在我工作的公司,我们需要实施我认为所谓的透明代理。
现在的情况:
A(较低安全区域)--Cisco ASA-----Cisco ASA----B(较高安全区域)
我们需要的:
A(较低安全区域)--Cisco ASA---(eth0)代理(eth1)---Cisco ASA----B(较高安全区域)
我们已经设置了带有 squid 代理的 Alpine Linux,为防火墙的两侧添加了两个接口,但在 iptables 配置上遇到了障碍。
代理只需记录流量并传递所有内容,而无需更改源/目标上的数据包。我们不需要任何类型的过滤或阻止,所有 1-65535 端口都可以允许。
阅读有关 TPROXY 的信息,但找不到好的示例来尝试。
我知道对于这样的实现还有其他的设计选项,但是必须这样做。
答案1
据我了解,第二个防火墙无关紧要;Squid 只会透明地拦截第一个 HTTP(S) 请求,将其发送到远程网站并将响应返回给初始调用者。一种可能的方法(虽然不像您所描述的那样)是在 Cisco 中使用 WCCP - 请参阅以下教程https://docs.diladele.com/tutorials/web_filter_https_squid_cisco_wccp/index.html