iptables - jak przekierować ruch na serwer proxy 192.168.14.10:8080?

Witam
Mam pytanie a raczej prośbę o pomoc w sprawie przekierowania ruchu w sieci na serwer proxy

1) sieć LAN ~60 hostów
2) postawiony serwer proxy o adresie: 192.168.14.10

chciałbym aby cały ruch wewnątrz sieci był przekierowany właśnie na serwer proxy 192.168.14.10:8080, chodzi o to aby widzieć/śledzić aktywność użytkowników w sieci


myślałem o takim wpisie, który by to załatwił:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.14.10:8080

iptables -t nat -I PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080

tylko w jakiej kolejności dodać takową komendę regułę, czy trzeba jeszcze coś dodatkowo określić jak interfejs 'eth0'

mam rozumieć że należy to klepnąć w powłoce czy w jakimś pliku konfiguracyjnym...iptables czy firewall...???

Trochę mało informacji.
Proxy jest wewnątrz sieci ? Jeśli tak to musisz go wykluczyć z tej reguły, bo zrobisz pętle przekierowań.

Reguła taka jak napisałeś wystarczy, jeśli obecnie ten host działa jako router. Dopisać ją musisz w rc.local albo /etc/iptables - zależy jaki system używasz

proxy jest wewnątrz sieci, OS to debian

Ja bym proponował tak, zakładająć że eth0 to interfejs wewnętrzny.
Coś mi tu nie pasuje, proxy ma adres 192.168.14.10 i jest wewnątrz sieci 192.168.0.0/24 ?
Popraw w nim adresy lub maski.
Trzeba tłumaczyć te reguły ?



W Debianie to sprawdz plik /etc/iptables

sorki proxy ma adres 192.168.14.1 i ten serwer jest wewnątrz sieci eth0 jest interfejsem wew

p.s. co masz na myśli że trzeba tłumaczyć te reguły...?

... a jak to potem zweryfikować czy wszystko działa w porządku tzn. że widać na proxy co dany użytkownik przeglądał itp... czy po stronie końcowego użytkownika trzeba coś konfigurować jak proxy w przeglądarce...?

czyli jak w tym co podałeś zmienię na odpowiedną adresację to powinno to działać tzn... kierować na proxy o adresie 192.168.14.1:8080
dzięki za pomoc

Pytałem, czy rozumiesz o co chodzi w moich regułach.
Pewnie w logach serwera squid znajdziesz odpowiednie wpisy.

myślę że tak to należy odczytać

iptables -t nat -A PREROUTING -i eth0 -s ! 192.168.14.10/32 -p tcp --dport 80 -j DNAT --to 192.168.14.10:8080

-t nat (tablica nat)
-A PREROUTING (pakiety przychodzące)
-i eth0 (interfejs sieciowy)
-s ! 192.168.14.10 (ipek źródłowy, pakiety nie przychodzące z adresu 192.168.14.10)
-p TCP (protokół)
--dport 80 (destination port - port przeznaczenia)
-j DNAT (-j ...? DNAT - przeznaczenie dla NAT)
--to 192.168.14.10:8080 (ipek o porcie 8080)

=> a to -j to osobno czy razem z DNAT...?

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -d 192.168.14.10/32 -j SNAT --to [adres ip

-j SNAT --to [adres ip (należy dopisać ipek źródłowego ip...?)


p.s. a jak sprawdzić poprawność działania tej usługi:) czy wszystko przelatuje przez to właśnie proxy...?