December 9th, 2015

  • poige

Intercepting Proxy внутри VE видит свои же пакеты, при использовании DNAT

Не пробовал ещё запускать Squid на HN0, но, есть такое ощущение, что там будет работать нормально.

В случае, если Squid запущен внутри VE, то он мало того, что получает запросы, которые были завёрнуты ему через DNAT, но и свои же тоже (когда он сам подрывается выполнять запрос), причём, конфигурация netfilter это исключает (то есть, это не проблема набора правил, а, скорее всего, особенности реализации сетевого стека).

У кого какие мысли?

Я думаю попробовать ещё TPROXY в netfilter's mangle, но это потребует пересборки Squid, поскольку, по-умолчанию, этот модуль в нём отсутствует (Ubuntu).

Уже пробовал поднять OpenVPN между HN0 и VE со Squid'ом, чтобы закидывать пакеты в VE через tun-интерфейс. Результат тот же.