新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
空间积分800 信誉积分242 UID93850阅读权限30积分1102帖子精华可用积分1102 专家积分0 在线时间339 小时注册时间最后登录
家境小康, 积分 1102, 距离下一级还需 898 积分
帖子主题精华可用积分1102 专家积分0 在线时间339 小时注册时间最后登录
论坛徽章:1
squid-3.0.STABLE2& &这个版本
俺是新手，请各位多多指教！～
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
空间积分0 信誉积分214 UID695325阅读权限20积分426帖子精华可用积分426 专家积分3 在线时间381 小时注册时间最后登录
稍有积蓄, 积分 426, 距离下一级还需 74 积分
帖子主题精华可用积分426 专家积分3 在线时间381 小时注册时间最后登录
论坛徽章:0
回复 #1 小小磊 的帖子
我现在在用，下面是我的配置文件，但是感觉效率不是很高。
cache_dir aufs /opt/squid/var/cache
coredump_dir /opt/squid/var
cache_mem 256 MB
dns_children 32
http_port 192.168.0.253:2010 transparent
icp_port 3130
access_log /opt/squid/var/logs/access.log squid
hierarchy_stoplist cgi-bin ?
refresh_pattern ^ftp:& && && && && && && && && &1440& & 20%& &&&10080
refresh_pattern ^gopher:& && && && && && && && &1440& & 0%& && &1440
refresh_pattern (cgi-bin|\?)& && && && && && &&&0& && & 0%& && &0
refresh_pattern .& && && && && && && && && && & 0& && & 20%& &&&4320
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8& &&&# RFC1918 possible internal network
acl localnet src 172.16.0.0/12&&# RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80& && && & # http
acl Safe_ports port 21& && && & # ftp
acl Safe_ports port 443& && && &# https
acl Safe_ports port 70& && && & # gopher
acl Safe_ports port 210& && && &# wais
acl Safe_ports port &&# unregistered ports
acl Safe_ports port 280& && && &# http-mgmt
acl Safe_ports port 488& && && &# gss-http
acl Safe_ports port 591& && && &# filemaker
acl Safe_ports port 777& && && &# multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
htcp_access allow localnet
htcp_access deny all
icp_access allow localnet
icp_access deny all复制代码
[ 本帖最后由 sanyork 于
11:19 编辑 ]
screen.width*0.7) {this.resized= this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized= this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {} else {window.open(this.src);}" onmousewheel="return imgzoom(this);" alt="" />
空间积分800 信誉积分242 UID93850阅读权限30积分1102帖子精华可用积分1102 专家积分0 在线时间339 小时注册时间最后登录
家境小康, 积分 1102, 距离下一级还需 898 积分
帖子主题精华可用积分1102 专家积分0 在线时间339 小时注册时间最后登录
论坛徽章:1
谢谢楼上的！~我最近一直也在找这方面的资料。
俺是新手，请各位多多指教！～
空间积分0 信誉积分148 UID阅读权限10积分54帖子精华可用积分53 专家积分0 在线时间67 小时注册时间最后登录
白手起家, 积分 54, 距离下一级还需 146 积分
帖子主题精华可用积分53 专家积分0 在线时间67 小时注册时间最后登录
论坛徽章:0
./cf_gen cf.data ./cf.data.depend
make[1]: *** [cf_parser.h] Floating point exception
make[1]: Leaving directory `/root/squid-3.0.STABLE2/src'
make: *** [all-recursive] Error 1
大哥我编译时候出错了，在网上搜索也找不到解决办法。就是用最简单的prefix定义，也不行，为什么啊，哭！
./configure --prefix=/usr/local/squid-3.0.STABLE2 --enable-async-io=100 --enable-kill-parent-hack --enable-icmp --enable-default-err-language=Simplify_Chinese --enable-cache-digests --enable-poll --enable-x-accelerator-vary --enable-removal-policies=heap,lru
