Squid 3.3 透明 SSL 反向代理

Question

我认为这是不可能的。在正向代理场景中是的，因为代理只是将请求转发到已解析的目的地，而无需解密和分析。但在反向代理中，由于标头已加密，代理服务器不知道如何处理请求……除非它可以解密并查看请求实际上是什么。以下是 Squid 2.5 版文档的摘录。我知道您问的是 3.3 版，但我认为这个观点仍然很有道理。

可以在 Squid 的 https_port 处拦截到原始服务器的 HTTPS 连接。这在代理（又称 http 加速器、反向代理）环境中可能很有用，但仅限于 Squid 可以使用原始服务器 SSL 证书代表原始服务器的情况。但在大多数情况下，拦截直接 HTTPS 连接不会起作用，而且毫无意义，因为 Squid 无法对加密流量执行任何操作——Squid 不是 TCP 级代理。

来源： http://wiki.squid-cache.org/Features/HTTPS

如果您可以提供有关使用反向代理的意图的一些详细信息，以及为什么要避免 MITM 配置，那么也许会出现另一种解决方案。

最后，具体回答您关于最佳文档来源的问题......我发现默认的 squid.conf 文件非常有用。

Answer 1

我认为这是不可能的。在正向代理场景中是的，因为代理只是将请求转发到已解析的目的地，而无需解密和分析。但在反向代理中，由于标头已加密，代理服务器不知道如何处理请求……除非它可以解密并查看请求实际上是什么。以下是 Squid 2.5 版文档的摘录。我知道您问的是 3.3 版，但我认为这个观点仍然很有道理。

可以在 Squid 的 https_port 处拦截到原始服务器的 HTTPS 连接。这在代理（又称 http 加速器、反向代理）环境中可能很有用，但仅限于 Squid 可以使用原始服务器 SSL 证书代表原始服务器的情况。但在大多数情况下，拦截直接 HTTPS 连接不会起作用，而且毫无意义，因为 Squid 无法对加密流量执行任何操作——Squid 不是 TCP 级代理。

来源： http://wiki.squid-cache.org/Features/HTTPS

如果您可以提供有关使用反向代理的意图的一些详细信息，以及为什么要避免 MITM 配置，那么也许会出现另一种解决方案。

最后，具体回答您关于最佳文档来源的问题......我发现默认的 squid.conf 文件非常有用。

Squid 3.3 透明 SSL 反向代理

答案1

相关内容