Transparenter Proxy

[ec-hasslau.de]

Hallo.

Ich habe auf meiner FritzBox 7240 Privoxy und Iptables installiert. Privoxy funktioniert wunderbar, aber ich wollte das ganze über einen transparenten Proxy erzwingen. Hab schon einige male neu kompiliert, weil irgendwelche Iptalbes-Module gefehlt haben. Jetzt erhalte ich keine Fehler mehr, aber funktionieren tut es auch nicht.

modprobe ip_tables
modprobe iptable_filter
modprobe x_tables
modprobe xt_tcpudp
modprobe ipt_REDIRECT
modprobe ip_nat
modprobe iptable_nat
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to 8118

Hier meine config:

FREETZ_HAVE_DOT_CONFIG=y
FREETZ_AVM_VERSION_7270_04_86=y
FREETZ_TYPE_FON_WLAN_7240=y
FREETZ_AVM_VERSION_STRING="7270_04.86"
FREETZ_TYPE_LANG_DE=y
FREETZ_TYPE_LANG_STRING="de"
FREETZ_TYPE_STRING="7240"
FREETZ_INSTALL_BASE=y
FREETZ_PACKAGE_MOD=y
FREETZ_REPLACE_BUSYBOX=y
FREETZ_SHOW_ADVANCED=y
FREETZ_REPLACE_KERNEL_AVAILABLE=y
FREETZ_TARGET_IPV6_SUPPORT=y
FREETZ_TARGET_REF="8mb_26"
FREETZ_KERNEL_REF="8mb_26"
FREETZ_KERNEL_LAYOUT="ur8"
FREETZ_KERNEL_MTD_SIZE=246
FREETZ_HAS_AVM_IPV6=y
FREETZ_HAS_AVM_INETD=y
FREETZ_HAS_DECT=y
FREETZ_HAS_LIBSSL=y
FREETZ_HAS_NAS=y
FREETZ_HAS_PHONE=y
FREETZ_HAS_TAM=y
FREETZ_HAS_USB_HOST=y
FREETZ_HAS_WLAN=y
FREETZ_LANG_DE=y
FREETZ_LANG_STRING="de"
FREETZ_PATCH_DSL_EXPERT=y
FREETZ_ADD_REGEXT_GUI=y
FREETZ_PATCH_ALARMCLOCK=y
FREETZ_PATCH_SIGNED=y
FREETZ_PATCH_FREETZMOUNT=y
FREETZ_USBSTORAGE_AUTOMOUNT=y
FREETZ_AUTOMOUNT_EXT2=y
FREETZ_AUTOMOUNT_EXT3=y
FREETZ_AUTOMOUNT_NTFS=y
FREETZ_PATCH_MAXDEVCOUNT=y
FREETZ_REMOVE_DTRACE=y
FREETZ_PACKAGE_CALLMONITOR=y
FREETZ_PACKAGE_CALLMONITOR_webif=y
FREETZ_PACKAGE_CALLMONITOR_actions=y
FREETZ_PACKAGE_CALLMONITOR_monitor=y
FREETZ_PACKAGE_CALLMONITOR_phonebook=y
FREETZ_PACKAGE_DNSMASQ=y
FREETZ_PACKAGE_DROPBEAR=y
FREETZ_PACKAGE_DROPBEAR_WITH_ZLIB=y
FREETZ_PACKAGE_DROPBEAR_DISABLE_HOST_LOOKUP=y
FREETZ_PACKAGE_INETD=y
FREETZ_PACKAGE_NTFS=y
FREETZ_PACKAGE_PRIVOXY=y
FREETZ_PACKAGE_PRIVOXY_WITH_SHARED_PCRE=y
FREETZ_PACKAGE_FSTYP=y
FREETZ_PACKAGE_AUTHORIZED_KEYS=y
FREETZ_PACKAGE_AVM_FIREWALL=y
FREETZ_SHOW_UNSTABLE_PACKAGES=y
FREETZ_PACKAGE_IPTABLES=y
FREETZ_PACKAGE_IPTABLES_KERNEL_MODULES=y
FREETZ_MODULE_ip_conntrack=y
FREETZ_MODULE_ip_nat=y
FREETZ_MODULE_iptable_filter=y
FREETZ_MODULE_iptable_nat=y
FREETZ_MODULE_ip_tables=y
FREETZ_MODULE_ipt_REDIRECT=y
FREETZ_MODULE_x_tables=y
FREETZ_MODULE_xt_multiport=y
FREETZ_MODULE_xt_tcpudp=y
FREETZ_PACKAGE_IPTABLES_SHARED_LIBS=y
FREETZ_LIB_libipt_REDIRECT=y
FREETZ_LIB_libxt_iprange=y
