Transparenter Proxy / NAT /IP Tables?!?!

Computer: Software & Programmierung UNIX & Linux
#1

Hallo Leutz,

Linuxnoob hat da mal ne Frage:

Welche Einträge muss ich welchen „.conf Dateien“ machen, wenn ich folgendes haben will:
Mein Software Router (Server im Keller) soll alle Anfragen aus dem LAN(7PC’s)ins Inernet(DSL 768/128) weiterrouten. Dabei soll es im LAN möglich sein, alle Internetanwendungen auszuführen(ICQ,Games, etc.)
Unter Windows XP Prof. habe ich das bisher mit standard ICS erledigt.
Jetzt will ich auf Linux umsteigen.
Funktioniert das dann mit IP/Port Forwarding oder gibt es da etwas neueres? IP Tables?, NAT Kernel?! :smile: keine Ahnung
Ausserdem sollen HTTP Anfragen(80) über einen transparenten Proxy laufen(Squid), also keinerlei Einträge bei den Clients. Dieser Proxy soll die Webseiten zentral cachen!

Das ganze sollte mit SuSE 8.2 laufen.

Danke im Vorraus,
gabe

#2

Moin,

lest dir am besten mal die Doku auf www.netfilter.org durch.

Naja und wenn du die susefirewall verwendest. Die hat bestimmt auch ne Doku.

cu

polarix

#3

lest dir am besten mal die Doku auf www.netfilter.org durch.

Ja. Und http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/

Naja und wenn du die susefirewall verwendest. Die hat bestimmt
auch ne Doku.

Das Ding würde ich getrost abschalten. Achso: Und http://www.tldp.org/HOWTO/mini/TransparentProxy.html lesen.

Sebastian

#4

Hoi, ich bins nommal!

Erst mal danke für eure Antworten!

Wenn ich des jetzt mal zusammenfassen darf:
Sehe ich das richtig, dass:

  1. IPChains: veraltet, bis Kernel 2.3 (oder 2.2)
  2. IP Tables: neuer, ab Kernel 2.4 das gleiche wie „Netfilter“ Uneterschied?!
  3. Wenn ich NAT nurtzen kann brauche ich kein „IP Forwarding“ mehr
  4. IP/ Port Forwardig: ein Bestandteil von IP Tables
  5. NAT kann mit Hilf von IP Tables bewerkstelligt werden
  6. Innerhalb des Regelwerkes von IP Tables kann ich die Anfragen aus dem LAN die auf Port 80(HTTP) laufen auf den Squid(z.B. 3128) umlenken
    und so Webcache trotz NAT nutzen

gruß
gabe

#5

Moin,

Erst mal danke für eure Antworten!

Pas de problem:smile:

Wenn ich des jetzt mal zusammenfassen darf:
Sehe ich das richtig, dass:

  1. IPChains: veraltet, bis Kernel 2.3 (oder 2.2)

ACK (Kernerl 2.2)
(BTW Kernel 2.0 hat ipfwadm als tool verwendet.)

IPchains wird aber aus kompatiblität auch unter Linux 2.4 unterstützt.

  1. IP Tables: neuer, ab Kernel 2.4 das gleiche wie „Netfilter“
    Uneterschied?!

Netfilter = IPtables

Netfilter = Kernel
iptable = Userspace tool zur administration von der Netfilter

  1. Wenn ich NAT nurtzen kann brauche ich kein „IP Forwarding“
    mehr

Wenn du iptables benutzt dann brauchts du keine extra portforwarding userspace tools mehr.

  1. IP/ Port Forwardig: ein Bestandteil von IP Tables

Wenn man es so nimmt… Ja

  1. NAT kann mit Hilf von IP Tables bewerkstelligt werden

ACK

  1. Innerhalb des Regelwerkes von IP Tables kann ich die
    Anfragen aus dem LAN die auf Port 80(HTTP) laufen auf den
    Squid(z.B. 3128) umlenken
    und so Webcache trotz NAT nutzen

Ja.

Aber warum sollte sich das auch beissen?

Schau dir mal die schönen ASCII Arts in denen gezeigt wird wie die Packete durch netfilter durchwandern.

BSP.

iptables -A PREROUTING -i $MYLANIF -p tcp -m tcp --dport 80 -j DNAT --to-destination $MYSQUIDHOST:3128

und wenn es sich um einen lokalen Redirect handelt

iptables -t nat -A PREROUTING -i $MYLANIF -p tcp -m tcp --dport 80 \
-j REDIRECT --to-port 3128

cu

polarip