Назад | Перейти на главную страницу

Диспетчер пропускной способности с использованием Squid

Я пытаюсь создать программное обеспечение для распространения через Интернет для интернет-провайдера (интернет-дистрибьютора, школы или других подобных организаций), например Вот

У него будут ограничения и политики для пользователей по ограничению полосы пропускания / скорости / продолжительности и т. Д. В соответствии с их пакетом подключения к Интернету. Кроме того, администратор должен иметь возможность отслеживать их скорость и блокировать / разрешать пользователям и обновлять пакеты.

Архитектура такая:

Клиентский запрос без https работает нормально. Но запрос https дает SSL_ERROR, как и ожидалось.

Я читаю Squid не может обрабатывать https-соединения в режиме прозрачного прокси, но я не хочу, чтобы пользователи каждый раз устанавливали прокси в своем браузере.

Есть ли другой способ подсчитать весь трафик, включая зашифрованный, используемый пользователем, и соответствующим образом сформировать трафик?

Это не ограничение Squid, это ограничение самого протокола HTTPS. Если вы попытаетесь настроить прозрачный прокси-сервер HTTPS, вам обязательно потребуется нарушить канал шифрования - в противном случае прокси-сервер не сможет узнать, какой веб-сайт загружать. Итак, вы в основном выбираете между

  1. установка прокси HTTP в браузерах (которые может быть сделано через автообнаружение Кстати)
  2. нарушение безопасности HTTPS путем прерывания канала шифрования на вашем прокси-сервере Squid - BumpSSLServerFirst был написан с учетом этого. Однако, чтобы это сработало, вашим клиентам необходимо доверять ЦС Squid для подписания любого сертификата - он должен быть установлен как доверенный корневой ЦС на каждый клиент.

Поскольку настройка доверенных сертификатов CA на всех клиентах кажется более трудоемкой, чем просто установка прокси HTTPS в настройках браузера, это будет иметь смысл только в том случае, если вы планируете работать с расшифрованными данными в списках ACL или для проверки тела запроса / ответа.