Нужен локальный прокси чтоб запросы на 10.x.x.x и mycorp.com шли через tun0 (linux, openconnect), а остальные по дефолтному маршруту.
Казалось бы, просто, но всё что попалось (squid, tinyproxy,...) хотят IP этого tun0, который меняется при каждом переподсоединении.
Есть такие умные прокси, которым хватит названия интерфейса?

tcp_outgoing_mark и policy based routing или iptables.

Allows you to apply a Netfilter mark value to outgoing packets
on the server side, based on an ACL.

Здравствуйте, m2user, Вы писали:

M>tcp_outgoing_mark и policy based routing или iptables.

Это не справится с доменными именами (которые ресолвятся не в 10.x.x.x, но сервера проверяют откуда к ним пришли).

https://github.com/tinyproxy/tinyproxy/pull/494/files

Здравствуйте, reversecode, Вы писали:

R>https://github.com/tinyproxy/tinyproxy/pull/494/files

это добавляет интерфейс для listen, а надо для bind. эх, пичалька.

https://github.com/JsBergbau/BindToInterface

Здравствуйте, reversecode, Вы писали:

R>https://github.com/JsBergbau/BindToInterface

Этим и пользуюсь, но это не прокси, на который можно направить весь программаж в системе, а потом прокси сама разберётся что куда.

так а чем этот хук не тот не понимаю
какая разница залезть впрокси и тоже самое дописать вместо коннекта
или запускать этот кух перед любым прокси и будет тоже самое

Здравствуйте, reversecode, Вы писали:

R>так а чем этот хук не тот не понимаю
R>какая разница залезть впрокси и тоже самое дописать вместо коннекта

Можно, но лень

R>или запускать этот кух перед любым прокси и будет тоже самое

Ну прям сейчас я запускаю хром с хуком (всё равно браузер лажовый, только и годится для MS сервисов), а файрвокс без него. Как то привык и если уж переделывать, то хотелось бы на что то из dnf, без допиливаний. Просто показалось что уже должно быть доступно из коробки, а оказывается шиш.

причем здесь хром с хуком
этот хук нужен перед тини прокси

M>>tcp_outgoing_mark и policy based routing или iptables.

aik>Это не справится с доменными именами (которые ресолвятся не в 10.x.x.x, но сервера проверяют откуда к ним пришли).

Не понимаю. Если Вы про то, что tcp_outgoing_mark поддерживает только fast acl, то dstdomain к ним относится, а dst (который slow acl) не нужен, т.к. трафик на 10.x.x.x и так пойдет через tun0.
Кроме того, можно использовать и tcp_outgoing_address привязав его к статичному alias`у, повешенному на локальный сетевой интерфейс и настроив source-based routing и NAT через iptables.

Здравствуйте, m2user, Вы писали:

M>Кроме того, можно использовать и tcp_outgoing_address привязав его к статичному alias`у, повешенному на локальный сетевой интерфейс и настроив source-based routing и NAT через iptables.

Можно и так, но я спрашивал не как вообще это сделать, а "нет ли такого прокси, в котором всё вот это из коробки". Это всё ж легко делается без iptables и алиасов, просто, видимо, никому не нужно.