FREETZ_LIB_libxt_multiport=y
FREETZ_LIB_libxt_tcp=y
FREETZ_LIB_libxt_udp=y
FREETZ_PACKAGE_HASERL=y
FREETZ_PACKAGE_MODCGI=y
FREETZ_DL_KERNEL_SITE="@AVM/fritz.box/fritzbox.fon_wlan_7270_v1/x_misc/opensrc"
FREETZ_DL_KERNEL_SOURCE="fritzbox7270-source-files-04.86.tar.gz"
FREETZ_DL_KERNEL_SOURCE_MD5="55a11af7dcfd617c39e75877045ab468"
FREETZ_DL_SITE="@AVM/fritz.box/fritzbox.fon_wlan_7240/firmware/deutsch"
FREETZ_DL_SOURCE="FRITZ.Box_Fon_WLAN_7240.73.04.87.image"
FREETZ_DL_SOURCE_MD5="da50dd9f04206cd3c2c4d750e62cb678"
FREETZ_MOD_DL_NUM_SITES="5"
FREETZ_MOD_DL_SITE_1="http://freetz.3dfxatwork.de"
FREETZ_MOD_DL_SITE_2="http://freetz.wirsind.info"
FREETZ_MOD_DL_SITE_3="http://freetz.magenbrot.net"
FREETZ_MOD_DL_SITE_4=""
FREETZ_MOD_DL_SITE_5=""
FREETZ_SECURITY_LEVEL=1
FREETZ_VERBOSITY_LEVEL=2
FREETZ_FAVICON_NONE=y
FREETZ_CHECK_CHANGED=y
FREETZ_FAVICON_STRING="none"
FREETZ_SUBVERSION_STRING=y
FREETZ_DEVELOPER_VERSION_STRING=y
FREETZ_STYLE_COLORED=y
FREETZ_STYLE="colored"
FREETZ_USER_DEFINED_COMMENT=""
FREETZ_CREATE_SEPARATE_OPTIONS_CFG=y
FREETZ_SQUASHFS_BLOCKSIZE_65536=y
FREETZ_BUSYBOX_INETD=y
FREETZ_BUSYBOX_MD5SUM=y
FREETZ_BUSYBOX_REALPATH=y
FREETZ_BUSYBOX_TAR_OLDGNU_COMPATIBILITY=y
FREETZ_BUSYBOX_WGET=y
FREETZ_BUSYBOX_FEATURE_PREFER_IPV4_ADDRESS=y
FREETZ_MODULE_ext3=y
FREETZ_MODULE_ext2=y
FREETZ_MODULE_fuse=y
FREETZ_MODULE_jbd=y
FREETZ_MODULE_mbcache=y
FREETZ_LIB_libz=y
FREETZ_LIB_libgcc_s=y
FREETZ_LIB_libfreetz=y
FREETZ_LIB_libpcre=y
FREETZ_LIB_libpcreposix=y
FREETZ_LIB_ld_uClibc=y
FREETZ_LIB_libcrypt=y
FREETZ_LIB_libdl=y
FREETZ_LIB_libm=y
FREETZ_LIB_libnsl=y
FREETZ_LIB_libpthread=y
FREETZ_LIB_librt=y
FREETZ_LIB_libuClibc=y
FREETZ_LIB_libutil=y
FREETZ_BUILD_TOOLCHAIN=y
FREETZ_TARGET_ARCH="mipsel"
FREETZ_TARGET_CROSS="mipsel-linux-uclibc-"
FREETZ_TARGET_MAKE_PATH="toolchain/target/bin"
FREETZ_TARGET_CFLAGS="-Os -pipe -march=4kc -Wa,--trap"
FREETZ_JLEVEL=2
FREETZ_KERNEL_CROSS="mipsel-unknown-linux-gnu-"
FREETZ_KERNEL_MAKE_PATH="toolchain/kernel/bin"
FREETZ_KERNEL_VERSION_2_6_19_2=y
FREETZ_KERNEL_VERSION="2.6.19.2"
FREETZ_UCLIBC_0_9_29_BASED_BOX=y
FREETZ_TARGET_UCLIBC_VERSION_0_9_29=y
FREETZ_TARGET_COMPILER_GCC_4_4_5_UCLIBC_0_9_29=y
FREETZ_TARGET_GCC_VERSION="4.4.5"
FREETZ_TARGET_UCLIBC_VERSION="0.9.29"
FREETZ_TARGET_BINUTILS_VERSION="2.21.51.0.1"
FREETZ_TARGET_UCLIBC_CONFIG_MOD=y
FREETZ_TARGET_UCLIBC_REF="mod"
FREETZ_TARGET_CCACHE=y
FREETZ_TARGET_LFS=y
FREETZ_KERNEL_COMPILER_GCC_3_4_6=y
FREETZ_KERNEL_GCC_VERSION="3.4.6"
FREETZ_KERNEL_BINUTILS_VERSION="2.18"

