我有一个DNS服务器,解决所有stream量到我的Squid服务器,将代理所有的HTTPstream量透明(它必须是透明的,或将失去一个无效的url错误),这很好。 问题在于HTTPS。 我的目标是使HTTPS完全正常工作(我不想使用伪造的“错误”信息),我已经尝试了很多方法来完成这项工作故障。 我甚至不想触摸HTTPS数据,但我必须因为所有域都parsing到我的服务器。 我试过使用IPTables直接将HTTPSstream量redirect到他们的服务器,这是完全不可能的,因为你不能用IPtables读取主机名,也不能dynamic地redirect它们。 我已经尝试使用Haproxy传递数据,这很好,但它需要我分别放置在每个服务器,所以除非我要做一个configuration文件是数百万和数百万行只是网站域名/子域名不能使用它。
编辑这是FW的一些interne规则,抱歉的不便,并感谢您的build议 我有一台Debian上的Squid(2.7.STABLE9)服务器(Wheezy 7.1) ,我添加了一个Apache2(2.2.22)发送PAC文件给我的所有用户。 两者都设置和工作,但我不能得到PAC文件,如果我还没有连接到Squid服务器(只有当我使用本地PAC文件与FoxyProxy)。 事实上,我可以下载pac文件,如果我在我的浏览器中请求服务器的IP地址时,我为我的代理设置FoxyProxy与本地副本的pac文件。 但是,如果我没有在浏览器上设置orixy,则出现错误(例如,Chrome上的ERR_CONNECTION_REFUSED)。 有我的/etc/squid/squid.conf #################### SQUID CONF FILE #################### Version 2.7.STABLE9 ######################################## # AUTHENTICATE #See http://wiki.squid-cache.org/ConfigExamples/Authenticate/ ## NTLM Authentification auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param ntlm keep_alive on # See http://www.odrakir.com/blog/2009/11/19/integrating-squid-with-active-directory/ external_acl_type ADS %LOGIN /usr/lib/squid/wbinfo_group.pl ######################################## # SECURITY forwarded_for off # Hide self.IP httpd_suppress_version_string on # Hide […]
我已经重新编辑了原始问题,因为我已经改变了原来的答案,这是基于NAT的设置。 NAT不再被使用,并已被replace为TPROXY以兼容IPv6。 我在一个小networking中运行鱿鱼。 我已经为不同的场景设置了几个鱿鱼侦听端口。 squid.conf的摘录 http_port 3128 – 这将通过域策略推送到Windows客户端,通过WPAD设置HTTP代理。 http_port 3129 tproxy – 这是针对端口80上的stream量被拦截的客户端。 对于TPROXY设置,我使用iproute2在我的DD-WRT路由器上使用以下iptables / ip6tables规则来标记stream量并将其redirect到代理。 问题是在这个设置中,所有stream量都被标记,包括通过3128端口设置进入Squid代理的IPv4和IPv6stream量。 我需要一种排除这种stream量的方法,因为它是在直接应用代理的LAN客户端上添加开销和断开连接(特别是IPv6)。 我知道我可以使用ACCEPT规则将特定的客户端添加到PREROUTING表中,但是对于IPv4和IPv6这样做将很难快速pipe理。 我需要find一个通用的方法来排除路由器端口3128上通过Squid代理的所有局域网客户端,但是我不知道最好的办法。 当前的DD-WRT Squid策略路由: # Squid transparent proxy PROXY_IPV4=192.168.xx PROXY_IPV6=2001:470:xxxx:xx::x CLIENTIFACE=br0 FWMARK=3 iptables -t mangle -A PREROUTING -i $CLIENTIFACE -s $PROXY_IPV4 -p tcp –dport 80 -j ACCEPT ip6tables -t mangle -A PREROUTING -i $CLIENTIFACE -s $PROXY_IPV6 […]
有没有一种方法来configuration鱿鱼3.5.1使用TCP进行DNS查找? 我已经build立了代理服务器来使用TCP进行查找,在我的/etc/resolv.conf文件中join了“options tcp”,但是squid似乎在做自己的事情。
我在不同的机器上build立了一个路由器和一个拦截HTTP squid代理。 客户应该使用代理(没有知识)在以下方面: 客户端 – >路由器(DNATing代理服务器) – >代理服务器 – >路由器 – > Internet 在代理服务器上运行的请求具有以下属性: 源IP地址:原始客户端的IP地址 源端口:原始客户端的端口 目标IP地址:代理服务器的IP地址(192.168.4.50) 目的地端口:3380 不幸的是,似乎squid试图转发数据包到请求的目标地址,这是代理服务器本身,并创build一个无限循环。 取自cache.log : 2015/12/18 14:11:50 kid1| WARNING: Forwarding loop detected for: 我如何configurationsquid而不是通过DNSparsingHTTP请求中的主机名,然后将请求转发到默认HTTP端口80上parsing的IP地址? 补充信息: DNAT由路由器上的iptables完成,具有以下规则: iptables -t nat -A PRE_VS_PROXY -p tcp –dport 80 -j DNAT –to-destination 192.168.4.50:3380 access.log示例条目: 1450444309.741 0 192.168.4.50 TCP_MISS/403 4277 POST http://ocsp.digicert.com/ – HIER_NONE/- […]
我只是想让互联网匿名透明代理绕过stream量只是想隐藏客户端IP,但它不工作的HTTPS .. 我不想要使用sslbump或者只是想绕过stream量 我在谷歌和serverfault.com和stackoverflow.comsearch了很多,并testing这些解决scheme绕过httpsstream量: 用IPTables绕过透明鱿鱼 与iptables的鱿鱼问题 https://stackoverflow.com/questions/2601400/squidiptables-how-do-i-allow-https-to-pass-through-and-bypassing-squid 我的鱿鱼configuration是: acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt […]
我已经有一个HTTP的反向代理设置,现在我正在寻找添加SSH和FTP到它。 我想我可以从http列表复制规则? 我如何去转发请求? 编号喜欢有1235端口上的ftp和1236上的ssh
我试图find一个很好的HTTP代理,供个人使用(我可能也想试验一下代码)。除了squid,我发现了tinyproxy和polipo,但显然tinyproxy并没有做caching。 你认识别人吗?
简单的问题关于我不熟悉的地区。 哪一个最适合caching? 还有其他的select吗? 因为我想确定在我学习之前使用哪一个。 所以我没有后来意识到这是一个不好的select。 如果有人能够阐明这个话题,那将是非常好的。
我不太熟悉Squid或IPTABLES,我有一个想法,这将工作,但我不能find一个很好的例子通过谷歌。 简而言之,我试图模仿一个SSL加速器。 就像Sonicwall一样…但是没有花费数千美元。 我想要通过HTTPSbuild立一个安全的外部连接,并将连接作为HTTP转发给内部IP。 我会尽可能以最短/最简单的方式解释。 CLIENT CONNECTS <–> HTTPS ENCRYPTS EXTERNAL CONNECTION (PORT 443) on external IP 123.456.789.012 <–> DATA IS FORWARDED (PORT 8080) TO INTERNAL IP 10.11.12.13. 任何帮助,我发誓我不懒惰,只是非常困惑。 PS这是一个centOS盒子,我是一个FreeBSD的人,所以这可能是我奋斗的一部分(这里的命令有点不一样)。