Realbitt Asked: 2021-12-30 04:08:41 +0800 CST2021-12-30 04:08:41 +0800 CST 2021-12-30 04:08:41 +0800 CST 为我的 VPN 用户屏蔽网站 772 我的strongswan运行良好,我需要通过它的域阻止一些不良网站被VPN用户访问,我尝试了很多方法但没有运气将流量从vpn重定向到像squid这样的代理服务器,但我发现转发流量到squid它完成了由于它的网站 IP 不是域名,所以这种技术没有成功。 也许这不是strongswan生意,但任何想法都会受到欢迎。 提前致谢 linux squid strongswan 2 个回答 Voted Best Answer Roman Spiak 2021-12-31T14:08:43+08:002021-12-31T14:08:43+08:00 我解决此类问题的方法是使用透明代理调整strongswan VPN出口节点: https://www.cyberciti.biz/tips/linux-setup-transparent-proxy-squid-howto.html 但是,您将需要允许 https 绕过代理或设置 SSL 拦截(这非常困难并且需要访问您的客户端 PC).. 解决问题的另一种方法是引入您自己的 DNS,该 DNS 会将您的用户指向您自己的 IP 地址以获取被列入黑名单的域名……这当然意味着您正在运行 dhcp,而没有人足够聪明地使用自定义 DNS。 . 或通过 HTTPS 的 DNS Ginnungagap 2022-01-02T00:34:39+08:002022-01-02T00:34:39+08:00 这与 VPN 无关,与代理软件有关。 您正在寻找的是一个透明的拦截代理。除非您可以将新的 CA 证书推送到您的客户端计算机,否则您很可能会寻找 Squid 的peek-and-splice模式来检查 TLS 连接的 ClientHello。 请注意,这并不完美,因为域前置将绕过它,因此将使用另一个未列入黑名单的代理,但这是您可以使用这些限制做的最好的事情。
我解决此类问题的方法是使用透明代理调整strongswan VPN出口节点:
https://www.cyberciti.biz/tips/linux-setup-transparent-proxy-squid-howto.html
但是,您将需要允许 https 绕过代理或设置 SSL 拦截(这非常困难并且需要访问您的客户端 PC)..
解决问题的另一种方法是引入您自己的 DNS,该 DNS 会将您的用户指向您自己的 IP 地址以获取被列入黑名单的域名……这当然意味着您正在运行 dhcp,而没有人足够聪明地使用自定义 DNS。 . 或通过 HTTPS 的 DNS
这与 VPN 无关,与代理软件有关。
您正在寻找的是一个透明的拦截代理。除非您可以将新的 CA 证书推送到您的客户端计算机,否则您很可能会寻找 Squid 的peek-and-splice模式来检查 TLS 连接的 ClientHello。
请注意,这并不完美,因为域前置将绕过它,因此将使用另一个未列入黑名单的代理,但这是您可以使用这些限制做的最好的事情。