LINUX.ORG.RU

4
Всего сообщений: 27

как настроить выходной интерфейс privoxy

Подскажите пожалуйста! Вообщем есть Raspberry Pi на ней стоит privoxy. На ней есть 2 интернет соединения eth0 и wl0. Соответственно она подключена к интернету через роутер и через wi-fi свисток. Стоит прокси сервер privoxy. Прокси работает и интернета, и из локальной сети. Но когда подключаешся через прокси, интернет берётся с роутера(eth0), а нужно настроить чтобы он брался с wi-fi(wl0). Подскажите, пожалуйста, как можно сделать?

 , ,

DeSx86 ()

https фильтрация - privoxy

Привет всем!

Чего хочется:

хочется фильтровать https/SSL трафик, чтобы на основе «регулярки» направлять запросы через разные хосты в зависимости от URL. В теории прокси, используя подставной сертификат, выдает себя за целевой хост и расшифровывает трафик клиента, а потом от его имени запрашивает странички и передает ответ клиенту.

Чего имеем:

имеем софтину «privoxy», которая тут анонсировала что умеет такое:

Supports https inspection which allows to filter https requests.

Чего не получилось:

не взлетает функционал. Может я чего не понял и в конфиге недопилил? Вот конфиги:

Основной конфиг:

confdir /etc/privoxy
logdir /var/log/privoxy
logfile logfile31017
listen-address 192.168.96.12:31017

ca-directory /usr/local/etc/privoxy/CA
ca-cert-file cacert.crt
ca-key-file cakey.pem
ca-password *********
certificate-directory /var/spool/privoxy
cipher-list  ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
trusted-cas-file cacert.pem
actionsfile https-enable.action

forward-socks5 example.ru/balala.*jpg$ 192.168.96.12:11014 .

toggle 0
enable-remote-toggle 0
enable-remote-http-toggle 0
enable-edit-actions 0
enforce-blocks 0
buffer-limit 4096
enable-proxy-authentication-forwarding 0
forwarded-connect-retries 0
accept-intercepted-requests 1
allow-cgi-request-crunching 0
split-large-forms 0
keep-alive-timeout 5
tolerate-pipelining 1
socket-timeout 300

Тут я пытаюсь перенаправлять запросы «example.ru/balala.*jpg$» через сокс-прокси «192.168.96.12». Остальное все уходит через дефолтный шлюз.

Вот файл https-enable.action

{+limit-connect{-}}                     # All ports are OK
{+limit-connect{,}}                     # No HTTPS/SSL traffic is allowed

{+https-inspection \
 +ignore-certificate-errors }
example.ru

В мануале есть замечание, что

Note that the action has to be enabled based on the CONNECT request which doesn’t contain a path. Enabling it based on a pattern with path doesn’t work as the path is only seen by Privoxy if the action is already enabled.

Только я не понял, это надо как-то в конфиге подключить или это просто описание процесса? Может кто пользовался уже и знает в чем проблема?

Алтернативные решения приветствутся. Главное, чтоб софт под Linux работал.

 , , ,

bigov ()

Privoxy исключить домен из обработки

Есть правило:

forward-socks5 .ru localhost:1080 .

Как исключить домен 2ip.ru из обработки ? Смотрел документацию, но ничего не понял.

 

UriyZenkov ()

HTTPS->OpenVPN->Privoxy->TOR (через iptables) не работает

Доброго дня завсегдатаям и знатокам :)

Потратил уже не один день, но просторы интернета оказались бессильны, может кто-то сможет помочь.

