Squid im Intercept-Modus via TPROXY mit nftables

Aus Xinux Wiki

Version vom 24. April 2025, 04:25 Uhr von Thomas.will (Diskussion | Beiträge) (→‎nftables-Regeln auf dem Proxyserver)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Squid im Intercept-Modus via TPROXY auf separatem Proxyserver

Voraussetzungen

Die Firewall hat die interne IP 172.17.113.1
Der Squid-Proxy läuft auf einer separaten Maschine mit der IP 10.88.113.51
Der Proxy soll HTTP (Port 80) und HTTPS (Port 443) Verkehr transparent abfangen.
Die Original-Ziel-IP soll erhalten bleiben – daher wird auf der Firewall DNAT gemacht, und **TPROXY erfolgt auf dem Proxyserver**.
Die Firewall nutzt nftables für DNAT.
Der Proxyserver setzt nftables und Policy Routing für TPROXY ein.

nftables-Regeln auf der Firewall

NAT-Tabelle und Weiterleitung an den Proxy

nft add table ip nat
nft add chain ip nat prerouting '{ type nat hook prerouting priority dstnat; policy accept; }'
nft add rule ip nat prerouting tcp dport 80 dnat to 10.88.113.51:3029
nft add rule ip nat prerouting tcp dport 443 dnat to 10.88.113.51:3030

nftables-Regeln auf dem Proxyserver

Tabelle und Kette erstellen (Name nicht "tproxy", da reserviert)

nft add table inet myproxy
nft add chain inet myproxy prerouting '{ type filter hook prerouting priority mangle; policy accept; }'

TPROXY-Regeln für HTTP und HTTPS

nft add rule inet myproxy prerouting ip daddr 10.88.113.51 tcp dport 3029 tproxy ip to :3029 mark set 1
nft add rule inet myproxy prerouting ip daddr 10.88.113.51 tcp dport 3030 tproxy ip to :3030 mark set 1

Policy Routing auf dem Proxyserver

ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

Notwendige Kernel-Module auf dem Proxyserver

modprobe nf_conntrack
modprobe nf_tproxy_ipv4
modprobe nf_tproxy_ipv6
modprobe xt_TPROXY

Squid-Setup auf dem Proxyserver

Squid muss mit TPROXY-Support kompiliert sein (mit --enable-linux-netfilter)

Squid-Konfiguration anpassen:

http_port 3029 tproxy
https_port 3030 tproxy ssl-bump cert=/etc/squid/certs/proxy.pem key=/etc/squid/certs/proxy.key

Optional: SSL-Bump konfigurieren:

ssl_bump peek all
ssl_bump bump all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

Squid-Rechte anpassen

setcap cap_net_admin=eip /usr/sbin/squid

Test & Diagnose

Firewall

nft list chain ip nat prerouting

Proxyserver

nft list chain inet myproxy prerouting
ip rule show
ip route show table 100
tail -f /var/log/squid/access.log
tail -f /var/log/squid/cache.log

Hinweise

Diese Konfiguration funktioniert nur, wenn der Proxyserver die Zieladresse 10.88.113.51 lokal empfangen kann.
Clients müssen ggf. die Root-CA akzeptieren, wenn SSL-Bump aktiv ist.
Für produktive Umgebungen ist WPAD mit explizitem Proxy oft die bessere Lösung.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid_im_Intercept-Modus_via_TPROXY_mit_nftables&oldid=62172“