업스트림 상위가 있는 투명한 HTTPS Squid 프록시

업스트림 상위가 있는 투명한 HTTPS Squid 프록시

내 네트워크가 인터넷에 직접 액세스할 수 없습니다.오징어 3.5.9로서투명 프록시tcp/8080HTTP 및 HTTPS를 수신합니다 tcp/8443( iptables각각 tcp/80 및 tcp/443 리디렉션을 통해).

또한 이 Squid는 인터넷에 직접 액세스할 수 없지만 인터넷 액세스가 가능한 네트워크의 다른 곳에서 부모 Squid와 통신할 수 있습니다.

HTTP를 사용하면 잘 작동합니다. 클라이언트가 요청을 합니다.http://www.example.com(포트 80), 라우터와 iptables는 연결을 Squid의 포트 8080으로 리디렉션합니다. 이 포트는 요청을 가로채서 평소처럼 서비스를 제공하는 업스트림 프록시에 발행합니다. 사용되는 구성 옵션은 다음과 같습니다.

http_port 8080 intercept
cache_peer proxy-upstream parent 3128 0 no-query
never_direct allow all

좋은 결과. 이제 HTTPS와 비슷한 작업을 수행하고 싶습니다.

https_port 8443 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 5

ssl_bump bump all

그렇지 않으면 cache_peer예상대로 작동합니다. 즉, 자동으로 가짜 SSL 인증서를 생성하고 대상에 직접 연결합니다.

그러나 cache_peer그것을 사용하면 작동하지 않습니다. 프록시에서 HTTP/503 오류가 발생합니다.

1446684476.877  0 proxy-client TAG_NONE/200 0 CONNECT 198.51.100.10:443 - HIER_NONE/- -
1446684476.970  3 proxy-client TCP_MISS/503 4309 GET https://secure.example.com/ - FIRSTUP_PARENT/proxy-upstream text/html

ssl_bump또는 설정을 다음과 같이 변경 하면 :

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all

캐시.log에 충돌 메시지가 표시됩니다.

2015/11/05 01:07:11 kid1| assertion failed: PeerConnector.cc:116: "peer->use_ssl"

이 프록시를 불투명 모드에서 사용하면(예: 클라이언트의 프록시를 Proxy-test:3128로 구성하면) 작동합니다.

1446684724.879 141 proxy-client TCP_TUNNEL/200 1886 CONNECT secure.example.com:443 - FIRSTUP_PARENT/proxy--upstream -

HTTPS그래서 어떻게든 로그인 요청을 열어야 합니다.프록시 테스트CONNECT전달된 요청을 입력하세요 .에이전트 업스트림. Squid가 이 작업을 수행할 수 없는 경우 이를 수행할 수 있는 투명-비투명 프록시 소프트웨어가 있습니까?

감사해요!

관련 정보