绕过 Squid 代理的 IPtables 规则

Question 1

因此，透明代理之所以有效，是因为上层协议包含有关连接位置的信息。在 HTTP 中，它是标Host头；在 TLS 中，它是 SNI 标头。

但是，当您在第 3 层（路由器运行的地方）重定向数据包时，接收重写数据包的路由器不知道如何处理它。目的地被列为路由器的 IP，路由器可能没有在目标端口上监听。如果它恰好在监听，它会将数据包传递给正在监听的任何软件，而不是转发它。

因此，您尝试实现的目标可能无法实现，因为路由器不知道如何处理流量。

Answer

因此，透明代理之所以有效，是因为上层协议包含有关连接位置的信息。在 HTTP 中，它是标Host头；在 TLS 中，它是 SNI 标头。

但是，当您在第 3 层（路由器运行的地方）重定向数据包时，接收重写数据包的路由器不知道如何处理它。目的地被列为路由器的 IP，路由器可能没有在目标端口上监听。如果它恰好在监听，它会将数据包传递给正在监听的任何软件，而不是转发它。

因此，您尝试实现的目标可能无法实现，因为路由器不知道如何处理流量。

Question 2

您可能可以使用 iptables 标记数据包，然后为这些标记的数据包设置特定的路由表。下面是其工作原理的一个示例：

# IPv4 address of proxy
PROXYIP4=192.168.1.45

# IPv6 address of proxy
PROXYIP6=fd48:2b50:6a95:a6db::73:7175:6964

# interface facing clients & clients to be squidified
CLIENTIFACE=br-lan
CLIENTIP=smart-tv.lan

# arbitrary mark used to route packets by the firewall. May be anything from 1 to 64.
FWMARK=8

# chain (should be OUTPUT on client and PREROUTING on router)
CHAIN=PREROUTING

# routing table id
TABLEID=252


# permit Squid box out to the Internet
#iptables -t mangle -A $CHAIN -p tcp --dport 80 -s $PROXYIP4 -j ACCEPT
#ip6tables -t mangle -A $CHAIN -p tcp --dport 80 -s $PROXYIP6 -j ACCEPT

# mark everything else on port 80 to be routed to the Squid box
iptables -t mangle -A $CHAIN -p tcp -s $CLIENTIP -m multiport --dports 80,443 -j MARK --set-mark $FWMARK
ip6tables -t mangle -A $CHAIN -p tcp -s $CLIENTIP -m multiport --dports 80,443 -j MARK --set-mark $FWMARK

# NP: Ensure that traffic from inside the network is allowed to loop back inside again.
iptables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT
ip6tables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT

ip rule add fwmark $FWMARK table $TABLEID
ip route add default via $PROXYIP4 table $TABLEID
ip -6 rule add fwmark $FWMARK table $TABLEID
ip -6 route add default via $PROXYIP6 table $TABLEID

如果不进行修改，它不适用于您，因为它实际上起到了相反的作用——将流量重定向到 Squid 代理。（可能我也从一些教程中了解到了这一点。）我的观点是证明您可以为标记的包应用不同的路由表，我认为这也是您需要做的。

Answer

您可能可以使用 iptables 标记数据包，然后为这些标记的数据包设置特定的路由表。下面是其工作原理的一个示例：

# IPv4 address of proxy
PROXYIP4=192.168.1.45

# IPv6 address of proxy
PROXYIP6=fd48:2b50:6a95:a6db::73:7175:6964

# interface facing clients & clients to be squidified
CLIENTIFACE=br-lan
CLIENTIP=smart-tv.lan

# arbitrary mark used to route packets by the firewall. May be anything from 1 to 64.
FWMARK=8

# chain (should be OUTPUT on client and PREROUTING on router)
CHAIN=PREROUTING

# routing table id
TABLEID=252


# permit Squid box out to the Internet
#iptables -t mangle -A $CHAIN -p tcp --dport 80 -s $PROXYIP4 -j ACCEPT
#ip6tables -t mangle -A $CHAIN -p tcp --dport 80 -s $PROXYIP6 -j ACCEPT

# mark everything else on port 80 to be routed to the Squid box
iptables -t mangle -A $CHAIN -p tcp -s $CLIENTIP -m multiport --dports 80,443 -j MARK --set-mark $FWMARK
ip6tables -t mangle -A $CHAIN -p tcp -s $CLIENTIP -m multiport --dports 80,443 -j MARK --set-mark $FWMARK

# NP: Ensure that traffic from inside the network is allowed to loop back inside again.
iptables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT
ip6tables -t filter -A FORWARD -i $CLIENTIFACE -o $CLIENTIFACE -p tcp --dport 80 -j ACCEPT

ip rule add fwmark $FWMARK table $TABLEID
ip route add default via $PROXYIP4 table $TABLEID
ip -6 rule add fwmark $FWMARK table $TABLEID
ip -6 route add default via $PROXYIP6 table $TABLEID

如果不进行修改，它不适用于您，因为它实际上起到了相反的作用——将流量重定向到 Squid 代理。（可能我也从一些教程中了解到了这一点。）我的观点是证明您可以为标记的包应用不同的路由表，我认为这也是您需要做的。

绕过 Squid 代理的 IPtables 规则

答案1

答案2

相关内容