Есть OpenVPN сервер, выполняющий функцию шлюза до нескольких порталов с ограничением по IP, пытаюсь добавить туда также маршруты для HTTP и HTTPS через TOR на конкретный перечень адресов через push «route ***» (чтобы не поднимать несколько openvpn клиентов на пользовательских устройствах) - HTTP отрабатывает как надо, а HTTPS встает в пермоментном ожидании

Конфиг OpenVPN сервера

dev tun
proto udp
port 1194
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/key.crt
key /etc/openvpn/pki/private/key.key
dh none
ecdh-curve prime256v1
topology subnet
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 34.117.59.81 255.255.255.255"
keepalive 15 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user openvpn
group openvpn
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3

Интерфейсы:

ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.10.13  netmask 255.255.255.0  broadcast 192.168.10.255
        ether dc:a6:32:6c:6f:8e  txqueuelen 1000  (Ethernet)
        RX packets 249261264  bytes 1918826500 (1.7 GiB)
        RX errors 1  dropped 1  overruns 0  frame 0
        TX packets 531542794  bytes 487561350 (464.9 MiB)
        TX errors 6  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 989383  bytes 189308264 (180.5 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 989383  bytes 189308264 (180.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1432
        inet 10.12.0.11  netmask 255.255.255.255  destination 10.12.0.1
        ppp  txqueuelen 3  (Point-to-Point Protocol)
        RX packets 37  bytes 3484 (3.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 53984  bytes 18886414 (18.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.1  netmask 255.255.255.0  destination 10.8.0.1
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 28386  bytes 1820324 (1.7 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 26537  bytes 17613911 (16.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Вот какие маршруты прописаны на шлюзе:

sudo iptables -t nat -L -n -v --line-numbers

Chain PREROUTING (policy ACCEPT 578K packets, 89M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       11   704 REDIRECT   tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 redir ports 8118
2       10   652 REDIRECT   tcp  --  tun0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 redir ports 8118

Chain INPUT (policy ACCEPT 429K packets, 60M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 865K packets, 70M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    11672  816K MASQUERADE  all  --  *      eth0    10.8.0.0/24          0.0.0.0/0            /* openvpn-nat-rule */
2      196 61544 MASQUERADE  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 875K packets, 73M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      828 49680 REDIRECT   tcp  --  *      *       0.0.0.0/0            195.82.146.120/29    tcp dpt:80 redir ports 8118
2        0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            37.1.204.184         tcp dpt:80 redir ports 8118
3        0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            37.1.202.134         tcp dpt:80 redir ports 8118

При этом следующие запросы проходят нормально (с OpenVPN клиента): curl http://ipecho.net/plain curl –proxy 127.0.0.1:8118 https://ipecho.net/plain

А запрос вида: curl https://ipecho.net/plain подвисает, в конце выдает только

  • TLSv1.2 (OUT), TLS handshake, Client hello (1):
  • Operation timed out

При этом когда на самом шлюзе прописывал маршруты OUTPUT 80->8118 и 443->8118, то проблема была идентичной (при curl с шлюза)

Вопрос: возможно ли с помощью ipconfig завернуть HTTPS трафик в Privoxy?

PS Заранее благодарность всем небезразличным :)

 , ,

rublind ()

Privoxy Listen Adress => Forward Socks5t

Всем привет! У меня такой вопрос, уже много перегуглил норм решения не нашел)

Privoxy поднимает Listen Adress 127.0.0.1:8118 и он делает Forward-socks5t на 127.0.0.1:9150

Я поднял 100 торов каждый на своем порту.

Так же без проблем поднимаются listen-adress. НО как прописать правило для каждого listen-adress чтобы он делал forward на определенный порт.

Пример: listen adress 127.0.0.1:8118 => forward-socks5t 127.0.0.1:9150 listen adress 127.0.0.1:8119 => forward-socks5t 127.0.0.1:9151 listen adress 127.0.0.1:8120 => forward-socks5t 127.0.0.1:9152

И тд.

Как правильно в конфиге это прописать?

Пока я нашел только 1 решение, под каждый тор:порт , создавать инстанс privoxy. Не ужели без этого нельзя обойтись?

 , ,

LILPANIC ()

Изменить «/» на полный путь до сайта в Request-Line GET запроса через privoxy

Собственно сабж. Как изменить «/» на полный путь до сайта в Request-Line GET запроса через privoxy ? Когда было так

GET / HTTP/1.1\r\n
а должно стать так
GET http://example.com HTTP/1.1\r\n
?

В мануалах расписано, как работать с хедерами, а вот что делать с Request-Line и как её переработать я хз. Вроде как она уровнем «повыше» хедеров, если я всё правильно понимаю и privoxy с ней ней не работает.

Или я ошибаюсь ?