Kann mir da einer weiterhelfen?

Danke, Andreas

 

[ec-hasslau.de]

[Gelöst]: Transparenter Proxy

Ok, hat sich geklärt. Richtig gewesen wäre:

iptables -t nat -A PREROUTING -p tcp -i lan --dport 80 -j REDIRECT --to 8118

 

[olistudent]

Hi Andreas.
Du magst nicht vielleicht ein paar Zeilen zu dem transparenten Proxy schreiben? (http://trac.freetz.org/wiki/packages/privoxy)
Das ist doch eine Konfiguration die öfter nachgefragt wird.

Gruß
Oliver

 

[olistudent]

Danke für den Wiki Beitrag.

Gruß
Oliver

 

[cuma]

@ec-hasslau.de: Module kann man auch über modules laden

 

[sf3978]

Für die 7170 braucht man einige andere Module als für die 72xx, die man evtl. auch automatisch laden lassen kann. "accept-intercepted-requests 1" kann man evtl. über das Build-System, in das Freetz-Image compilieren.

 

[holger_s]

wie auf 7170

Für die 7170 braucht man einige andere Module als für die 72xx, die man evtl. auch automatisch laden lassen kann. "accept-intercepted-requests 1" kann man evtl. über das Build-System, in das Freetz-Image compilieren.

Hallo,

ich experimentiere nun schon ewig wegen iptables auf der 7170 (2) rum.

Möchte den kompletten Verkehr von den WLAN und LAN2-4 Schnittstellen über Privoxy schicken.
Die 7170 (2) hängt per LAN1 an einer weiteren 7170 (1), die das Internet bereitstellt.

Auf der 7170 (2) läuft Firmware-Version 29.04.87freetz-1.2-stable-8255 mit Privoxy. Privoxy soll als transparenter Proxy arbeiten, dazu brauche ich wohl iptables mit
---------
modprobe ip_tables
modprobe iptable_filter
modprobe x_tables
modprobe xt_tcpudp
modprobe ipt_REDIRECT
modprobe ip_nat
modprobe iptable_nat
iptables -t nat -A PREROUTING -p tcp -i lan --dport 80 -j REDIRECT --to 8118
[ -z "$(grep accept-intercepted-requests /var/mod/etc/privoxy/config)" ] && echo "accept-intercepted-requests 1" >> /var/mod/etc/privoxy/config
---------

nur leider habe ich es noch nicht geschafft x_tables, xt_tcpudp und ip_nat zu laden, es gibt da wohl viele Versionen der iptables bzw. der libs.

Was genau muss ich für die 7170 ins image packen?

