透明 SSL 代理的谬论与事实

Question 1

如果您想过滤域名，有两种可能的方法：如果客户端知道它必须使用代理进行 HTTPS 连接，您可以从客户端发出的 CONNECT 方法中获取名称，然后过滤该名称（顺便说一下，Squids 支持这一点）。或者，如果您真的真的需要透明地执行此操作，您需要查看（加密的）请求标头。

如果您想要查看加密的请求标头，您需要一个密钥。如果您想要一个密钥，您需要一个证书，该证书 a) 被客户端信任为“正确”证书，并且 b) 认证所有可能的主机（通配符-一切）。

所以你需要做的是

为您的代理设置证书。具体如何设置取决于您的软件 - 您可以使用隧道在代理端终止 SSL 连接，在其后面放置一些过滤 HTTP 代理，然后使用 iptables DNAT 目标和 stunnel 为所有传出流量重新建立 SSL。对于 MitM SSL 代理，可能也有“盒装”解决方案。
在所有要使用代理的客户端上安装上述证书

大多数情况下，如果您需要透明代理，那是因为您不想或无法重新配置客户端以使用代理。如果您的请求也是这种情况，您可能无法选择在客户端上安装证书并将其标记为“受信任”。因此，即使存在透明 SSL 代理的技术方法，我怀疑您也不会获得太多好处。

Answer

如果您想过滤域名，有两种可能的方法：如果客户端知道它必须使用代理进行 HTTPS 连接，您可以从客户端发出的 CONNECT 方法中获取名称，然后过滤该名称（顺便说一下，Squids 支持这一点）。或者，如果您真的真的需要透明地执行此操作，您需要查看（加密的）请求标头。

如果您想要查看加密的请求标头，您需要一个密钥。如果您想要一个密钥，您需要一个证书，该证书 a) 被客户端信任为“正确”证书，并且 b) 认证所有可能的主机（通配符-一切）。

所以你需要做的是

为您的代理设置证书。具体如何设置取决于您的软件 - 您可以使用隧道在代理端终止 SSL 连接，在其后面放置一些过滤 HTTP 代理，然后使用 iptables DNAT 目标和 stunnel 为所有传出流量重新建立 SSL。对于 MitM SSL 代理，可能也有“盒装”解决方案。
在所有要使用代理的客户端上安装上述证书

大多数情况下，如果您需要透明代理，那是因为您不想或无法重新配置客户端以使用代理。如果您的请求也是这种情况，您可能无法选择在客户端上安装证书并将其标记为“受信任”。因此，即使存在透明 SSL 代理的技术方法，我怀疑您也不会获得太多好处。

Question 2

我知道这是一个老问题，但是如果 OP 只想将某些域名列入黑名单/白名单，他们根本不必使用代理，他们只需使用基于 DNS 的黑名单。

设置你的现场 DNS 服务器，对你想要列入黑名单的域名返回 127.0.0.1
在您的互联网网关处阻止除您的 DNS 服务器之外的所有 IP 访问 TCP/UDP 端口 53，因此只有您的 DNS 服务器可以从基于互联网的服务器发出 DNS 请求。

允许任何其他域名。所有网络流量 SSL 或其他方式都将不变地通过网关。

编辑：鉴于 OP 准备强迫用户通过他的列表，他可以阻止其他访问 DNS 的方法。这样，如果用户尝试使用被阻止的其他 DNS 方法之一，网站将无法运行。又名'顺我者昌逆我者亡'

对于 @wheeler 提到的 DNS-over-HTTPS，您可以阻止对以下网站的常规 DNS 查找，https://dns.google.com和https://cloudflare-dns.com/dns-query和 https://doh.cleanbrowsing.org/doh/family-filter/。但随着越来越多的服务上线，这种情况很快就会变得难以维持。

对于正在开发的其他 DNS 方法，您可能还需要一种阻止 MIME 类型（例如 application/dns-udpwireformat）的方法。

Answer

我知道这是一个老问题，但是如果 OP 只想将某些域名列入黑名单/白名单，他们根本不必使用代理，他们只需使用基于 DNS 的黑名单。

设置你的现场 DNS 服务器，对你想要列入黑名单的域名返回 127.0.0.1
在您的互联网网关处阻止除您的 DNS 服务器之外的所有 IP 访问 TCP/UDP 端口 53，因此只有您的 DNS 服务器可以从基于互联网的服务器发出 DNS 请求。

允许任何其他域名。所有网络流量 SSL 或其他方式都将不变地通过网关。

编辑：鉴于 OP 准备强迫用户通过他的列表，他可以阻止其他访问 DNS 的方法。这样，如果用户尝试使用被阻止的其他 DNS 方法之一，网站将无法运行。又名'顺我者昌逆我者亡'

对于 @wheeler 提到的 DNS-over-HTTPS，您可以阻止对以下网站的常规 DNS 查找，https://dns.google.com和https://cloudflare-dns.com/dns-query和 https://doh.cleanbrowsing.org/doh/family-filter/。但随着越来越多的服务上线，这种情况很快就会变得难以维持。

对于正在开发的其他 DNS 方法，您可能还需要一种阻止 MIME 类型（例如 application/dns-udpwireformat）的方法。

Question 3

代表可以作为中间人HTTPS 的代理。

Answer

代表可以作为中间人HTTPS 的代理。

Question 4

对于透明模式，内联 IPS (Suricata、Snort)系统可以帮助您阻止 SSL 站点。

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux

阻止特定用户的 SSL 站点规则：

drop ip any 443 -> 192.168.3.x any (content:".facebook.com"; msg:"Simplewall block facebook.com  ";sid:7;rev:1;)

drop ip any 443 -> 192.168.3.204 any (content:".youtube"; msg:"Simplewall block youtube.com" ;sid:4;rev:1;)

根据扩展名阻止文件下载规则：

drop ip any any -> 192.168.3.63 any (msg:"File exe block"; fileext:"exe"; filestore ;sid:1;rev:1;)

drop ip any ssl -> 192.168.3.63 any (msg:"File mp3 block"; fileext:"mp3"; filestore ;sid:11;rev:1;)

drop ip any ssl -> 192.168.3.63 any (msg:"File pdf block"; fileext:"pdf"; filestore ;sid:21;rev:1;)

尝试一下简易墙

使用 Simplewall 网络界面添加阻止规则非常非常简单。

您还可以Simplewall => Content Filter使用与 http 内容过滤器相同的 IPS 规则来添加规则。

Answer