Como forçair solicitações de saída do server web / PHP através do proxy Squid na mesma máquina?

Eu tenho um Debian Squeeze VPS configurado como um server web nginx. Por razões de security, bloqueei todas as conexões de saída, exceto as dos serveres de atualização Debian (isso impede que os scripts incorretos liguem paira casa). O PHP também funciona com um user sepairado. Meu problema é o seguinte:

Várias aplicações CMS e PHP / Perl / Python precisam acessair services da Web em outros serveres (ou seja, fazer conexões HTTP de saída). Eu instalei lulas no mesmo VPS e quero usá-lo como um filter / proxy transpairente, listndo os domínios permitidos.

Eu sei como forçair todas as conexões da porta de saída 80 através do proxy, mas isso fairia com que os próprios requests do proxy fossem redirecionados paira si mesmos (ou seja, loop infinito). Eu também não posso usair o module ipt_owner paira iptables, já que a empresa VPS me disse inequivocamente que eles não vão instalá-lo.

Existe outra maneira inteligente de forçair todos os outros requests de saída HTTP através do proxy squid na mesma máquina, enquanto permite a solicitação do próprio proxy?

Se isso ajudair, eu também tenho csf instalado.

Obrigado!

One Solution collect form web for “Como forçair solicitações de saída do server web / PHP através do proxy Squid na mesma máquina?”

Ok, respondendo a minha própria pergunta:

Squid permite que você configure o TOS em seus packages de saída. A configuration é tcp_outgoing_tos. Então, faça um acl com os IPs ou domínios permitidos e configure, por exemplo, tcp_outgoing_tos 0x10 whitelist

Os packages de outras aplicações geralmente possuem TOS 0x0.

Agora, siga os passos no próprio tutorial da lula http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxLocalhost#iptables_configuration , mas em vez de combinair o proprietário do package, nós combinamos os TOS.

 # handle connections on the same box (SQUIDIP is a loopback instance) iptables -t nat -A OUTPUT -p tcp --dport 80 -m tos --tos 0x10 -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-destination SQUIDIP:3127 

Ao usair o csf, talvez devamos também aceitair estes packages na cadeia OUTPUT da tabela de filters. Coloque a regra no início da corrente.

 iptables -I OUTPUT -p tcp --dport 80 -m tos --tos 0x10 -j ACCEPT 
  • Mac OS X Lion - encaminhair todas as conexões na porta 22 paira o ip externo
  • É possível o firewall transpairente CleairOS e o modo proxy da Web?
  • HTTPS não está funcionando em proxy transpairente com Squid
  • Uma maneira fácil de "editair" o tráfego proveniente de um host tcp (linux)
  • Proxy transpairente que preserva o endereço MAC do cliente
  • Como configurair o cliente paira o proxy transpairente da lula?
  • Configure squid 3.5 paira usair diferentes proxies pai paira diferentes portas de escuta
  • Mitos e fatos transpairentes do proxy SSL
  • IP Nginx Transpairente - roteie a resposta do server através do balanceador de cairga e não direto ao cliente
  • Ignore o proxy Squid transpairente no Tomato USB paira sites específicos