Squid が SSL を HTTP としてリダイレクトしない

tag-icon tag-icon apache-2.2 proxy squid haproxy
Squid が SSL を HTTP としてリダイレクトしない

特定のドメインへのすべてのトラフィックを親プロキシ経由で送信したいのですが、私の squid conf は次のとおりです。

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow localhost
http_access allow localnet
http_access deny manager
http_access deny !Safe_ports
http_access deny all
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

cache_peer XXX.XXX.XXX.XXX  parent 3128 0 no-digest
cache_peer_domain XXX.XXX.XXX.XXX .srv-get-my-ip.com

それでip.srv-get-my-ip.com より次のように返されると、プロキシを介して送信されますCurrent Address: XXX.XXX.XXX.XXX

1444889588.794    599 192.168.0.12 TCP_MISS/200 522 GET http://ip.srv-get-my-ip.com/ - FIRSTUP_PARENT/XXX.XXX.XXX.XXX text/html

しかし出典: ip.srv.com私の IP を返すため、プロキシ経由で送信されませんCurrent Address: YYY.YYY.YYY.YYY

1444889762.199    154 192.168.0.12 TCP_MISS/200 6654 CONNECT ip.srv-get-my-ip.com:443 - HIER_DIRECT/AAA.AAA.AAA.AAA -

2 番目のクエリを最初のクエリと同じように処理するには、どうすればよいでしょうか?

ここでは結果が重要なので、Squid 以外のプロキシ (Apache、Haproxy など) を使用して同じ目的を達成できる人がいれば、ぜひ試してみてください。

ありがとう!

答え1

あなたが説明しているような方法でSSLをプロキシすることは可能ですが、必要[1] SSL証明書を所持していること。

これは SSL に対する中間者攻撃を防ぐ機能であり、バグではありません。

証明書を所有している場合は、ほとんどのリバースプロキシが機能します。たとえば、SSL接続を終了し、親プロキシに向かって再確立するようにsquidを設定できます。Squid https ドキュメント

そのページから次の点にも注意してください:

HTTPS は、ユーザーにプライバシーとセキュリティの期待を与えるように設計されています。ユーザーの同意や認識なしに HTTPS トンネルを復号化することは、倫理規範に違反する可能性があり、管轄区域では違法となる可能性があります。

エンギンクスApache トラフィック サーバーHAプロキシ、Apache httpdとmod_proxy、およびその他のいくつかのリバース プロキシはすべて、SSL 終了を実行できます。

[1] 安全でないHTTPSを許容できる場合、または(おそらくもっと興味深いことに)クライアントの信頼できる証明書を制御できる場合は例外となります。しかし...その道には危険が潜んでいます。

関連情報