투명한 SOCKS 프록시는 어떤 대상 IP를 사용해야하는지 어떻게 알 수 있습니까?


18

나가는 TCP 연결에 대해 투명한 프록시를 지원하는 Torredsocks 라는 두 가지 SOCKS 프록시가 있습니다. HTTP 프록시와는 달리,이 SOCKS 프록시 투명 프록시 할 수 있는 메타 데이터 또는 헤더없이 암호화 프로토콜과 프로토콜을 포함하여 나가는 TCP 연결.

이 두 프록시는 나가는 TCP 트래픽을 프록시의 로컬 포트로 리디렉션하기 위해 NAT를 사용해야합니다. 예를 들어 TransPort 9040로컬 컴퓨터 에서 Tor를 사용하는 경우 다음과 같이 iptables 규칙을 추가해야합니다.

iptables -t nat -A OUTPUT -p tcp -j REDIRECT --to-port 9040

내 지식으로는 이것이 원래 대상 IP와 포트를 127.0.0.1and로 대체하여 9040이것이 SSH와 같은 암호화 된 스트림이거나 헤더가없는 것 ( whois 등 )이라면 프록시는 원래 대상 IP와 포트를 어떻게 알 수 있습니까?

답변:


28

방법은 다음과 같습니다 .

static int getdestaddr_iptables(int fd, const struct sockaddr_in *client, const struct sockaddr_in *bindaddr, struct sockaddr_in *destaddr)
{
        socklen_t socklen = sizeof(*destaddr);
        int error;

        error = getsockopt(fd, SOL_IP, SO_ORIGINAL_DST, destaddr, &socklen);
        if (error) {
                log_errno(LOG_WARNING, "getsockopt");
                return -1;
        }
        return 0;
}

iptables는 원래 대상 주소를 덮어 쓰지만 이전 주소를 기억합니다. 그런 다음 응용 프로그램 코드는 특수 소켓 옵션을 요청하여이를 가져올 수 있습니다 SO_ORIGINAL_DST.


1
멋진 답변! 따라서 NAT를 처리하는 동일한 컴퓨터에서 프록시 소프트웨어를 실행해야합니다.
hololeap

4
절대적으로 @hololeap. 프록시 서버가 패킷 리디렉터와 다른 시스템에서 실행되는 경우 Cisco WCCP 와 같은 프로토콜이 필요합니다 .
Celada
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.