两个防火墙之间的 Squid 代理,需要 iptables 解决方案

两个防火墙之间的 Squid 代理,需要 iptables 解决方案

在我工作的公司,我们需要实施我认为所谓的透明代理。

现在的情况:

A(较低安全区域)--Cisco ASA-----Cisco ASA----B(较高安全区域)

我们需要的:

A(较低安全区域)--Cisco ASA---(eth0)代理(eth1)---Cisco ASA----B(较高安全区域)

我们已经设置了带有 squid 代理的 Alpine Linux,为防火墙的两侧添加了两个接口,但在 iptables 配置上遇到了障碍。

代理只需记录流量并传递所有内容,而无需更改源/目标上的数据包。我们不需要任何类型的过滤或阻止,所有 1-65535 端口都可以允许。

阅读有关 TPROXY 的信息,但找不到好的示例来尝试。

我知道对于这样的实现还有其他的设计选项,但是必须这样做。

答案1

据我了解,第二个防火墙无关紧要;Squid 只会透明地拦截第一个 HTTP(S) 请求,将其发送到远程网站并将响应返回给初始调用者。一种可能的方法(虽然不像您所描述的那样)是在 Cisco 中使用 WCCP - 请参阅以下教程https://docs.diladele.com/tutorials/web_filter_https_squid_cisco_wccp/index.html

相关内容