Untuk mengkonfigurasikan iptables supaya melakukan redirect
tujuan port 80 ke port server squid yang berbeda IP (server terpisah dengan router), bisa mengacu kepada NAT HOWTO berikut:

Linux 2.4 NAT HOWTO: Destination NAT Onto the Same Network

contohnya, pertama konfigurasikan dulu supaya squid menjadi transparent proxy, kemudian tambahkan rule berikut:


iptables -t nat -A PREROUTING -i vlan0 -p tcp --dport 80 -s ! 192.168.1.253 -j DNAT --to 192.168.1.253:3128
iptables -t nat -A POSTROUTING -o vlan0 -p tcp --dport 3128 -d 192.168.1.253 -s 192.168.1.0/24 -j SNAT --to 192.168.1.254


topologi jaringannya sbb:
subnet 192.168.1.0/24
ip router/firewall 192.168.1.254 (semua client default gateway mengarah kesini)
ip squid/proxy 192.168.1.253 (squid dikonfigurasikan menerima koneksi transparent)

rule iptables diatas akan membelokkan setiap request HTTP dari komputer klien di subnet 192.168.1.0/24 ke port squid (3128) di ip 192.168.1.253, untuk kemudian sebelum mencapai ke server squid, packet akan di NAT lagi menjadi ip 192.168.1.254 (ip router/firewall).

rule kedua mutlak untuk ditambahkan agar paket reply dari server squid dapat kembali ke klien.

Update: untuk kasus diatas, karena server squid berada didalam 1 subnet dengan yang lainnya, maka perlu secara spesifik tidak mengikutkan ip squid untuk menghindari terjadinya looping.
Apabila ip server squid berada dalam subnet yang berbeda, dapat menggunakan:


iptables -t nat -A PREROUTING -i vlan0 -p tcp --dport 80 -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j DNAT --to 192.168.0.253:3128
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 3128 -d 192.168.0.253 -j SNAT --to 192.168.1.254


posted by slashdotfx at 12:38 pm & filed under proxy |