我需要在可以访问与客户端进行 SSL 通信所涉及的密钥的服务器上使用 iptables 过滤 HTTPS URL。
我发现很多资源都说,如果用户这样做,就无法做到这一点不是知道密钥,但我知道 - 所以我想知道是否有办法让 iptables 使用密钥解密 URL,然后在此基础上做出过滤决策。
我认为不是,但我满怀希望!
答案1
恐怕你敲错门了。iptables是很棒的工具,但它做的事情与你想要的有点不同。这就像用塑料勺子操作钉子一样——可能有用,但不是最好的工具……
一般来说,我更喜欢使用一些反向代理来完成这项工作:
- 接受连接/处理 SSL 握手
- 应用过滤规则
- 根据结果拒绝或允许未来通信
很难说什么是最好的——最好的就是你知道的最好的 ;-)。如果我应该按系统占用空间排序(无需额外研究——自己的经验/感受),我会考虑这个顺序
- 哈普罗西(反向代理具有非常好的资源/性能比率)
入门相当简单。它能满足您的所有需求。
- nginx(具有反向代理功能的http服务器)
具有反向代理功能的 Http 服务器。它也可以解决您的问题,但由于它只是其中一个功能,因此可用的功能远比您需要的要多...
- Apache httpd
我把 Apache httpd 放在最后,因为它允许你做几乎任何事情,但是如果你想要正确配置它并且你才刚刚开始,配置可能会相当困难。正如你所知,更多的选项/可能性通常意味着更多的变化,从而犯错误 ;-)。