 

Blacksmith ()

privoxy socks5-forward авторизация

Добрый день. Не могу нагуглить, можно ли настроить privoxy так, чтобы некоторые сайты загружались через SOCKS5 прокси с авторизацией. В сети много примеров с тором, мне же нужно перенаправлять на свой сервер.

Возможно, я выбрал не самый лучший инструмент. Мне нужно просто открывать некоторые (блокируемые провайдером) сайты через сокс-прокси с авторизацией, которую теперь не умеет firefox.

Помогите разобраться.

 , ,

donaldpyro ()

i2p + privoxy как сделать?

Можете скинуть гайд\конфиг как пропустить весь трафик через i2p?

 ,

xillion ()

Privoxy

Всем здравствуйте, хочу пропустить весь трафик через тор, но не получается. Я установил tor и privoxy, добавил в автозагрузку, добавил в файл-конфиг privoxy: Forward-socks5 / 9050. Forward-socks4 / 9050. Forward-socks4a / 9050. В настройках сети добавил: http прокси: порт 8118 SSL прокси: порт 8118 Socks прокси: порт 9050 Но это не работает, как подключить всю систему к tor(весь трафик)?

 ,

glayzez ()

Проблема с tor privoxy.

Установил tor privoxy,ip сменился, все нормально. Но после выключения, при запуске прокси «вручную» отваливается wi-fi, отключаю tor, wifi появляется. Сменить МАС адрес тоже не могу! Отключаю адаптер командой ifconfig wlan0 down, потом меняю МАС командой macchanger -r wlan0, МАС меняется на случайный, потом включаю адаптер командой ifconfig wlan0 up, но wifi не появляется пока я не перезагружусь или не выключу и потом снова включу wifi, что само-собой приводит к возврату оригинального МАС. Помогите разобраться, заранее спасибо!

 ,

Expropriator ()

А чего это стали гнать на официальный сайт Privoxy?

У меня на сайте есть страничка, на которой есть ссылка на официальный сайт Privoxy - http://www.privoxy.org .

Вдруг от каких-то перцев с ellen@comparitech-mail.com приходит письмо:

I noticed your website sends users to Privoxy here on this page - https://webhamster.ru/mytetrashare/index/mtb0/1464696192lcg0h32ac7. I wanted to warn you that they're sending their visitors to a couple of shady sites, like a binary options review website which promotes known investment scams (take a look at the bottom of each page).

I'm sure you don't want your visitors getting scammed - if you're looking for an alternative, may I suggest our list of free VPNs as an alternative?

http://ctech.link/free-vpn.

In case you’re unaware, a VPN is another type of proxy that achieves the same end result as Privoxy. VPNs sacrifice a small amount of speed compared to other types of proxies but are more secure, so I think your visitors will find this valuable nevertheless.

Perhaps you'd consider swapping out the Privoxy link and send people to us instead?

If so - please let me know if I can assist.

If not - thanks for your time & consideration.



Перевод робота:

Я заметил, что ваш сайт отправляет пользователей в Privoxy здесь, на этой странице - https://webhamster.ru/mytetrashare/index/mtb0/1464696192lcg0h32ac7. Я хотел предупредить вас, что они отправляют своих посетителей на несколько теневых сайтов, например, на веб-сайт просмотра бинарных опций, который продвигает известные инвестиционные мошенничества (взгляните на нижнюю часть каждой страницы).

Я уверен, что вы не хотите, чтобы ваши посетители обманывались - если вы ищете альтернативу, могу ли я предложить наш список бесплатных VPN в качестве альтернативы?

http://ctech.link/free-vpn.

Если вы не знаете, VPN - это другой тип прокси, который достигает того же конечного результата, что и Privoxy. VPNs жертвуют небольшим количеством скорости по сравнению с другими типами прокси, но более безопасны, поэтому я думаю, что ваши посетители все равно найдут это ценное.

Возможно, вы подумаете о замене ссылки Privoxy и отправьте нам людей?

Если да - сообщите мне, помогаю ли я.

Если нет - спасибо за ваше время и внимание.



