LINUX.ORG.RU
решено ФорумAdmin

Хитрая настройка Squid для TLS Peek-and-Splice

 , , splice, ,


0

6

У меня есть такая задача: есть много клиентов, которым в DNS подменяются IP-адреса некоего небольшого набора доменов на нужный мне адрес.

Мне нужно повесить там Squid (в идеале на прямо на 443 порту) чтобы он ловил TLS-handshake, смотрел имя хоста к которому коннектится клиент в хёдере SNI Client-Hello, резолвил это имя и устанавливал TCP-туннель между клиентом и сервером.

Т.е. мне *не надо* делать MITM, наоборот нужно чтобы у клиента всё было зелено и проверено, но траффик ходил через этот конкретный сервер.

В принципе, я подобного добился, сделав Intercept, SSL bump и завернув траффик с 443 порта на сквид через -j REDIRECT.

Но кальмар валится на том, что он ожидает увидеть IP назначения к которому коннектится клиент среди тех которые он разрезолвил для домена из TLS Hello (это нормально для обычного Intercept), но естественно они не совпадают т.к. коннект по факту не перехватывается, а адресован моему серверу.

Это security precaution и он никак не выключается, бай дизайн, так написано в доках. Я его, конечно, из сорцов выпилил, но хотелось бы узнать может есть способ попроще это сделать?

Ответ на: комментарий от MrClon

Всё отлично заработало. Часть коннектов, правда, летит без SNI, но тут уже ничего не попишешь, меня это устраивает.

Так что рекомендую, отличная штука.

blind_oracle ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.