空间积分0 信誉积分34 UID阅读权限10积分23帖子精华可用积分23 专家积分0 在线时间51 小时注册时间最后登录
白手起家, 积分 23, 距离下一级还需 177 积分
帖子主题精华可用积分23 专家积分0 在线时间51 小时注册时间最后登录
论坛徽章:0
三楼，squid3透明代理我配置OK了。。但是好像https 没有没有没有办法透明代理。。
这样做的话像.cn的邮件或者163的邮箱都上不上去
空间积分0 信誉积分34 UID阅读权限10积分23帖子精华可用积分23 专家积分0 在线时间51 小时注册时间最后登录
白手起家, 积分 23, 距离下一级还需 177 积分
帖子主题精华可用积分23 专家积分0 在线时间51 小时注册时间最后登录
论坛徽章:0
三楼，squid3透明代理我配置OK了。。但是好像https 没有没有没有办法透明代理。。
这样做的话像.cn的邮件或者163的邮箱都上不上去
空间积分0 信誉积分106 UID380688阅读权限30积分1471帖子精华可用积分1471 专家积分30 在线时间2237 小时注册时间最后登录
家境小康, 积分 1471, 距离下一级还需 529 积分
帖子主题精华可用积分1471 专家积分30 在线时间2237 小时注册时间最后登录
论坛徽章:0
https我没试验，可以试试把443端口也转发到你的squid端口上
欢迎光临蚊子的世界
空间积分0 信誉积分100 UID阅读权限10积分32帖子精华可用积分32 专家积分0 在线时间35 小时注册时间最后登录
白手起家, 积分 32, 距离下一级还需 168 积分
帖子主题精华可用积分32 专家积分0 在线时间35 小时注册时间最后登录
论坛徽章:0
各位，我也是在配置透明代理的时候HTTPS的协议不能正常使用，如果在IE浏览器里指定了代理服务器地址那么像的网站就可以正常访问了，否则不行
各位兄弟有这方面的经验吗？
北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号：
广播电视节目制作经营许可证(京) 字第1234号
中国互联网协会会员&&联系我们：
感谢所有关心和支持过ChinaUnix的朋友们
转载本站内容请注明原作者名及出处1480人阅读
在“”一文提到解决方案中，是利用来建立 server。是图形界面程序，使用比较简单，但是存在着两个问题：首先ccproxy不是免费软件，未注册版本只能提供3个连接；另外一个就是从性能还是稳定性上都不是特别让人满意。
后来发现自己的确孤陋寡闻，Unix/Linux下大名鼎鼎的开源免费代理软件()是有Windows的Native版本SquidNT。既然如此，一出，谁与争锋？
Squid在Windows下的安装配置同样简单，包括一下几步：
1. 下载Squid
可以下载源码自己编译，当然更方便的就是直接下载二进制文件了。下载列表在这里：，或者直接从下面链接：
2.安装与配置
安装配置过程很简单。
安装：直接解压缩前面下载到的zip文件到C:\squid
到C:\squid\etc目录下，复制squid.conf.default为squid.conf，mime.conf.default为mime.conf，cachemgr.conf.default为cachemgr.conf。如果有特殊的配置要求，可以修改squid.conf，squid的默认端口是3128，我们这里需要修改一下这一行：
http_port 3128& 改为 http_port 25
服务安装与初始化：到c:\squid\sbin目录，执行以下命令：
安装服务：squid –i
初始化缓存目录结构：squid -z
好了，大功告成，是不是比ccproxy的配置还要简单啊，重启机器或者命令行执行“ net start squid”启动服务，然后通过代理访问
，是不是很方便快捷啊？
加速 YY语音 可以用Lonlife软件
如果想加速按如下方法操作()：
启动代理客户端 & &打上代理语音& 前面的钩& 登录代理客户端后，直接启动语音客户端就行了,如：YY。
1、正向代理(forward)是一个位于客户端和原始服务器(origin server)之间的服务器，为了从原始服务器取得内容，客户端向代理发送一个请求并指定目标(原始服务器)，然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。
2、反向代理(reverse proxy)正好相反，对于客户端而言它就像是原始服务器，并且客户端不需要进行任何特别的设置。客户端向反向代理的命名空间(name-space)中的内容发送普通请求，接着反向代理将判断向何处(原始服务器)转交请求，并将获得的内容返回给客户端，就像这些内容原本就是它自己的一样。
3、两者区别
从用途上来讲：
正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径，正向代理还可以使用缓冲特性减少网络使用率。
反向代理的典型用途是将防火墙后面的服务器提供给Internet用户访问，反向代理还可以为后端的多台服务器提供负载平衡，或为后端较慢的服务器提供缓冲服务。另外，反向代理还可以启用高级URL策略和管理技术，从而使处于不同web服务器系统的web页面同时存在于同一个URL空间下。
从安全性来讲：
正向代理允许客户端通过它访问任意网站并且隐藏客户端自身，因此你必须采取安全措施以确保仅为经过授权的客户端提供服务。
反向代理对外都是透明的，访问者并不知道自己访问的是一个代理。
而squid是一个forword/reverse proxy，两个功能兼备，一般可以作为局域网的上网缓存，此时作为正向代理。一般服务器会让squid作为前端，那就是充当反向代理，反向代理有很多软件都可以，比如nginx、lighttpd，但他们两个一般做不了正向代理。
4、透明代理（简单代理）：透明代理的意思是客户端根本不需要知道有代理服务器的存在，它改编你的request fields（报文），并会传送真实IP。注意，加密的透明代理则是属于匿名代理，意思是不用设置使用代理了，例如Garden 2程序。
