什么是透明代理
客戶端向真實服務器發起連接,代理機冒充服務器與客戶端建立連接,并以客戶端ip與真實服務器建立連接進行代理轉發。因此對于客戶端與服務器來說,代理機都是透明的。
如何建立透明代理
本地socket捕獲數據包
nat方式
iptables -t nat -N MY_TCP #在nat表上新建名為MY_TCP自定義鏈
iptables -t nat -p tcp -A MY_TCP -j REDIRECT --to-ports 8081 #將進入MY_TCP鏈的數據包端口重定向到8081上
iptables -t nat -N MYNAT #在nat表上新建名為MYNAT自定義鏈
iptables -t nat -A PREROUTING -p tcp -j MYNAT #將MYNAT加入到PREROUTING鏈后
iptables -t nat -A MYNAT -p tcp -m multiport --dports 80 -j MY_TCP #在端口為80時執行MY_TCP鏈
nat方式在代理機上使用netstat查看,看到的目標地址將是本機socket偵聽的地址。而下面的tproxy不會改變服務端地址。
tproxy方式
iptables -t mangle -N DIVERT #在nat表上新建名為DIVERT自定義鏈
iptables -t mangle -A PREROUTING -p tcp -m socket --transparent -j DIVERT #已建立的socket且被tproxy標記過的數據包執行DIVERT
iptables -t mangle -A DIVERT -j MARK --set-xmark 0x10000000/0xf0000000 #進入DIVERT設置標記
iptables -t mangle -A DIVERT -j ACCEPT
iptables -t mangle -N MY_TCP
iptables -t mangle -p tcp -A MY_TCP -j TPROXY --on-port 8081 --tproxy-mark 0x10000000/0xf0000000
#MY_TCP執行TPROXY轉發為8081端口并進行標記
iptables -t mangle -A MY_TCP -j ACCEPT
iptables -t mangle -N MYMANGLE
iptables -t mangle -A PREROUTING -p tcp -j MYMANGLE #MYMANGLE鏈加入到PREROUTING
iptables -t mangle -A MYMANGLE -p tcp -m multiport --dports 80 -j MY_TCP #80端口的包執行MY_TCP
ip rule add fwmark 0x10000000/0xf0000000 table 200 pref 200 #對標記過的數據包執行序號為200的規則
ip route add local default dev lo table 200 #200規則:數據包發送到本地回環
更推薦tproxy做透明代理
注:tproxy對于內核以及iptables版本有一定要求,需要先查閱是否支持
為socket設置IP_TRANSPARENT選項
在設置完iptables規則之后,還須為socket設置IP_TRANSPARENT選項。
設置之后可以bind一個不屬于本機的IP地址,作為客戶端,它可以使用一個不屬于本機地址的IP地址作為源IP發起連接,作為服務端,它可以偵聽在一個不屬于本機的IP地址上,而這正是透明代理所必須的。面對真實的客戶端,透明代理明知道目標地址不是自己,卻還是要接受連接,對于真實的服務器,透明代理明顯不是真實的客戶端,卻還要使用真實客戶端的地址發起連接。
setsockopt(fd,SOL_IP, TRANSPARENT,&opt,sizeof(opt));
setsockopt之后,作為代理服務器bind真實服務器addr,作為代理客戶端bind真實客戶端addr。
?
)
)
)
)
)
)