Установка прозрачного прокси SSL
Единственная вещь, которая выглядит нечетной мне в Вашей конфигурации, static(inside,secure) оператор. Это, кажется, не, так как отображенные и действительные адреса являются тем же. В моей конфигурации у меня есть сеть типа dmz также и нет static(inside,dmz) оператор. (Я действительно имею static(dmz,outside) ... для внешне подвергнутых сервисов).
Так или иначе попытайтесь удалить те помехи и посмотрите, какой эффект, который имеет.
Проблемы, которые вы видите, такие же которые предотвращают использование нескольких сертификатов на одном IP-адресе / порту (без использования указания имени сервера) .
В обычном протоколе HTTP ваш прозрачный прокси-сервер может определить, к какому хосту клиент хочет подключиться, просмотрев Заголовок хоста .
Когда прозрачный прокси-сервер HTTPS MITM получает запрос, он не может знать, какое имя хоста клиент запрашивал в первую очередь. (Я даже не уверен, что он может получить IP-адрес с помощью этих правил, которые, по крайней мере, позволили ему сделать предположение, используя обратный поиск DNS, хотя в общем случае это вряд ли сработает.)
- В чтобы получить ожидаемое имя хоста,
Есть еще несколько предложений по этому другому вопросу, которые вы, возможно, видели: мифы и факты о прозрачном SSL-прокси . И есть эта ссылка, которая объясняет, как именно настроить Squid, чтобы он стал прозрачным прокси SSL. Это не то, что вы ищете, но это может, по крайней мере, дать вам представление о том, что может пойти не так.
Правила iptables кажутся нормальными, но я понятия не имею, может ли программное обеспечение прокси, которое вы используете, делать что вы пытаетесь сделать. В документации определенно утверждается, что это так.
Чтобы добавить к решению Бруно, я немного исследовал и хотел поделиться, как я получил еще одно далеко не идеальное быстрое исправление.
После настройки этих iptables я могу поставить обратное прокси на порт 1338 и перенаправить его на localhost на порт 1337. Поскольку порт 1337 является прозрачным http-прокси и данные были расшифрованы, он примет заголовок хоста и сделает его хостом назначения.
Основным недостатком является то, что Я по сути преобразовал https-соединение в http - это не всегда работает с каждым сервером (не говоря уже о дыре в безопасности, которую я открываю из-за этого).
Я работал в рамках своего программного обеспечения. Я считаю, что более чистым решением, по словам Бруно, было бы предположить, что весь трафик из 1338 должен быть расшифрован. После расшифровки
Просто базовая информация по этой теме.
Я знаю лишь несколько устройств, которые могут успешно выполнить это действие. Однако на самом деле они недоступны для широкой публики. Я сам использую Fortinet Fortigate с SSL Offloading.
В основном он делает следующее; он перехватывает SSL-соединение, установленное с хостом, и аппаратно расшифровывает соединение, затем проверяет, куда вы хотите перейти, и принимает решение о брандмауэре на основе этой информации.
После этого он устанавливает его ' s собственное соединение с этим хостом для получения данных и повторной подписи исходного запроса клиенту, используя CA, предоставленный пользователем. Для обеспечения бесперебойной работы необходим ЦС в доверенном корневом ЦС на клиенте.
Подобные настройки используются в организациях для обеспечения соблюдения политик компании в отношении использования Интернета. Поскольку с помощью Active Directory легко установить ЦС вашей компании на клиентах, это не проблема для крупных организаций.
Это ЕДИНСТВЕННЫЙ способ сделать это без создания прокси вручную, поскольку трафик SSL зашифрован. По сути, это MITM, поэтому важно учесть любые юридические вопросы.
Подобные настройки используются в организациях для обеспечения соблюдения политики компании в отношении использования Интернета. Поскольку с помощью Active Directory легко установить ЦС вашей компании на клиентах, это не проблема для крупных организаций.
Это ЕДИНСТВЕННЫЙ способ сделать это без создания прокси вручную, поскольку трафик SSL зашифрован. По сути, это MITM, поэтому важно освещать любые юридические вопросы.
Подобные настройки используются в организациях для обеспечения соблюдения политики компании в отношении использования Интернета. Поскольку с помощью Active Directory легко установить ЦС вашей компании на клиентах, это не проблема для крупных организаций.
Это ЕДИНСТВЕННЫЙ способ сделать это без создания прокси вручную, поскольку трафик SSL зашифрован. По сути, это MITM, поэтому важно освещать любые юридические вопросы.