参考& http://blog.csdn.net/iinel/article/details/4687760
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：191685次
积分：2457
积分：2457
排名：第6532名
原创：51篇
转载：50篇
评论：18条
(1)(1)(4)(10)(3)(1)(1)(11)(12)(14)(3)(13)(28)新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
空间积分0 信誉积分100 UID阅读权限10积分32帖子精华可用积分32 专家积分0 在线时间35 小时注册时间最后登录
白手起家, 积分 32, 距离下一级还需 168 积分
帖子主题精华可用积分32 专家积分0 在线时间35 小时注册时间最后登录
论坛徽章:0
透明代理使用HTTPS访问站点的时候不能正常访问，只有在IE里指定了代理服务器地址后才能正常访问。
网上搜索了有一段时间了，没找到正解，我把查看到的一些资料发下，大家一块看
上面分别是由于2个原因早成的，不过我都试验过，没成。呵呵。有人说HTTPS不能被透明代理。这也是个观点。
还有一个网址，我照他的配置结果遇到了跟他一样的问题
大家参阅吧，看有啥灵感
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
空间积分804 信誉积分103 UID阅读权限70积分6460帖子精华可用积分6460 专家积分1552 在线时间1511 小时注册时间最后登录
富足长乐, 积分 6460, 距离下一级还需 1540 积分
帖子主题精华可用积分6460 专家积分1552 在线时间1511 小时注册时间最后登录
论坛徽章:0
帖配置文件吧~
空间积分0 信誉积分206 UID阅读权限20积分389帖子精华可用积分389 专家积分0 在线时间115 小时注册时间最后登录
稍有积蓄, 积分 389, 距离下一级还需 111 积分
帖子主题精华可用积分389 专家积分0 在线时间115 小时注册时间最后登录
论坛徽章:0
https 可以透明, 我正用着..自己做一个密钥.
https_port 12312&&transparent cert=/usr/local/squid/etc/proxy.cert key=/usr/local/squid/etc/proxy.key&&version=1
这样就可以了
iptables 需要转发 12312
空间积分0 信誉积分182 UID9449206阅读权限10积分17帖子精华可用积分17 专家积分0 在线时间315 小时注册时间最后登录
白手起家, 积分 17, 距离下一级还需 183 积分
帖子主题精华可用积分17 专家积分0 在线时间315 小时注册时间最后登录
论坛徽章:0
https 可以透明代理，
但似乎没有意义，因为https不能cache，
所以，就直接forward 443端口了。
吃全谷时蔬粗粮青菜.
不吃肉鱼虾蛋奶蜜.
四低一高:高纤维,低蛋白.低盐.低油.低糖.
不吃葱蒜韭味精香菜.
素食勤俭敬老孝慈QQ群：4161619
空间积分0 信誉积分135 UID95889阅读权限20积分847帖子精华可用积分847 专家积分1 在线时间151 小时注册时间最后登录
丰衣足食, 积分 847, 距离下一级还需 153 积分
帖子主题精华可用积分847 专家积分1 在线时间151 小时注册时间最后登录
论坛徽章:0
原帖由 signmem 于
20:34 发表
https 可以透明, 我正用着..自己做一个密钥.
https_port 12312&&transparent cert=/usr/local/squid/etc/proxy.cert key=/usr/local/squid/etc/proxy.key&&version=1
这样就可以了
iptables 需要转发 12312
你这个已经不透明了，服务器证书都被你换掉了。
正如apache不支持https的name virtual host一样道理，squid也不可能支持https的透明代理
空间积分0 信誉积分100 UID阅读权限10积分32帖子精华可用积分32 专家积分0 在线时间35 小时注册时间最后登录
白手起家, 积分 32, 距离下一级还需 168 积分
帖子主题精华可用积分32 专家积分0 在线时间35 小时注册时间最后登录
论坛徽章:0
经高人指点，我把443的请求全部在IPTABLES上做转发，不让他过SQUID代理了。
北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号：
广播电视节目制作经营许可证(京) 字第1234号
中国互联网协会会员&&联系我们：
感谢所有关心和支持过ChinaUnix的朋友们
转载本站内容请注明原作者名及出处关于CentOS和Ubuntu等系统的运维
21:47:20当前位置&:&&& &HTTP/HTTPS自动加密上网方案
HTTP/HTTPS自动加密上网方案
作者: /分类: /Tag:, , &
文章目录[]
这里主要介绍电脑无需任何设置，就能够自动加密代理特定网站的HTTP/HTTPS协议。
涉及到的软件
: 一个流行的域名解析服务器，我们可以设置哪些域名需要走加密线路。
: 使用TLS对tcp协议进行加密，也就是对tcp建立一条加密线路。
SNI Proxy: 代理软件。对于HTTP协议，它可以根据Host请求头解析得出目标站IP;对于HTTPS协议，它可以根据SNI扩展中的域名解析得出目标站IP。
此方案优缺点
无需手动设置任何代理，就能够自动加密代理特定网站的HTTP或HTTPS协议
相对于我们常用的ssh隧道，ssh隧道是单路，而此方案是支持多并发连接，可以极大加速网站访问。
对于代理HTTPS协议，需要发起HTTPS连接的客户端，比如浏览器支持TLS的SNI扩展。好消息是目前浏览器几乎都支持此扩展，但对于一些非浏览器的客户端，不支持SNI扩展。我们只能设置正向代理来解决此问题。
1、首先我们需要准备三台服务器，一台是内网DNS服务器(安装)，一台是内网代理服务器（安装stunnel），另一台国外服务器(安装stunnel,)。
