仮想マシンのトラフィックを Squid Proxy に転送しようとしています。リクエストが Squid Proxy によってバンプされ、プロキシから送信されると、すべてのリクエストのソース IP がクライアントの IP から Squid Proxy のサーバーの IP アドレスに変更されます。
私たちの要件は、リクエストが SSL バンプされることを保証することですが、同時に、クライアント IP が保持され、Squid Proxy によって変更されないようにすることです。クライアント IP の変更を防ぐために、構成ファイル (squid.conf) にタグを追加する方法はありますか。
ルールを個別に評価するにはクライアント IP が必要であり、SSL バンプが必要な一方で、送信リクエストの署名としてクライアントのソース IP も必要です。
答え1
プロキシ サーバーは、クライアントからの接続を受け入れ、クライアントに代わって宛先サーバーに要求を送信することによって機能します。
TCP レベルでは次のことが起こります。
Client --> TCP connection --> Squid --> TCP Connection --> destination
クライアントは自身の IP アドレスを使用して Squid への TCP 接続を開きます。Squid は自身の IP アドレスを使用して宛先サーバーへの TCP 接続を開きます。
これは、プロキシ サーバーからの TCP 接続には常に独自の IP アドレスがあることを意味します。これは TCP/IP プロトコルの基本的な動作モードであり、これを回避することはできません。
答え2
x-forwarded-for ヘッダーが必要だと思います... 次に、次のホップでヘッダーを読み取ります。そのヘッダーには、Squid サーバーではなく元の IP アドレスが含まれます。常にソースを独自のものに置き換えます... ただし、後で取得できるヘッダーとして元のものを書き込むことができます。これは、Web プロキシなどで行われる方法です。