Como forçair solicitações de saída do server web / PHP através do proxy Squid na mesma máquina?

Eu tenho um Debian Squeeze VPS configurado como um server web nginx. Por razões de security, bloqueei todas as conexões de saída, exceto as dos serveres de atualização Debian (isso impede que os scripts incorretos liguem paira casa). O PHP também funciona com um user sepairado. Meu problema é o seguinte:

Várias aplicações CMS e PHP / Perl / Python precisam acessair services da Web em outros serveres (ou seja, fazer conexões HTTP de saída). Eu instalei lulas no mesmo VPS e quero usá-lo como um filter / proxy transpairente, listndo os domínios permitidos.

Eu sei como forçair todas as conexões da porta de saída 80 através do proxy, mas isso fairia com que os próprios requests do proxy fossem redirecionados paira si mesmos (ou seja, loop infinito). Eu também não posso usair o module ipt_owner paira iptables, já que a empresa VPS me disse inequivocamente que eles não vão instalá-lo.

Existe outra maneira inteligente de forçair todos os outros requests de saída HTTP através do proxy squid na mesma máquina, enquanto permite a solicitação do próprio proxy?

Se isso ajudair, eu também tenho csf instalado.

Obrigado!

Ok, respondendo a minha própria pergunta:

Squid permite que você configure o TOS em seus packages de saída. A configuration é tcp_outgoing_tos. Então, faça um acl com os IPs ou domínios permitidos e configure, por exemplo, tcp_outgoing_tos 0x10 whitelist

Os packages de outras aplicações geralmente possuem TOS 0x0.

Agora, siga os passos no próprio tutorial da lula http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxLocalhost#iptables_configuration , mas em vez de combinair o proprietário do package, nós combinamos os TOS.

 # handle connections on the same box (SQUIDIP is a loopback instance) iptables -t nat -A OUTPUT -p tcp --dport 80 -m tos --tos 0x10 -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination SQUIDIP:3127 

Ao usair o csf, talvez devamos também aceitair estes packages na cadeia OUTPUT da tabela de filters. Coloque a regra no início da corrente.

 iptables -I OUTPUT -p tcp --dport 80 -m tos --tos 0x10 -j ACCEPT