上流の親を持つ透明なHTTPS Squidプロキシ

上流の親を持つ透明なHTTPS Squidプロキシ

私のネットワークはインターネットに直接アクセスできません。イカ3.5.9として透明プロキシtcp/8080HTTPとHTTPSを受信しますtcp/8443iptablesそれぞれtcp / 80およびtcp / 443リダイレクトを介して)。

さらに、このSquidはインターネットに直接アクセスすることはできませんが、インターネットにアクセスできるネットワークの他の場所で親Squidと通信することができます。

HTTPを使用するとうまく動作します。クライアントが要求をします。http://www.example.com(ポート80)、ルータとiptablesは接続をSquidのポート8080にリダイレクトします。このポートはリクエストを傍受し、通常どおりサービスを提供するアップストリームプロキシに発行します。使用される構成オプションは次のとおりです。

http_port 8080 intercept
cache_peer proxy-upstream parent 3128 0 no-query
never_direct allow all

良い結果。今、HTTPSと同様のことをしたいと思います。

https_port 8443 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 5

ssl_bump bump all

それ以外の場合はcache_peer期待どおりに動作します。つまり、自動的に偽のSSL証明書を生成し、ターゲットに直接接続します。

しかし、cache_peerそれを使用すると動作しません。プロキシでHTTP / 503エラーが発生します。

1446684476.877  0 proxy-client TAG_NONE/200 0 CONNECT 198.51.100.10:443 - HIER_NONE/- -
1446684476.970  3 proxy-client TCP_MISS/503 4309 GET https://secure.example.com/ - FIRSTUP_PARENT/proxy-upstream text/html

ssl_bumpまたは設定を次のように変更した場合:

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all

キャッシュ.logに競合メッセージが表示されます。

2015/11/05 01:07:11 kid1| assertion failed: PeerConnector.cc:116: "peer->use_ssl"

このプロキシを不透明モードで使用すると(クライアントのプロキシをProxy-test:3128として設定した場合など)。

1446684724.879 141 proxy-client TCP_TUNNEL/200 1886 CONNECT secure.example.com:443 - FIRSTUP_PARENT/proxy--upstream -

HTTPSだから何とかログイン要求を開く必要があります。プロキシテストCONNECT転送されたリクエストを入力してください。エージェントのアップストリーム。 Squidがこれを行うことができない場合、それを実行できる透明で不透明なプロキシソフトウェアはありますか?

ありがとうございます!

関連情報