Я чет не понял, какое кому дело до страницы Privoxy, и чем этот Privoxy кому не угодил. Ну болтается у них там ссылка на 7binaryoptions.com, может они так денежку на оплату хостинга имеют, и что? Кому какое дело до этого?

 ,

Xintrea ()

Фильтры и действия для privoxy.

Введение.

Многие сегодня пользуются разнообразными расширениями к бровзерам которые позволяют скрывать, используемые языки, временную зону, ОС и бровзер, размеры экрана и глубину цвета, IP адрес, режут JS скрипты, и прочие...

Privoxy!

Для всего этого разработаны фильтры и действия для прокси сервера Privoxy. К слову для https трафика необходимо сделать MitM чтобы работали фильтры Privoxy.

Privoxy разрешает НА ЛЕТУ сканировать html/xml страницы и очень гибко ИЗМЕНЯТЬ их содержимое! Резать можно не только рекламу, но и «счётчики», некоторые JS скрипты, вирусы и прочие.. Расширение no-script блокирует все скрипты на странице, а бывает некоторые из них необходимы для работы сайта, в тоже время другие скрипты на ЭТОЙ ЖЕ СТРАНИЦЕ есть вирусами. Только Privoxy может на лету вырезать зловредные скрипты!

Давайте сообща писать и обмениваться фильтрами и действиями для Privoxy!!!

Пользовательские фильтры и действия размещаются в файлах: /etc/privoxy/user.filter, /etc/privoxy/user.action соответственно.

 , , , ,

multihead ()

Настройка Squid для обхода Lostfilm через Tor

Вообщем загорелся я сделать такую фигню, чтобы запросы к lostfilm.tv шли не просто через прокси, а перенаправлялись в tor. Для этого я собственно поставил на убунте tor, privoxy и squid. Всё это настроил и в общем случае и на других сайтах(rutracker к примеру(блокировку точно обходит)) это всё работает, но Lostfilm почему-то продолжает блокировать контент. Если заставить браузер непосредственно использовать privoxy с переадресацией на tor, то всё спокойно обходится, а вот в режиме дополнительного кеша для squid почему-то отваливается данный сайт. Прошу помощи. Настройки Squid

visible_hostname squid
client_dst_passthru off

request_header_access X-Forwarded-For deny all

http_port 3128
http_port 3129 accel vhost allow-direct

cache_dir ufs /var/spool/squid3 100 16 256

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320



acl localnet src 192.168.1.0/24
acl ports port 80
acl tor dstdomain .bogi.ru .gstatic.com .lostfilm.tv .myip.ru .onion .rutracker.org .samair.ru .yadro.ru .rambler.ru .tns-counter.ru
acl i2p dstdomain .i2p
acl auto_ads dstdom_regex "/etc/squid3/ad_block.txt"
acl my_ads dstdomain .alltheladyz.xyz .bongacams.com .bongacash.com .casinoaltair.com .gbaseby.ru .onedmp.com

cache_peer 192.168.1.190 parent 9100 0 proxy-only no-query
cache_peer_access 192.168.1.190 allow tor
cache_peer_access 192.168.1.190 deny all

cache_peer 127.0.0.1 parent 9080 0 proxy-only no-query
cache_peer_access 127.0.0.1 allow i2p
cache_peer_access 127.0.0.1 deny all

http_access deny !ports
http_access deny auto_ads
http_access deny my_ads
http_access allow localnet
P.S. Squid работает в режиме прозрачного прокси

 , , ,

GooG2e ()

tor/privoxy и браузер.

Салют народ, использую калину. Вопрос следующий: service tor start service privoxy start настройка прокси, настройка конфига

прокси работает, но только на браузере по умолчанию он же icewall, на netsurf он не работает. Как включать/выключать конкретный браузер под воздействие прокси. Спасибо.

 , ,

russianofficer ()

Сделано: автоматизация обхода блокировок Роскомнадзора

Все тривиально.

0 - автоматизация сбора списка гуглится первым же запросом, не интересно. Кроме того, лично я предпочел хранить только действительно нужные мне сайты (например, буквально на днях мне не давали почитать статью про самоубийства).

