가상 머신의 트래픽을 Squid Proxy로 전달하려고 합니다. 요청이 Squid 프록시에 의해 범핑되어 프록시를 떠나면 모든 요청의 소스 IP가 클라이언트 IP에서 Squid 프록시 서버의 IP 주소로 변경됩니다.
우리의 요구 사항은 요청이 SSL 범프되는지 확인하는 것이지만 동시에 클라이언트 IP가 보존되고 Squid Proxy에 의해 변경되지 않기를 원합니다. 클라이언트 IP 수정을 방지하기 위해 구성 파일(squid.conf)에 태그를 추가하는 방법이 있습니까?
규칙을 별도로 평가하려면 클라이언트 IP가 필요하고, SSL-Bump도 필요하지만 나가는 요청의 서명으로 클라이언트 소스 IP도 필요합니다.
답변1
프록시 서버는 클라이언트의 연결을 수락하고 클라이언트를 대신하여 대상 서버에 요청을 보내는 방식으로 작동합니다.
다음은 TCP 수준에서 발생합니다.
Client --> TCP connection --> Squid --> TCP Connection --> destination
클라이언트는 자체 IP 주소를 사용하여 Squid에 대한 TCP 연결을 엽니다. Squid는 자신의 IP 주소를 사용하여 대상 서버에 대한 TCP 연결을 엽니다.
즉, 프록시 서버의 TCP 연결에는 항상 자체 IP 주소가 있습니다. 이는 TCP/IP 프로토콜의 기본 작동 모드이며 이를 해결할 수 없습니다.
답변2
x-forwarded-for 헤더를 원하는 것 같습니다... 그런 다음 다음 홉에서 헤더를 읽으면 해당 헤더에 오징어 서버가 아닌 원래 IP 주소가 포함됩니다. 항상 소스를 자체적으로 대체할 것입니다... 하지만 나중에 가져올 수 있는 헤더로 원본을 쓰도록 할 수 있습니다. 웹 프록시 등을 사용하여 수행하는 작업입니다.