mar*_*gle 8 certificate encryption squid tcp tls
我需要从多个客户端到 Internet 上的单个端口的加密 TCP 连接。这可以用 Squid 实现吗?
我们在公司中使用了可通过 LAN 和 VPN 访问的监控和客户端管理解决方案。现在应该可以从不使用公司 VPN 的外部笔记本访问它。通信必须加密 (TLS)。客户端身份验证必须使用客户端证书。通信由客户端发起并使用单个 TCP 端口。
NGINX Plus似乎提供此功能,但我们的管理员更喜欢 squid 或 apache。在鱿鱼维基上,我发现:功能:HTTPS(HTTP 安全或 HTTP over SSL/TLS),其中提到了 TCP 加密。但我也发现了这个警告:
需要注意的是,通过 CONNECT 传递的协议不限于 Squid 通常处理的协议。从字面上看,任何使用双向 TCP 连接的东西都可以通过 CONNECT 隧道传递。这就是为什么 Squid 默认 ACL 以 deny CONNECT !SSL_Ports 开头的原因,以及为什么您必须有一个很好的理由将任何类型的允许规则放在它们之上。
这个问题Encrypt client connection with squid forward proxy using SSL是类似的,但不处理反向代理/TLS 终止代理。
我只有有关该技术的基本知识,我们的管理员询问了我的一般可行性。
也许您的管理员不喜欢NGINX Plus它,因为它不是开源的,并且会接受另一个维护良好的开源产品。然后请他看stunnel。它专为满足您的需求而设计。
引用维基百科上的一个 stunnel 示例(对于 SMTP,但这也适合您的需要):
例如,可以使用 stunnel 为现有的不支持 SSL 的 SMTP 邮件服务器提供安全的 SSL 连接。假设 SMTP 服务器需要端口 25 上的 TCP 连接。可以配置 stunnel 将 SSL 端口 465 映射到非 SSL 端口 25。邮件客户端通过 SSL 连接到端口 465。来自客户端的网络流量最初通过 SSL 传递到 stunnel应用程序,它透明地加密/解密流量并将不安全的流量转发到本地的端口 25。邮件服务器看到一个非 SSL 邮件客户端。
stunnel 进程可以在与不安全邮件应用程序相同或不同的服务器上运行;但是,两台机器通常都位于安全内部网络上的防火墙后面(因此入侵者无法直接与端口 25 建立自己的不安全连接)。
| 归档时间: |
|
| 查看次数: |
4774 次 |
| 最近记录: |