Аннотация
Мне нужно зашифрованное соединение TCP от нескольких клиентов к одному порту через Интернет. Можно ли это реализовать с помощью Squid?
Конкретная ситуация
Мы используем решение для мониторинга и управления клиентами в нашей компании, которое доступно через LAN и VPN. Теперь он должен быть доступен с внешних ноутбуков, которые не используют VPN компании . Сообщение должно быть зашифровано (TLS). При аутентификации клиентов должны использоваться сертификаты клиентов. Связь инициируется клиентами и использует один порт TCP.
Результаты моих исследований
NGINX Plus предлагает эту функцию, но наш администратор предпочитает squid или apache. На вики-сайте squid я обнаружил, что: Feature: HTTPS (HTTP Secure или HTTP over SSL / TLS), где упоминается шифрование TCP. Но я также нашел это предупреждение:
Важно отметить, что протоколы, проходящие через CONNECT, не ограничиваются теми протоколами, которые обычно обрабатывает Squid. Буквально все, что использует двустороннее TCP-соединение, может быть передано через туннель CONNECT. Вот почему списки ACL по умолчанию для Squid начинаются с deny CONNECT! SSL_Ports и поэтому у вас должна быть очень веская причина размещать над ними любой тип разрешающего правила.
Подобный вопрос
Этот вопрос шифрует клиентское соединение с помощью прямого прокси-сервера squid с использованием SSL , но не относится к обратным прокси-серверам / доверенным терминалам TLS.
Что мне нужно знать
У меня есть только базовые знания об этих технологиях, и наш администратор попросил меня об общей целесообразности.
- Можно ли использовать Squid для безопасного шифрования TCP-соединений?
- Можно ли это реализовать с помощью аутентификации с помощью клиентских сертификатов?
- Или его следует использовать только для соединений HTTPS?
источник
CONNECT используется только HTTP-клиентами для HTTP-прокси для установки туннеля через прокси. В HTTP нет схемы для зашифрованного соединения с HTTP-прокси.
Я подозреваю, что HTTP-прокси это не то, что вы ищете здесь.
Я не знаю, поддерживает ли Squid TCP-плагины с TLS и клиентскими сертификатами, но WinGate поддерживает. У этого также есть возможность проверить UserPrincipalName в сертификате к Active Directory.
Отказ от ответственности: я работаю на Qbik, которые являются авторами WinGate.
источник