Redirect mit Hilfe von IPTABLES auf PRIVOXY

[iseeku23]

Hallo

Ich möchte einen transparenten Zwangsproxy auf der FritzBOX mit Hilfe von Privoxy und iptables installieren.

Privoxy und iptables habe ich auf dem Speedport W900V mit Freetz erfolgreich installiert. (Image von 7170 mit Alien Hardware)

Privoxy ist nach meinen Vorstellungen konfiguriert, trage ich die FritzBox auf dem Computer als Proxy ein funktioniert es einwandfrei.

Über Telnet habe ich iptables folgende Regel erstellt:
iptables -t nat -A PREROUTING -i lan -p tcp --dport 80 -j REDIRECT --to-port 8118

leider erhalte ich dann immer nur Meldung "Invalid header received from client." oder "HTTP 400 Site not found" im Internetbrowser. Lösche ich die Regel läuft wieder alles wunderbar.

wir nutzen nur LAN, kein WLAN. laut ifconfig:
lan Link encap:Ethernet HWaddr 00:1A:4F:XX:XX:XX
inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0

192.168.3.1 ist unser LAN-IP-Bereich.

Wo kann der Fehler liegen?

 

[sf3978]

Poste mal die Ausgaben von "iptables -L -n -v -t nat" und von "lsmod".

 

[iseeku23]

Poste mal die Ausgaben von "iptables -L -n -v -t nat" und von "lsmod".

/var/mod/root # iptables -t nat -A PREROUTING -i lan -p tcp --dport 80 -j REDIRE
CT --to-port 8118
/var/mod/root # iptables -L -n -v -t nat
Chain PREROUTING (policy ACCEPT 7328 packets, 537K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              
    0     0 REDIRECT   tcp  --  lan    *       0.0.0.0/0            0.0.0.0/0                                                        tcp dpt:80 redir ports 8118

Chain POSTROUTING (policy ACCEPT 6799 packets, 370K bytes)
 pkts bytes target     prot opt in     out     source               destination                                              

Chain OUTPUT (policy ACCEPT 1280 packets, 76791 bytes)
 pkts bytes target     prot opt in     out     source               destination

/var/mod/root # lsmod
Module                  Size  Used by    Tainted: P
ipt_REJECT              4800  0
ipt_MASQUERADE          2496  0
ipt_iprange             1600  0
ipt_multiport           2176  0
ipt_mac                 1504  0
ipt_state               1312  0
ipt_LOG                 7328  0
ip_conntrack_ftp       71552  0
iptable_filter          2112  0
ipt_REDIRECT            1536  0
iptable_nat            22096  2 ipt_MASQUERADE,ipt_REDIRECT
ip_tables              21088  10 ipt_REJECT,ipt_MASQUERADE,ipt_iprange,ipt_multiport,ipt_mac,ipt_state,ipt_LOG,iptable_filter,ipt_REDIRECT,iptable_nat
ip_conntrack           42288  4 ipt_MASQUERADE,ipt_state,ip_conntrack_ftp,iptable_nat
sch_sfq                 5088  4
sch_llq                 8896  1
sch_tbf                 5888  1
userman                33328  2
tiap                  452800  0
kdsldmod              878208  7 userman
usbahcicore            26064  0
usbcore               113328  2 usbahcicore
capi_codec            143040  0
isdn_fbox_fon4        899840  1 capi_codec
ubik2                  85440  2 capi_codec,isdn_fbox_fon4
tiatm                 112544  1 ubik2
jffs2                 108800  1
Piglet                 10560  0

 

[sf3978]

Was zeigt "netstat -ntl" an?

 

[iseeku23]

Poste mal die Ausgaben von "iptables -L -n -v -t nat" und von "lsmod".

/var/mod/root # netstat -ntl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:5060            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:5031            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN
tcp        0      0 192.168.3.1:8118        0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:8888          0.0.0.0:*               LISTEN

Habe gerade mal die Bindung von Privoxy rausgenommen:
tcp 0 0 0.0.0.0:8118 0.0.0.0:* LISTEN

leider keine Besserung ;(

 

[sf3978]

Wenn es so nicht geht, könntest Du die ausgehenden Verbindungen (Forward) mit iptables unterbinden und so die Clients dazu zwingen, die FritzBox als Proxy zu verwenden.

 

[fritzchen]

Wenn es so nicht geht, könntest Du die ausgehenden Verbindungen (Forward) mit iptables unterbinden und so die Clients dazu zwingen, die FritzBox als Proxy zu verwenden.

Dazu lässt sich auch gut die AVM-eigene Kindersicherung verwenden - so mache ich das

hat allerdings den Nachteil, dass imap, smtp und co nicht mehr funktioniert

 

[iseeku23]

Wie kann ich den rausfinden wer den Fehler verursacht, ob die Weiterleitung murks macht oder privoxy von local nichts annimmt.

 

[sf3978]

Versuch mal mit iptraf.