1 - необходим exit point в Амсетраме, Париже, Франкфурте, Осло или другом хорошем месте. Афганистан не подойдет. Советую использовать виртуалки ovh, leaseweb или hetzner, они стоят менее $10 в месяц. Лично мне не нравятся идеи, когда я плачу $1 без нагрузки, а если придет бот помайнить биткойны, то счет будет заоблачным, по этому не Амазон.

2 - на exit point за границей необходимо настроить squid proxy. Единственный тонкий момент: надо прописать доступ только с IP из России, иначе кто-нибудь попользуется.

3 - в России надо настроить цепочку из squid'а и privoxy. Squid по умолчанию/желанию/надобнастям, только порт нестандартный, у privoxy нужны 2 правила в user.action:

#это правило форвардит все на локальный сквид
{ +change-x-forwarded-for{block}  +forward-override{forward localhost:3129} }
.*
#это правило форвардит по списку в сквид не под цензурой (запрещена в Российской Федерации)
{ +change-x-forwarded-for{block}  +forward-override{forward myexitpoint.com:3128} }
ru.pornhub.com
navalny.com
other_blocked_useful_site.net

Так как резолвинг заблокированного работает там, куда ручонки Антона Аносова не дотянутся, то порча DNS тоже не работает. Локальный сквид не является обязательным, но у меня на нем глобальная баннеронезалка.

 , , ,

Shaman007 ()

Как узнать, что скорость загрузки с определённого ресурса меньше или больше 16кб/сек

Собственно сабж. Есть скрипт, который подключает прокси, но нужно, что бы оно подключалось только если скорость загрузки с этого сайта меньше 16кб/сек. Думал сначала использовать pac файл для настройки прокси, но там слишком много ограничений и из-за этого совершенно не подходит. В какую сторону капать? Просто проверка скорости через какой-нибудь speedtest-cli не подходит, так как скорость режется к определённым сайтам, списка которого у меня нет, а если просто поставить на timeout и curl то там 16кб/сек с лихвой хватает на полную загрузку. Прокси - Privoxy с тором

p.s. Один из сайтов - тытруба, дожил до того, что писал костыли для проверки скорости загрузки через youtube-dl и таймауты проверял, но это слишком кривожопо и стыдно

 , ,

vrtlm ()

Не работают правила privoxy

Решил поставить privoxy для резки рекламы на всех устройствах в сети. Нашел скрипты конвертирования правил adblock. Но сразу же столкнулся с проблемой не рабочих фильтров. После ковыряния выяснилось, что не работают правила подобного вида(пример) somedomain\.com/bla/bla\.html Но если убрать первый экранирующий слеш, то начинает работать somedomain.com/bla/bla\.html Именно первый слеш. WTF?

Система Ubuntu 14.04. Privoxy version 3.0.21. Конфиг стандартный.

 

as_lan ()

Завернуть трафик устройств за NAT через Pivoxy. Как?

Сейчас такие правила:

