transparent ssl proxy: возможно?
somebody 17 сентября, 2014 - 16:06
Доброго времени, вопрос чисто из любопытства: удавалось кому-нибудь наколдовать сабж? Или это только я такой рак, что не сумел)) ? На squid или на чем-нибудь другом... Только я имею ввиду настоящий, который на самом деле transparent, без шаманства, обмана несчастных браузеров и кучи оговорок?
»
- Для комментирования войдите или зарегистрируйтесь
из
из http://www.pps.univ-paris-diderot.fr/~jch/software/polipo/faq.html#features :
Это касательно «transparent» прокси (по ссылкам тоже полюбопытствуйте). А насчет шифрованного соединения через прокси – это что, предполагается, что прокси должен владеть всему приватными ключами клиентов? НЁХ, не?
Попытаться туннелить все
Попытаться туннелить все подключения на 443 порт на локальное реле, которое будет посылать CONNECT на изначально указанную цель, а потом будет работать как труба.
Локальный оверлей растёт
очень интересно, как это
очень интересно, как это должно выглядеть :) MITM прокси? :) плюс изоляция клиентоты от конечной точки подключения? то есть цепочка сертификатов клиентоте не_нужна? :)
Я имел в виду просто
Я имел в виду просто пробрасывать ssl-соединение как в HTTPS(CONNECT)proxy, только все подключения через iptables (как redsocks например пробрасывает всё через socks-прокси).
Локальный оверлей растёт
речь изначально шла о
Я лично (может и неправильно) понял ТС так: ему нужно проксировать (с нулевым конфигурированием у клиентов) HTTPS так же, как HTTP. Со стандартными целями – фильтрация/учет. Если же ему нужно просто проксировать TCP (с целью, например, обхода ограничений) через socks например, то можно конечно и redsocks+ипстолы, хотя мне больше нравится badvpn-tun2socks и PBR на его интерфейс. Хотя термин «прозрачное проксирование» в таком контексте употреблять довольно странно.
Вы задумывались зачем вообще
Вы задумывались зачем вообще ставят прокси сервер? Есть две цели: снижение объёма трафика за счёт его кэширования и фильтрация нежелательного содержимого.
Теперь к вопросу об ssl, при его использовании трафик шифруется и расшифровать его может только сервер и клиентский web браузер, кроме всего прочего данные, которые передаются шифрованными предназначаются только одному клиенту, тому, чей клиентский браузер имеет ключ для расшифровки. Отсюда вывод, что кэшировать этот трафик не имеет никого смысла, ибо он всё равно персонален и клиенты, использующие прокси сервер в любом случае его не запросят.
Поэтому для ssl вам нужно настроить NAT для 443 порта и всё.
kostik87, а что, кто-то еще
kostik87, а что, кто-то еще кэширует? :) Про все остальное уже немного более глубоко обсосано постами выше. Ну а насчет «каждому порту по своему NAT'у» я как-то не особо уверен в кошерности этого подхода.
Зачем каждому порту свой NAT?
Зачем каждому порту свой NAT? Nat нужен только для ssl, а 80 порт заворачивается на Squid.
стратегия образца начала
стратегия образца начала тысячелетия? :) оно и тогда-то было довольно убого, а сейчас (особенно в свете того, что тот же гугл намекает, что пора всем переходить на https) – ниже всякой критики. В целом – непонятно зачем вообще оно в таком виде, если управляется/аудируется только часть трафика. Ну и возвращаясь к формулировке ТС – «обначивание» трафика даже с великой натяжкой проксированием не назовешь :)