Squid가 SSL을 HTTP로 리디렉션하지 않습니다.

tag-icon tag-icon apache-2.2 proxy squid haproxy
Squid가 SSL을 HTTP로 리디렉션하지 않습니다.

특정 도메인으로의 모든 트래픽이 상위 프록시를 통해 전송되기를 원합니다. 내 오징어 구성은 다음과 같습니다.

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow localhost
http_access allow localnet
http_access deny manager
http_access deny !Safe_ports
http_access deny all
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

cache_peer XXX.XXX.XXX.XXX  parent 3128 0 no-digest
cache_peer_domain XXX.XXX.XXX.XXX .srv-get-my-ip.com

그래서http://ip.srv-get-my-ip.com다음과 같이 프록시를 통해 잘 전송됩니다 Current Address: XXX.XXX.XXX.XXX.

1444889588.794    599 192.168.0.12 TCP_MISS/200 522 GET http://ip.srv-get-my-ip.com/ - FIRSTUP_PARENT/XXX.XXX.XXX.XXX text/html

하지만https://ip.srv-get-my-ip.com내 IP를 반환하므로 프록시를 통해 전송되지 않습니다 Current Address: YYY.YYY.YYY.YYY.

1444889762.199    154 192.168.0.12 TCP_MISS/200 6654 CONNECT ip.srv-get-my-ip.com:443 - HIER_DIRECT/AAA.AAA.AAA.AAA -

오징어가 첫 번째 쿼리와 동일한 방식으로 두 번째 쿼리를 처리하도록 하려면 어떻게 해야 합니까?

여기서는 결과가 중요하므로 누구든지 오징어가 아닌 다른 프록시(아파치, haproxy 등)를 사용하여 동일한 목표를 달성할 수 있다면 시도해 보겠습니다!

감사해요!

답변1

설명하는 방식으로 SSL을 프록시할 수 있지만필요하다[1] SSL 인증서를 보유하고 있습니다.

이는 SSL에 대한 중간자 공격을 방지하므로 버그가 아닌 기능입니다.

귀하가 인증서를 보유하고 있다면 대부분의 역방향 프록시가 귀하에게 적합할 것입니다. 예를 들어 SSL 연결을 종료하도록 squid를 구성한 다음 상위 프록시를 향해 계속해서 다시 설정할 수 있습니다. 참조오징어 https 문서

해당 페이지에서도 참고하세요.

HTTPS는 사용자에게 개인 정보 보호 및 보안에 대한 기대를 제공하도록 설계되었습니다. 사용자 동의나 지식 없이 HTTPS 터널을 해독하는 것은 윤리적 규범을 위반할 수 있으며 해당 관할권에서는 불법일 수 있습니다.

엔진스,아파치 트래픽 서버,HAProxy, Apache httpdmod_proxy및 기타 여러 역방향 프록시는 모두 SSL 종료를 수행할 수 있습니다.

[1] 안전하지 않은 HTTPS를 허용할 수 있거나 (아마도 더 흥미롭게도) 클라이언트에서 신뢰할 수 있는 인증서를 제어할 수 있는 경우에는 예외가 있습니다. 하지만... 그 길에는 위험이 도사리고 있습니다.

관련 정보