透明代理,一个IPTABLES的问题！

markceo

实验环境：
一个LAN，通过路由的LAN口想联，本机FC4，其他WIN系统
squid.conf如下：
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

在IPTABLES，加了一个规则：
iptables -t nat –A PREROUTING -i eth0 –p tcp –-dport 80 –j REDIRECT --to-port 3128

问题，这样一条规则应该是说，eth0的TCP到80端口的包，转发到本机的3128端口，应该只能代理一个80的请求，但我在客户机上实验不只80，而且FTP，和QQ的端口都可以上网了。是什么原因呢？而且不开启IP转发，也是一样的！

请高手给小弟一个详细的解释，谢谢！

vliqi

是不是要先写一条规则，把全部过滤掉，然后再开放需要的

markceo

我的IPTABLES里面只有这一条规则

cscscheng

加这条
iptables -A FORWARD -j DROP
再试试呢

markceo

这条规则是意思?转发?

cscscheng

阻止所有转发报文

markceo

如果阻止的话，80端口的不也不转发到3128了吗？

不太明白你是什么意思？

cscscheng

晕哦..你那个端口重定向是在转发之前就已经做了啊......端口重定向是最先做的...做完端口重定向以后做路由选择....再判断是转发还是input....自己去看看iptables的报文处理过程吧...我也是菜鸟知道的不是很清楚...

IT浪子

先用drop禁止掉所有的转发
然后再只打开80

markceo

谢谢各位的回复！