужные правила. |
|
|
|
Посмотреть через iptables -nL, ip6tables -nL или через luci вкладку "firewall" появились ли нужные правила. |
|
|
|
|
|
|
|
ЭКОНОМИЯ МЕСТА : если его мало, то можно оставить в директории zapret лишь подкаталог ipset, файл config и init.d/openwrt. |
|
|
|
Далее нужно создать подкаталоги с реально используемыми бинариками (ip2net, mdig, tpws, nfq) |
|
|
|
|
bolvan
6 years ago