我知道SSL问题已经被打死了
我正在使用DNSredirect来强制我的客户使用我的拦截代理。 众所周知,拦截HTTPS连接是不可能的,除非我提供假证书。 我想在这里实现的是允许所有HTTPS请求直接连接到源服务器,从而绕过Squid:
我花了几天的时间去尝试不同的方法,但目前为止还没有成功。 我使用CONNECT方法阅读了关于SSL隧道的知识,但是无法find更多的信息。
我尝试了一种类似的方法,使用RINETD将通过我的Squid的443端口的所有stream量转回到www.pandora.com的原始IP。 不幸的是,我没有意识到所有其他HTTPS请求也转发到www.pandora.com的IP。 例如, https://www.gmail.com也把我带到https://www.pandora.com
由于我正在运行截接模式,所以转发需要是dynamic的,并且将每个HTTPS域名与正确的原始IP进行匹配。 这可以在Squid或iptables中完成吗?
最后,我正在使用DNS区域redirect将stream量导向到我的Squid服务器。 例如,一个客户端请求www.google.com,我的DNS服务器将这个请求发送给我的Squid IP,然后我的透明Squid将代理这个请求。 这个设置会影响我想要实现的吗? 我尝试了很多方法,但无法使其工作。
任何承担如何做到这一点?
只要你的DNS服务器响应所有查询的鱿鱼IP,stream量就会到达那里。
除了使用squids IP对dns查询使用redirect(如Cisco的WCCP , netfilter的redirect以及其他大多数防火墙和路由器的类似机制)之外,还有其他一些方法。