我想为我的内部网络的某些用户阻止某些 url。为此,我正在使用基于 squid 的显式代理和 redirect_program。客户端配置为对 https url 使用 pac 文件,这使它们将其 https 请求路由到显式代理。
问题是,将 https url 的任何 CONNECT 请求重定向到被阻止的页面 url 都会失败。我尝试了基于 http 和 https 的阻止页面 url,但找不到任何运气。由于某些原因,我不想使用带有 ssl 碰撞的透明代理。
Safari 出现错误“Safari 无法打开该页面。错误是“通过 Web 代理服务器建立安全隧道时出现问题”'
Chrome 显示错误“此网页不可用。ERR_TUNNEL_CONNECTION_FAILED'。
这是https://www.yahoo.com的 access.log 中的一行。
2015 年 10 月 7 日:01:41:29 -0500 74 172.0.0.9 TCP_REDIRECT/302 253 连接 www.yahoo.com:443 - HIER_NONE/- -
我在某处读到浏览器期望在连接请求后启动 SSL/TLS 握手,这就是它失败的原因。这是 squid redirector 文档中的一个引用。
“URL 更改,特别是重定向只能在某些方法上进行,而某些方法(例如 POST 和 CONNECT)需要特别小心。”
它并没有说 CONNECT 方法无法进行重定向。但是,没有提到我们如何重定向POST和CONNECT(我对CONNECT特别感兴趣)或给出任何示例。
请指导我如何将 https 连接请求重定向到被阻止的页面。如果这不可能,是否可以通过显式代理解决此问题?谢谢你。
我在 ubuntu 上使用 squid 3.5.4。
不幸的是,如果不首先碰撞(解密)SSL 连接,这是不可能的。浏览器在设计上拒绝来自失败的 CONNECT 请求的任何额外的有效负载/重定向。有关更正式的描述,请参阅 - http://docs.diladele.com/faq/squid/cannot_connect_to_site_using_https.html。
如果您决定执行 SSL 解密,则可以先让 CONNECT 请求成功,然后阻止/重定向下一个通过此已建立连接隧道的 HTTP 请求 - 请考虑到 if 甚至可能不是 HTTP,因为某些应用程序使用 CONNECT他们自己的协议的代理隧道(例如 Skype)。
还有一点要记住——如果应用程序在向代理发出 CONNECT 请求时使用了“SSL pinning”技术——它将拒绝使用解密的连接。