Vielen Dank...
Holger

 

[RalfFriedl]

Hast Du im menuconfig ipt_REDIRECT ausgewählt? Hast Du versucht, das Modul zu laden?
Hast Du alle Module, von denen ipt_REDIRECT abhängig ist, auf der Box? Laut der Hilfe im menuconfig wählt ipt_REDIRECT folgendes aus: iptable_nat ip_nat x_tables

 

[holger_s]

da bin ich wieder...

nachdem ich meine Box beim letzten Versuch in eine Endlosbootschleife gebracht hatte musste ich sie erst mal recovern, dabei hat mich die deaktivierte Firewall geärgert, erst im WinXP-abgesicherten Modus hats geklappt. Nun ist Firmware-Version 29.04.80 ohne Extras drauf.

Dazu soll privoxy und iptables für transparenten Proxy.

Wer kann mir genau sagen, welche "Sternchen" von freetz-1.2 im make menuconfig angekreuzelt sein sollten für die 7170?

Ist ja irgendwie sehr verwirrend mit den ganzen libs etc. Ich brauche auch nicht unbedingt eine grafische Oberfläche, wenn es funktioniert kann ich es auch manuell in die debug.cfg eintragen, soll ja immer aktiv sein.

Danke, werde morgen weiter testen.

 

[RalfFriedl]

Wenn Du im menuconfig ipt_REDIRECT auswählst, sollten alle dafür benötigten Module automatisch ausgewählt werden.

 

[holger_s]

das Nutzen von ipt_REDIRECT liefert nach "modprobe ipt_REDIRECT" folgende Module:
ipt_REDIRECT , iptable_nat , ip_conntrack und ip_tables

Die Module iptable_filter , x_tables , xt_tcpudp fehlen noch.

Der Befehl "iptables -t nat -A PREROUTING -p tcp -i lan --dport 80 -j REDIRECT --to 8118" liefert dann unknown arg '--dport'.

Wie nun weiter?

MfG
Holger

 

[sf3978]

... liefert dann unknown arg '--dport'.

Wie nun weiter?

Versuch mal mit:

-m multiport --dports

 

[RalfFriedl]

Schau mal, ob libxt_tcp.so und libxt_standard auf der Box sind, bzw. schau mal mit strace nach, welche Dateien fehlen. Die Meldung kommt nicht wegen fehlender Kernel-Module.

 

[holger_s]

weiter gehts...

NUR MIT ipt_REDIRECT!

Direkt nach dem login:

root@fritz:/var/mod/root# modprobe ipt_REDIRECT
root@fritz:/var/mod/root# lsmod
Module Size Used by Tainted: P
ipt_REDIRECT 704 0
iptable_nat 16176 1 ipt_REDIRECT
ip_conntrack 30320 1 iptable_nat
ip_tables 17920 2 ipt_REDIRECT,iptable_nat
...

@sf3978:
root@fritz:/var/mod/root# iptables -t nat -A PREROUTING -p tcp -i lan -m multipo
rts --dports -j REDIRECT --to 8118
iptables v1.4.1.1: Couldn't load match `multiports':File not found

@RalfFriedl:
root@fritz:/var/mod/root# find / -name libxt_tcp.so
root@fritz:/var/mod/root# find / -name libxt_standard
root@fritz:/var/mod/root#
---------------------------------------------


SO nun ein zweiter Versuch:
in make menuconfig ausgewählte LIBS libxt_tcp.so und libxt_standard.so
sowie Module iptable_filter.ko und ipt_REDIRECT.ko

root@fritz:/var/mod/root# modprobe ipt_REDIRECT
root@fritz:/var/mod/root# modprobe iptable_filter
root@fritz:/var/mod/root# lsmod
Module Size Used by Tainted: P
iptable_filter 864 0
ipt_REDIRECT 704 0
iptable_nat 16176 1 ipt_REDIRECT
ip_conntrack 30320 1 iptable_nat
ip_tables 17920 3 iptable_filter,ipt_REDIRECT,iptable_nat
...

root@fritz:/var/mod/root# iptables -t nat -A PREROUTING -p tcp -i lan --dport 80
-j REDIRECT --to 8118
iptables v1.4.1.1: Unknown arg `--to'

root@fritz:/var/mod/root# find / -name libxt*
/usr/lib/xtables/libxt_tcp.so
/usr/lib/xtables/libxt_standard.so

Woher bekomme ich die Module für modprobe x_tables und xt_tcpudp?
Wie werden die LIBS eingebunden?
libxt_tcp.so und libxt_standard.so sind ja nun auf der Box.

