Я знаю, что проблема с SSL забита до смерти
Я использую перенаправление DNS, чтобы мои клиенты использовали мой прокси-сервер перехвата. Как мы все знаем, перехват HTTPS-соединения невозможен, если я не предоставлю поддельный сертификат. Я хочу здесь разрешить всем HTTPS-запросам подключаться напрямую к исходному серверу, минуя Squid:
Я провел последние несколько дней, пытаясь использовать разные методы, но пока ни один из них не работал. Я читал о SSL-туннелировании с использованием метода CONNECT, но не нашел дополнительной информации о нем.
Я попробовал аналогичный метод с использованием RINETD для перенаправления всего трафика, проходящего через порт 443 моего Squid, обратно на исходный IP-адрес www.pandora.com. К сожалению, я не осознавал, что все другие запросы HTTPS также пересылаются на IP-адрес www.pandora.com. Например, https://www.gmail.com также приводит меня к https://www.pandora.com
Поскольку я использую режим перехвата, пересылка должна быть динамической и соответствовать каждому доменному имени HTTPS с правильным исходным IP-адресом. Можно ли это сделать в Squid или iptables?
Наконец, я направляю трафик на свой сервер Squid, используя перенаправление зоны DNS. Например, клиент запрашивает www.google.com, мой DNS-сервер направляет этот запрос на мой IP-адрес Squid, а затем мой прозрачный Squid будет проксировать этот запрос. Повлияет ли эта настройка на то, чего я пытаюсь достичь? Я пробовал много методов, но не мог заставить их работать.
Есть какие-нибудь мнения о том, как это сделать?
Пока ваш DNS-сервер отвечает IP-адресом squids на все запросы, трафик будет идти туда.
Есть и другие способы, кроме ответа с IP-адресом squids на запросы DNS с использованием перенаправления, например Cisco WCCP, перенаправление netfilter и, безусловно, аналогичный механизм для большинства других межсетевых экранов и маршрутизаторов.