# Generated by iptables-save v1.4.21 on Sun Mar 22 21:57:58 2015
*mangle
:PREROUTING ACCEPT [8908:879349]
:INPUT ACCEPT [6297:589682]
:FORWARD ACCEPT [1892:228039]
:OUTPUT ACCEPT [9344:65145122]
:POSTROUTING ACCEPT [11254:65375057]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
COMMIT
# Completed on Sun Mar 22 21:57:58 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 21:57:58 2015
*filter
:INPUT DROP [636:275682]
:FORWARD ACCEPT [1892:228039]
:OUTPUT ACCEPT [9344:65145122]
:BAD_PACKETS - [0:0]
:ICMP_PACKETS - [0:0]
:SAFETY_TRACE - [0:0]
:TCP_PACKETS - [0:0]
:UDP_PACKETS - [0:0]
-A INPUT -j SAFETY_TRACE 
-A INPUT -j BAD_PACKETS 
-A INPUT -p tcp -j TCP_PACKETS 
-A INPUT -p udp -j UDP_PACKETS 
-A INPUT -p icmp -j ICMP_PACKETS 
-A BAD_PACKETS -m conntrack --ctstate INVALID -j DROP 
-A BAD_PACKETS -f -j DROP 
-A BAD_PACKETS -s 127.0.0.0/8 ! -i lo -j DROP 
-A BAD_PACKETS -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "iptabler:ip spoofing: " 
-A BAD_PACKETS -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate INVALID,NEW -j REJECT --reject-with tcp-reset 
-A BAD_PACKETS -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -m limit --limit 3/min -j LOG --log-prefix "iptabler:new not syn: " 
-A BAD_PACKETS -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j DROP 
-A BAD_PACKETS -p udp -m udp --dport 113 -m limit --limit 3/min -j LOG --log-prefix "iptabler:udp storm: " 
-A BAD_PACKETS -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 4 -j ACCEPT 
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 0 -j ACCEPT 
-A ICMP_PACKETS -p icmp -m icmp --icmp-type 12 -j ACCEPT 
-A SAFETY_TRACE -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A SAFETY_TRACE -i lo -j ACCEPT 
-A SAFETY_TRACE -s 192.168.13.0/24 -i eth0 -j ACCEPT 
-A TCP_PACKETS -p tcp -m tcp --dport xxxx -j ACCEPT 
-A TCP_PACKETS -p tcp -m tcp --dport xxxx -j ACCEPT 
-A UDP_PACKETS -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT 
-A UDP_PACKETS -p udp -m udp --dport 123 -j ACCEPT 
COMMIT
# Completed on Sun Mar 22 21:57:58 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 21:57:58 2015
*nat
:PREROUTING ACCEPT [76:12456]
:INPUT ACCEPT [1:60]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A OUTPUT -p tcp -m owner --uid-owner 119 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8118 
-A POSTROUTING -s 192.168.13.0/24 -o ppp0 -j SNAT --to-source 77.66.xxx.xx 
COMMIT
# Completed on Sun Mar 22 21:57:58 2015

http трафик идет через privoxy который болтается на стандартном порту 8118.

А трафик клиентов из подсети 192.168.13.0 нет. Как и их туда завернуть?

РЕШЕНИЕ:

-A PREROUTING -s 192.168.13.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.13.1:8118 
-A OUTPUT -p tcp -m owner --uid-owner 119 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.13.1:8118
Здесь 192.168.13.1 - ip шлюза во внутренней сети. Так же необходимо в настройках privoxi указать его же в listen-address

 , , ,

Suntechnic ()

Privoxy: Maximum number of open connections reached.

Пытаюсь настроить сабж. Неизменно получаю на некоторых сайтах (например vk): Maximum number of open connections reached.

Если в конфиге сделать max-client-connections больше 256, скажем 512, то на этих же сайтах имею:

500 Internal Privoxy Error

Privoxy encountered an error while processing your request:

Could not load template file no-such-domain or one of its included components.

Please contact your proxy administrator.

If you are the proxy administrator, please put the required file(s)in the (confdir)/templates directory. The location of the (confdir) directory is specified in the main Privoxy config file. (It's typically the Privoxy install directory, or /etc/privoxy/).
Конфиг дефолтный, только accept-intercepted-requests в 1 установил. Без этого вообще подавлюящее большинство сайтов в режиме прозрачного прокси не пашет.

Ну и да - это в режиме прозрачного прокси. Просто если настроить в браузере - все на ура работает.

Что я не так делаю?

UPD:
В логе при этом такое:

2015-03-21 02:38:23.437 7ffad5722700 Error: read from: vk.com failed: Connection reset by peer
2015-03-21 02:38:23.437 7ffad5722700 Error: Already forwarded the original headers. Unable to tell the client about the problem.

 ,

Suntechnic ()

Нужен ли домашний прокси?

Как только выйдет релизная версия Barrier Breaker, сразу её поставлю. Сейчас использую последнюю сборку Chaos Calmer, многих пакетов в репах нет, многие не устанавливаюся, т.к. их зависимостей в репах нет.
Есть ли смысл в домашнем прокси?
Кэширование на флешку ускорит мой слабый интернет или только создаст дополнительные проблемы?
Какую прокси лучше выбрать? Privoxy, Polipo или Squid? Или все говно? Или домашний роутер такое не потянет?

 , , , ,

CYB3R ()