作者ken1325 (优质水瓶男)
看板Network
标题[问答] squid 通透式代理
时间Tue Jan 5 18:17:20 2016
示意图:
http://imgur.com/cgwk759
我在Linux主机上,架了NAT和Proxy Server
Proxy server是安装squid这个软体
我在squid上设定区网电脑不能连到yahoo,如下:
acl dropdomain dstdomain .yahoo.com
http_access deny dropdomain
当我在区网电脑的浏览器上直接设定proxy的IP和port时
区网电脑确实不能连上yahoo,不管是连 http 或是 https,都会帮我挡掉
但是当我改用通透式代理时(transparent)
我虽然不能连上
http://tw.yahoo.com
但是却可以连上
https://tw.yahoo.com
请问为什麽会这样?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.116.247.76
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1451989044.A.CB9.html
1F:推 dustinw: 因为你只把目标是port 80的流量导到 Proxy , https预设 01/05 18:24
2F:→ dustinw: 用 port 443 01/05 18:24
我现在改成下面这样,把80和443都导到squid,
iptables -t nat -A PREROUTING -i eth2 -s 10.0.10.0/24 -p tcp --dport 80 -j
REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth2 -s 10.0.10.0/24 -p tcp --dport 443 -j
REDIRECT --to-ports 3128
但现在变成,
http://tw.yahoo.com 和
https://tw.yahoo.com 虽然都可以挡掉
但是其他的 https 网站也被挡掉了,但是照我squid的设定,我只有挡yahoo的而已
不知道为什麽squid把所有网站的port 443都挡掉了
※ 编辑: ken1325 (140.116.247.76), 01/05/2016 20:13:56
3F:推 dustinw: 建议你把完整的iptable 设定以及squid acl 贴出来,比较 01/05 23:15
4F:→ dustinw: 好抓问题。 01/05 23:15
6F:→ dustinw: ml 01/05 23:23
7F:推 dustinw: Squid不支援 https的 transparent proxy 。 01/05 23:25
9F:→ ken1325: 谢谢,我再测试看看 01/06 04:22
10F:→ danny8376: squid可以做https的通透啊 只是目前没动态签证 01/06 21:53
11F:→ danny8376: 所以一定会跳警告 01/06 21:53