(轉)iptables:tproxy做透明代理
https://blog.csdn.net/u011431128/article/details/77481678
什麼是透明代理
客戶端向真實伺服器發起連線,代理機冒充伺服器與客戶端建立連線,並以客戶端ip與真實伺服器建立連線進行代理轉發。因此對於客戶端與伺服器來說,代理機都是透明的。
如何建立透明代理
本地socket捕獲資料包
nat方式
iptables -t nat -N MY_TCP #在nat表上新建名為MY_TCP自定義鏈
iptables -t nat -p tcp -A MY_TCP -j REDIRECT --to-ports 8081 #將進入MY_TCP鏈的資料包埠重定向到8081上
iptables -t nat -N MYNAT #在nat表上新建名為MYNAT自定義鏈
iptables -t nat -A PREROUTING -p tcp -j MYNAT #將MYNAT加入到PREROUTING鏈後
iptables -t nat -A MYNAT -p tcp -m multiport --dports 80 -j MY_TCP #在埠為80時執行MY_TCP鏈
nat方式在代理機上使用netstat檢視,看到的目標地址將是本機socket偵聽的地址。而下面的tproxy不會改變服務端地址。
tproxy方式
iptables -t mangle -N DIVERT #在nat表上新建名為DIVERT自定義鏈
iptables -t mangle -A PREROUTING -p tcp -m socket --transparent -j DIVERT #已建立的socket且被tproxy標記過的資料包執行DIVERT
iptables -t mangle -A DIVERT -j MARK --set-xmark 0x10000000/0xf0000000 #進入DIVERT設定標記
iptables -t mangle -A DIVERT -j ACCEPT
iptables -t mangle -N MY_TCP
iptables -t mangle -p tcp -A MY_TCP -j TPROXY --on-port 8081 --tproxy-mark 0x10000000/0xf0000000
#MY_TCP執行TPROXY轉發為8081埠並進行標記
iptables -t mangle -A MY_TCP -j ACCEPT
iptables -t mangle -N MYMANGLE
iptables -t mangle -A PREROUTING -p tcp -j MYMANGLE #MYMANGLE鏈加入到PREROUTING
iptables -t mangle -A MYMANGLE -p tcp -m multiport --dports 80 -j MY_TCP #80埠的包執行MY_TCP
ip rule add fwmark 0x10000000/0xf0000000 table 200 pref 200 #對標記過的資料包執行序號為200的規則
ip route add local default dev lo table 200 #200規則:資料包傳送到本地迴環
更推薦tproxy做透明代理
注:tproxy對於核心以及iptables版本有一定要求,需要先查閱是否支援
為socket設定IP_TRANSPARENT選項
在設定完iptables規則之後,還須為socket設定IP_TRANSPARENT選項。
設定之後可以bind一個不屬於本機的IP地址,作為客戶端,它可以使用一個不屬於本機地址的IP地址作為源IP發起連線,作為服務端,它可以偵聽在一個不屬於本機的IP地址上,而這正是透明代理所必須的。面對真實的客戶端,透明代理明知道目標地址不是自己,卻還是要接受連線,對於真實的伺服器,透明代理明顯不是真實的客戶端,卻還要使用真實客戶端的地址發起連線。
setsockopt(fd,SOL_IP, TRANSPARENT,&opt,sizeof(opt));
setsockopt之後,作為代理伺服器bind真實伺服器addr,作為代理客戶端bind真實客戶端addr。