@RalfFriedl
wie geht das mit strace?
iptables mit --verbose hilft nicht weiter.

MfG
Holger

(sorry für den langen Eintrag)

 

[sf3978]

root@fritz:/var/mod/root# iptables -t nat -A PREROUTING -p tcp -i lan --dport 80
-j REDIRECT --to 8118
iptables v1.4.1.1: Unknown arg `--to'

Versuch mal

... -j REDIRECT [COLOR=red]--to-port[/COLOR] 8118

EDIT:

@sf3978:
root@fritz:/var/mod/root# iptables -t nat -A PREROUTING -p tcp -i lan -m multiports --dports -j REDIRECT --to 8118
iptables v1.4.1.1: Couldn't load match `multiports':File not found

Warum schreibst Du "multiports" und nicht "multiport"? Siehe im Beitrag #11.

 

[holger_s]

leider nichts

bringt dasselbe Problem "Unknow arg '--to-port'

 

[holger_s]

root@fritz:/var/mod/root# iptables -t nat -A PREROUTING -p tcp -i lan -m multipo
rt --dports 80 -j REDIRECT --to 8118
iptables v1.4.1.1: Couldn't load match `multiport':File not found

Try `iptables -h' or 'iptables --help' for more information.
root@fritz:/var/mod/root#

kernel ist übrigens:

root@fritz:/var/mod/root# uname -a
Linux fritz.fonwlan.box 2.6.13.1-ohio #2 Mon Dec 19 17:05:52 CET 2011 mips GNU/L
inux

 

[sf3978]

Woher bekomme ich die Module für modprobe x_tables und xt_tcpudp?

Aus einer "alten" trunk revision:

root@fritz:/var/mod/root# lsmod | grep tabl
iptable_mangle          2136  1 
iptable_nat             5909  1 
ip_nat                 15885  2 ipt_MASQUERADE,iptable_nat
iptable_filter          2158  1 
ip_tables              12043  3 iptable_mangle,iptable_nat,iptable_filter
ip_conntrack           46260  7 ipt_MASQUERADE,iptable_nat,ip_nat,xt_state,xt_helper,xt_conntrack,xt_NOTRACK
[COLOR=red]x_tables[/COLOR]               13519 26 ipt_MASQUERADE,ipt_REJECT,ipt_LOG,iptable_nat,ip_tables,[COLOR=red]xt_tcpudp[/COLOR],xt_tcpmss,xt_string,xt_statistic,xt_state,xt_realm,xt_quota,xt_pkttype,xt_multiport,xt_mark,xt_mac,xt_limit,xt_length,xt_helper,xt_esp,xt_conntrack,xt_comment,xt_NOTRACK,xt_NFQUEUE,xt_MARK,xt_CLASSIFY

root@fritz:/var/mod/root# find / -iname '*x_tables*'
/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko
/sys/module/x_tables

root@fritz:/var/mod/root# find / -iname '*xt_tcpudp*'
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_tcpudp.ko
/sys/module/xt_tcpudp

 

[holger_s]

wie geht das nun wieder, ich habe die Fritzbox 7170 mit Freetz-stable-1.2..

 

[sf3978]

..., ich habe die Fritzbox 7170 mit ...

Für deinen Kernel gibt es das hier:

root@fritz:/var/mod/root# find / -iname '*ipt*'
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_CONNMARK.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_LOG.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_MARK.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_MASQUERADE.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_REDIRECT.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_REJECT.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_TCPMSS.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_TOS.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_comment.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_connmark.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_conntrack.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_helper.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_ipp2p.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_iprange.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_layer7.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_length.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_limit.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_mac.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_mark.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_multiport.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_owner.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_state.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_tcpmss.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_tos.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_ttl.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_filter.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_mangle.ko
/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_nat.ko

mit der Firmware-Version 29.04.80 und einer "älteren" trunk revision.