主页 / unix / 问题 / 535768
Accepted
Mulle
Asked: 2019-08-16 08:43:31 +0800 CST

使用基本身份验证配置 SQUID 透明代理

  • 772

我正在尝试将 SQUID(Ubuntu 18.04 上的 3.5.27)配置为透明代理。更进一步,它应该处理身份验证和请求日志记录,但我一开始很简单,但已经卡住了。

我正在本地网络上工作。在 SQUID 服务器 (jarvis) 的 5000 端口上运行着一个简单的网络服务器。从我网络上的另一台计算机上,我试图访问http://jarvis:5000(显然在关闭 iptables 时有效)。

IPTABLES 配置适用于

iptables -t nat -A PREROUTING -i enp1s0 -p tcp -j REDIRECT --to-port 3128

我的 squid.conf 尽可能简单

auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/htpasswd
acl authenticated proxy_auth REQUIRED
http_access allow authenticated
http_port 3128 transparent
visible_hostname jarvis

/usr/lib/squid/basic_ncsa_auth /etc/squid/htpasswd 有效(用户名和密码之间没有冒号:

# /usr/lib/squid/basic_ncsa_auth /etc/squid/htpasswd
me itsame
OK

在我正在做的另一台机器上

curl -v -u me:itsame http://jarvis:5000

接收

GET / HTTP/1.1
> Host: jarvis:5000
> Authorization: Basic bWU6aXRzYW1l
> User-Agent: curl/7.63.0
> Accept: */*
> 
< HTTP/1.1 407 Proxy Authentication Required
< Server: squid/3.5.27
< Mime-Version: 1.0
< Date: Thu, 15 Aug 2019 16:41:13 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3538
< X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0
< Vary: Accept-Language
< Content-Language: en
* Authentication problem. Ignoring this.
< Proxy-Authenticate: Basic realm="Squid proxy-caching web server"
< X-Cache: MISS from jarvis
< X-Cache-Lookup: NONE from jarvis:0
< Via: 1.1 jarvis (squid/3.5.27)
< Connection: keep-alive

我错过了什么?

proxy squid

1 个回答

  1. Best Answer

    看起来您正在尝试使用身份验证进行透明代理(或“拦截代理”,如 Squid FAQ 所称)。

    Squid FAQ 说得很清楚:

    我可以使用 ''proxy_auth'' 进行拦截吗?

    你不能。请参阅上一个问题的答案。使用拦截代理,客户端认为它正在与源服务器通信,并且永远不会发送 Proxy-authorization 请求标头。

    而“上一个问题”是:

    为什么我不能将身份验证与拦截代理一起使用?

    拦截代理通过在应该没有的地方拥有一个活动代理(代理)来工作。浏览器并不期望它存在,它的所有效果和目的都被欺骗了,或者充其量是混淆了。作为该浏览器的用户,我会要求它不要将任何凭据泄露给意外的一方,您同意吗?特别是当用户代理可以在不通知用户的情况下这样做时 [...]

    此外,您的用例看起来更像是一个反向代理,也称为Web 加速器,它还添加了身份验证和日志记录等功能,因为您的类似 Web 服务器的应用程序http://jarvis:5000可能在这些方面存在缺陷。

    • 当客户端需要能够访问基本上任何 Web 服务器而不需要在浏览器上进行任何类型的代理特定配置时,使用透明代理:网络(通常是路由器)拦截并将任何类似浏览器的连接重定向到代理,然后它可以应用缓存来例如最小化国际流量,或实施诸如恶意软件检查或成人内容过滤之类的东西。

    • 反向代理仅涉及一个特定的 Web 服务器或一组服务器。它可用于对一组后端服务器进行负载平衡,或将身份验证或 HTTPS 之类的内容添加到仅提供未经身份验证的 HTTP 的设备。

    如果您真正想要的实际上更像是一个反向代理,那么使用真正的 Web 服务器的代理功能可能会更好,因为这将为您提供更好的 HTTP 服务器端身份验证功能,这似乎是你的主要要求。

    使用 Apache,您可能会执行以下操作:

    <Location />
    AuthType Basic
    AuthName "Restricted Service"
    # (Following line optional)
    AuthBasicProvider file
    AuthUserFile "/etc/apache/htpasswd"
    Require user me
    ProxyPass http://jarvis:5000
    ProxyPassReverse http://jarvis:5000
</Location>

    并使用以下命令初始化/etc/apache/htpasswd文件:

    # htpasswd -c /usr/local/apache/passwd/passwords me
New password: itsame
Re-type new password: itsame
Adding password for user me

    如果服务器在http://jarvis:5000它输出的 HTML 中嵌入链接或其他对自身的引用,并且无法通过配置该服务器来调整这些引用,则您可能不得不玩一些技巧,例如让该服务器仅在 localhost 接口上侦听,而 Apache 在端口 5000仅实际网络接口。

    了解更多关于http://jarvis:5000服务器功能的信息在这里很重要。如果它使用客户端说它用来访问它的任何主机名和端口来构造它的响应(“嗯,该信息让客户端连接到我,所以它必须是正确的”的原则),那么这将很容易。但是,如果它使用特定协议、主机名和端口将其 HTML 与指向自身的链接硬编码,并且这些是不可配置的,那么实现您想要的可能需要使用主机名进行欺骗,或者实时编辑响应 HTML 中的 URL。

    • 1

相关问题