Я хочу перенаправить весь трафик HTTP и HTTPS на squid
действует как прозрачный прокси. Затем этот трафик будет заблокирован или авторизован (массово) в определенные часы. В частности, я не хочу расшифровывать / повторно шифровать трафик HTTPS, а просто проталкиваю его.
HTTP-часть работает, а REDIRECT
править в shorewall
передает весь трафик, предназначенный для порта назначения 80
к слушанию 3128
кальмар порт в transparent
Режим.
Тот же трюк для порта 443
не работает.
Есть учебные пособия о том, как настроить прозрачный прокси для трафика HTTPS, но все, что я нашел, описывают создание пары сертификатов для расшифровки / повторного шифрования трафика - чего я не хочу делать.
В кальмар вики упоминает CONNECT как способ туннелирования HTTPS-трафика, но добавляет http_access allow CONNECT all
в конфигурацию (и отключив значение по умолчанию deny
) ничего не меняет.
Тогда некоторые предыдущий ответы предполагают, что прозрачный трафик HTTPS невозможен без нарушения туннеля TLS.
Следовательно: есть ли способ настроить squid
чтобы HTTPS-трафик перенаправлялся на него через iptables
затем передается прозрачно, без каких-либо изменений?
(Я бы просто в конечном итоге заблокировал, когда некоторые временные правила будут соблюдены (это означает, что блок не будет основан на чем-либо в самом потоке HTTPS))
но все, что я нашел, описывают создание пары сертификатов для расшифровки / повторного шифрования трафика - чего я не хочу делать.
То, о чем вы просите, просто невозможно из-за того, как работает протокол https. Ваши варианты:
Я бы просто заблокировал, когда некоторые временные правила будут соблюдены
Вы можете с правильным модули iptables фильтр по времени суток. Возможно, вам стоит просто обработать фильтрацию времени суток в вашем брандмауэре?