我有我的服务器上安装了Ubuntu 14.04 LTS服务器,我想在我的服务器上安装透明代理服务器LANnetworking。 请帮我解决一下这个。 提前致谢。
您好我使用redsocks和iptables端口redirect规则来设置一个透明的代理,工作正常,但我需要build立非代理访问iptables规则,域domain1.com和domain2.com和10.0.0.0/8这是我的实际redirect规则。 iptables -t nat -A OUTPUT -o eth0 -p tcp -m tcp –dport 80 -j DNAT –to-destination 127.0.0.1:5123 iptables -t nat -A OUTPUT -o eth0 -p tcp -m tcp –dport 443 -j DNAT –to-destination 127.0.0.1:5124 其中端口5123和5124是红袜的端口 它的可能性绕过所需的域和IPS的端口redirect?
我在我的pfSense防火墙上遇到了squid的透明代理问题。 我的公司在以下地址(例如用途) http://git.gitserver.com/托pipe一个内部git服务器。 从我们的域名注册商那里有一个DNSlogging转发到我们的公共IP地址,由pfsensepipe理,这是(例如,目的)1.2.3.4。 从pfSense我有一个1:1的NAT设置,NAT 1.2.3.4到(例如目的)10.10.10.11的内部地址。 一切正常运行,可以从networking(LAN端)以及networking外部(WAN端)访问。 我的问题是,启用Squid的透明代理(防病毒,网站日志logging,并最终反向代理function),并且我在networking(局域网侧)内,我们的服务器内部托pipe的所有站点都自动从httpredirect到https。 有什么我失踪或应该保持在我的鱿鱼和它的function? 这是鱿鱼的默认function? 在这个时候,我希望保持SSL不变,并最终在适当的时候切换。
我不知道哪个堆栈交换networking最适合这个问题…但是这里有: 实现一个透明的https代理来为本地networking使用本地caching是否是一个可怕的主意? 由于位置的原因,我们受限于带宽,不能获得更好的连接。 该域使用Active Directory并自动信任本地pki。 我很担心允许代理模拟所有的端点…但它会工作,并不需要太多的努力来运行。 所以我的问题是这是一个普遍的做法还是不明智的? 或者也许呢? 有很多好处,但似乎很危险。
我已经为这个项目做了几个星期的研究,不幸的是我是一个简单的代码猴,我对networking和SSL的知识是有限的。 几乎到目前为止,我所做的每一个search都把我带到了serverfault,我相信我已经得出这样的结论:这可能是不可能的。 我基本上需要开发一个解决scheme,将传入的HTTPS,并无缝地传递到克隆的Web服务器集群。 他们都服务相同的确切内容。 客户端SSL不应该在负载平衡器处终止。 (https – >负载平衡 – >集群) 所以在技术上我的问题是误导,逆向代理并不是真的必要,但是迄今为止我所有的解决scheme往往都是某种代理。 我基本上需要一个透明的SSL负载平衡解决scheme。 这是我到目前为止所尝试的。 Apache 2.4.x mod_proxy:工作于https – > proxy – > http – >集群。 完整的SSL解决scheme失败。 磅:工作https – >代理 – >非常好,但端点服务器接收磅服务器的证书/信息。 我需要客户端证书,因为端点服务器需要能够撤销。 (由于安全考虑,吊销不能由代理/ MITM处理)。 我研究的其他选项是:鱿鱼,查尔斯,HAproxy,Nginx,查尔斯,笔和其他一些我不记得,我的大脑基本上是在这个时候糊涂。 笔可能是最好的解决scheme,因为它是TCPstream量,不应该需要解码SSL报头来处理stream量,但我很难findconfiguration它的信息。 硬件解决scheme并没有脱离桌面。 所以我想问题是1.这是可能的吗? 2.如何做到最好(廉价/开源更可取)? 谢谢!
我有一个本地透明代理,但我的问题是,数据包,当重新路由,有路由器IP而不是用户。 这些是我现在的规则: iptables -t nat -A PREROUTING -i eth0 -s ! 192.168.1.231 -p tcp -m multiport –dport 80 -j DNAT –to 192.168.1.231:3128 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -d 192.168.1.231 -j SNAT –to 192.168.1.1 iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.231 -i eth0 -o eth0 -p tcp –dport 3128 -j ACCEPT iptables […]
介绍 我有一个路由器,运行pfSense(可以是任何东西,因为它是VMware上的一个虚拟机,所以如果解决scheme需要其他东西,我没事),在它后面有多个虚拟机(NAT)。 我想完成什么 我想使用某种types的代理来使用具有1个IP的多个服务,最好基于DNS。 例如; 在mail.domain.com上运行一个邮件服务器(和webaccess的网站),在www.domain.com上运行一个网站,并在ftp.domain.com上运行一个FTP服务器,但都是不同的虚拟机。 所以基本上: Hostname Internal NAT IP Port www.domain.com 192.168.1.10 80 mail.domain.com 192.168.1.11 25 mail.domain.com 192.168.1.11 80 mail.domain.com 192.168.1.11 443 ftp.domain.com 192.168.1.12 21 所以我想使用HAProxy,但HAProxy只允许HTTP通信,而不是“常规”TCP通信(基于DNS名称)。 我想要所有的端口(包括TCP和UDP,但是如果TCP是唯一可能的,那么也可以)redirect到相应的虚拟机。
我正在开发强制门户系统(现在),我想知道是否有任何方法来阻止透明代理设置上的HTTPSstream量。 下面是我所拥有的: GNU / Linux路由器(Netfilter),运行Squid v3.4.8,其接口具有以下configuration。 eth2(LAN): 192.168.0.0/24,172.16.255.1/27,10.255.255.0/24 eth1(WAN): 192.168.100.0/24 以下是我现在使用的防火墙规则,即使我使用这样的规则,对于特定的IP,它也不起作用: -A INPUT -i eth2 -p tcp -s 192.168.0.11 –dport 443 -j REJECT 我可能错过了一些重要的东西(对不起,如果我太盲目…)。 我只是不明白,为什么我不能只是拒绝访问目的地端口443,从我的networking的特定IP。 我正在使用PREROUTING规则,但所有这些规则都将目标路由到80(HTTP)到3128(Squid)。 *nat :PREROUTING ACCEPT [19:2473] :INPUT ACCEPT [13:2173] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] ######### SQUID (Transparent Proxy Rules) ######### -A PREROUTING -i eth2 -s 192.168.0.0/24 -p tcp –dport 80 […]
我想用privoxy或squidbuild立一个透明的SSL公司代理。 我计划中的一个障碍是理解需要什么样的SSL证书。 我知道我可以得到一个多域/通配符SSL证书; 但是,这只是为了涵盖单个组织的子域。 似乎我需要一个通配证书,为现在和将来在这个星球上的每个TLD。 由于安全检查失败,我不希望用户通过代理时popup安全警告; 如果可能的话,我还想避免在浏览器中安装手动CA信任。 但是,如果商业解决scheme不可行,自签名证书有哪些解决scheme? 问题: 这可能吗? 如果所有的限制都不能达到,我能做的最好的是什么? IE,Firefox,Chrome在混合的windows / linux环境下成功的最低成本path是什么?
我在我的networking中的iptables中使用以下规则来使用透明代理 * iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp –dport 80 -j DNAT –to squid-box:3128 * iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT –to iptables-box * iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp –dport 3128 -j ACCEPT 但我的鱿鱼日志,总是logging网关IP(172.16.0.1) […]