本地透明代理SSLSplit导致转发循环

Question

添加输入接口，以便仅将入站连接发送到 sslsplit，例如，如果面向 LAN 的接口是 eth0，面向 WAN 的接口是 eth1，
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8080

这不是所做的事情，因此无法警告如何运行根用户由处理sslsplit。

实际上sslsplit运行时的命令为根，通过切换放弃特权给用户nobody除非另有配置：

/*
 * User to drop privileges to by default.  This user needs to be allowed to
 * create outbound TCP connections, and in some configurations, perform DNS
 * resolution.
 *
 * Packagers may want to use a specific service user account instead of
 * overloading nobody with yet another use case.  
[...]
 */
#define DFLT_DROPUSER "nobody"

这是对分叉的“worker”子进程完成的。我不确定是否有兴趣将其运行为根除非绑定到低端口。

所以应该做的是：

sslsplit以普通用户身份运行

它不会更改 uid 或 gid，只需确保要拦截的应用程序不会以该用户身份运行。将重定向更改为：
```
iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner normaluser --dport 443 -j REDIRECT --to-port 8443
```
或配置SSL分裂以 root 身份运行时使用专用用户和/或组。

看配置文件或选项-u和-m为了这个目的。我会使用（或创建并使用）该组proxy来实现这个目的。然后会使用! --gid-owner proxy。

Answer 1

阅读OP非常相同的链接评论：

添加输入接口，以便仅将入站连接发送到 sslsplit，例如，如果面向 LAN 的接口是 eth0，面向 WAN 的接口是 eth1，
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8080

这不是所做的事情，因此无法警告如何运行根用户由处理sslsplit。

实际上sslsplit运行时的命令为根，通过切换放弃特权给用户nobody除非另有配置：

/*
 * User to drop privileges to by default.  This user needs to be allowed to
 * create outbound TCP connections, and in some configurations, perform DNS
 * resolution.
 *
 * Packagers may want to use a specific service user account instead of
 * overloading nobody with yet another use case.  
[...]
 */
#define DFLT_DROPUSER "nobody"

这是对分叉的“worker”子进程完成的。我不确定是否有兴趣将其运行为根除非绑定到低端口。

所以应该做的是：

sslsplit以普通用户身份运行

它不会更改 uid 或 gid，只需确保要拦截的应用程序不会以该用户身份运行。将重定向更改为：
```
iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner normaluser --dport 443 -j REDIRECT --to-port 8443
```
或配置SSL分裂以 root 身份运行时使用专用用户和/或组。

看配置文件或选项-u和-m为了这个目的。我会使用（或创建并使用）该组proxy来实现这个目的。然后会使用! --gid-owner proxy。

本地透明代理SSLSplit导致转发循环

答案1

相关内容