我正在尝试将 SQUID(Ubuntu 18.04 上的 3.5.27)配置为透明代理。再往下,它应该处理身份验证和请求日志记录,但我一开始很简单,但已经陷入困境。
我正在本地网络上工作。 SQUID 服务器 (jarvis) 上的端口 5000 上运行一个简单的 Web 服务器。我正在尝试从网络上的另一台计算机访问http://贾维斯:5000(显然这在关闭 iptables 时有效)。
IPTABLES 配置适用于
iptables -t nat -A PREROUTING -i enp1s0 -p tcp -j REDIRECT --to-port 3128
我的squid.conf 尽可能简单
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/htpasswd
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
http_port 3128 transparent
visible_hostname jarvis
/usr/lib/squid/basic_ncsa_auth /etc/squid/htpasswd 有效(用户名和密码之间不带冒号:
# /usr/lib/squid/basic_ncsa_auth /etc/squid/htpasswd
me itsame
OK
在我正在做的另一台机器上
curl -v -u me:itsame http://jarvis:5000
接收
GET / HTTP/1.1
> Host: jarvis:5000
> Authorization: Basic bWU6aXRzYW1l
> User-Agent: curl/7.63.0
> Accept: */*
>
< HTTP/1.1 407 Proxy Authentication Required
< Server: squid/3.5.27
< Mime-Version: 1.0
< Date: Thu, 15 Aug 2019 16:41:13 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3538
< X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0
< Vary: Accept-Language
< Content-Language: en
* Authentication problem. Ignoring this.
< Proxy-Authenticate: Basic realm="Squid proxy-caching web server"
< X-Cache: MISS from jarvis
< X-Cache-Lookup: NONE from jarvis:0
< Via: 1.1 jarvis (squid/3.5.27)
< Connection: keep-alive
我缺少什么?
答案1
看起来您正在尝试通过身份验证进行透明代理(或“拦截代理”,如 Squid FAQ 所称)。
我可以使用“proxy_auth”进行拦截吗?
你不能。请参阅上一个问题的答案。通过拦截代理,客户端认为它正在与源服务器通信,并且永远不会发送代理授权请求标头。
而“上一个问题”是:
为什么我不能将身份验证与拦截代理一起使用?
拦截代理的工作原理是在本不存在的地方设置一个活动代理(代理)。浏览器并不期望它在那里,它的所有效果和目的都被欺骗了,或者充其量是混淆了。作为该浏览器的用户,我会要求它不要向意外方泄露任何凭据,您同意吗?尤其是当用户代理可以在不通知用户的情况下执行此操作时 [...]
此外,您的用例看起来更像是反向代理,也称为网络加速器,它还添加了身份验证和日志记录等功能,因为您的类似 Web 服务器的应用程序http://jarvis:5000可能缺乏这些功能。
A透明代理当客户端需要能够访问基本上任何 Web 服务器而不需要在浏览器上进行任何特定于代理的配置时使用:网络(通常是路由器)拦截并将任何类似浏览器的连接重定向到代理,然后代理可以应用缓存来最大限度地减少国际流量,或实施恶意软件检查或成人内容过滤等功能。
A反向代理仅涉及一个特定的 Web 服务器或一组服务器。它可用于对一组后端服务器进行负载平衡,或者将身份验证或 HTTPS 之类的内容添加到仅提供未经身份验证的 HTTP 的设备。
如果你真正想要的实际上更像是反向代理,那么使用真实 Web 服务器的代理功能可能会更好,因为这些功能将为您提供更好的 HTTP 服务器端身份验证功能,这似乎是您的主要要求。
使用 Apache,您可以做这样的事情:
<Location />
AuthType Basic
AuthName "Restricted Service"
# (Following line optional)
AuthBasicProvider file
AuthUserFile "/etc/apache/htpasswd"
Require user me
ProxyPass http://jarvis:5000
ProxyPassReverse http://jarvis:5000
</Location>
并使用以下命令初始化/etc/apache/htpasswd文件:
# htpasswd -c /usr/local/apache/passwd/passwords me
New password: itsame
Re-type new password: itsame
Adding password for user me
如果服务器在http://jarvis:5000其输出的 HTML 中嵌入了对自身的链接或其他引用,并且无法通过配置该服务器来调整这些引用,则您可能需要使用一些技巧,例如让该服务器仅在 localhost 接口上侦听,并在端口 5000 中侦听 Apache仅实际网络接口。
了解更多有关服务器功能的信息http://jarvis:5000在这里很重要。如果它使用客户端所说的用于访问它的任何主机名和端口来构造其响应(“好吧,该信息让客户端连接到我,所以它必须是正确的”的原则),那么这将很容易。但是,如果它使用特定协议、主机名和端口对其 HTML 进行硬编码,并包含指向自身的链接,并且这些是不可配置的,则实现您想要的可能需要使用主机名,或者实时编辑响应 HTML 中的 URL。