Назад | Перейти на главную страницу

Как прозрачно перенаправлять HTTPS-трафик через squid?

Я хочу перенаправить весь трафик HTTP и HTTPS на squid действует как прозрачный прокси. Затем этот трафик будет заблокирован или авторизован (массово) в определенные часы. В частности, я не хочу расшифровывать / повторно шифровать трафик HTTPS, а просто проталкиваю его.

HTTP-часть работает, а REDIRECT править в shorewall передает весь трафик, предназначенный для порта назначения 80 к слушанию 3128 кальмар порт в transparent Режим.

Тот же трюк для порта 443 не работает.

Есть учебные пособия о том, как настроить прозрачный прокси для трафика HTTPS, но все, что я нашел, описывают создание пары сертификатов для расшифровки / повторного шифрования трафика - чего я не хочу делать.

В кальмар вики упоминает CONNECT как способ туннелирования HTTPS-трафика, но добавляет http_access allow CONNECT all в конфигурацию (и отключив значение по умолчанию deny) ничего не меняет.

Тогда некоторые предыдущий ответы предполагают, что прозрачный трафик HTTPS невозможен без нарушения туннеля TLS.

Следовательно: есть ли способ настроить squid чтобы HTTPS-трафик перенаправлялся на него через iptables затем передается прозрачно, без каких-либо изменений?

(Я бы просто в конечном итоге заблокировал, когда некоторые временные правила будут соблюдены (это означает, что блок не будет основан на чем-либо в самом потоке HTTPS))

но все, что я нашел, описывают создание пары сертификатов для расшифровки / повторного шифрования трафика - чего я не хочу делать.

То, о чем вы просите, просто невозможно из-за того, как работает протокол https. Ваши варианты:

  • Разрешите исходящий https через брандмауэр и не пытайтесь использовать прокси
  • Настройте клиентов на использование вашего прокси / фильтра, и они будут использовать HTTP-вызовы CONNECT для прокси.
  • Настройте свой прокси на человека посередине и выполните sslbump.

Я бы просто заблокировал, когда некоторые временные правила будут соблюдены

Вы можете с правильным модули iptables фильтр по времени суток. Возможно, вам стоит просто обработать фильтрацию времени суток в вашем брандмауэре?