2、我们还需要设置DNS为内网的DNS，并在内网bind dns设置谷歌域名解析的IP为内网代理服务器
3、当我们访问谷歌网站时，首先会向内网DNS服务器发送DNS A记录查询，此时内网DNS服务器会返回内网代理服务器的IP。
4、浏览器得到谷歌域名的解析IP后（即内网代理服务器的IP），会向内网代理服务器发送HTTP或HTTPS请求。
5、此时内网代理服务器（即stunnel），会接收到请求，经过加密，把请求转发到国外服务器(stunnel)的指定端口上。
6、国外服务器(stunnel)接收到来自国内服务器(stunnel)的加密数据后，经过解密，把请求转发到sniproxy。
7、sniproxy再根据HTTP Host请求头或者HTTPS sni扩展的域名解析出谷歌服务器的IP，并把请求转发给谷歌服务器。
8、谷歌服务器收到来自sniproxy发送的请求后，马上返回网页内容给sniproxy，sniproxy再原路返回数据给浏览器。
由于时间有限，我们仅在 server 12.04演示安装。
系统：Ubuntu server 12.04
内网DNS IP:
10.96.153.201(主)，10.96.153.204(从)
内网代理服务器： 10.96.153.204
国外服务器IP: 1.2.3.4
1、在主DNS和从DNS安装bind,即10.96.153.201(主)，10.96.153.204(从)。
wget http://www.isc.org/downloads/file/bind-9-10-0b1-2/?version=tar.gz -O bind-9-10-0b1-2.tar.gz
tar xzf bind-9-10-0b1-2.tar.gz
cd bind-9-10-0b1-2
./configure --prefix=/usr/local/bind
make && make install
2、配置主DNS服务器(10.96.153.201)
2.1、生成/usr/local/bind/etc/rndc.key密钥文件
/usr/local/bind/sbin/rndc-confgen -a -k rndckey -c /usr/local/bind/etc/rndc.key
2.2、编辑/usr/local/bind/etc/named.conf，写入如何内容：
include &/usr/local/bind/etc/rndc.key&;
controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { &rndckey&; }; };
channel default_syslog { syslog local2; };
channel audit_log { file &/var/log/bind.log&; print- };
category default { default_ };
category general { default_ };
category security { audit_ default_ };
category config { default_ };
category resolver { audit_ };
category xfer-in { audit_ };
category xfer-out { audit_ };
category notify { audit_ };
category client { audit_ };
category network { audit_ };
category update { audit_ };
category queries { audit_ };
category lame-servers { audit_ };
&& &directory &/usr/local/bind/etc&;
pid-file &/usr/local/bind/var/run/bind.pid&;
transfer-format many-
interface-interval 0;
forwarders { 202.96.128.166;202.96.134.133; };
allow-query {};
file &.zone&;
allow-transfer { 10.96.153.204; };
在这个named.conf文件中，我们只需要关心如下内容：
对于options{}区域，202.96.128.166和202.96.134.133这两个是ISP提供的本地DNS，需要修改为自己所在ISP的本地DNS。
对于zone ""{}区域，这里定义了域名的区域文件.zone，还有允许10.96.153.204（即从DNS）同步区域文件。
2.3、建立.zone区域文件
@ IN SOA . . (
& ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
ns1 IN A 10.96.153.201
ns2 IN A 10.96.153.204
@ IN A 10.96.153.204
* IN A 10.96.153.204
对于这个区域文件，
ns1 IN A 10.96.153.201 指向第一个dns服务器，即主DNS。
ns2 IN A 10.96.153.204 指向第二个dns服务器，即从DNS。
@ IN A 10.96.153.204和* IN A 10.96.153.204指向内网的代理服务器(stunnel)。我们只需要修改这三个地方就好了。
3、配置从DNS服务器(10.96.153.204)
编辑named.conf，写入如下内容
channel default_syslog { syslog local2; };
channel audit_log { file &/var/log/bind.log&; print- };
category default { default_ };
category general { default_ };
category security { audit_ default_ };
category config { default_ };
category resolver { audit_ };
category xfer-in { audit_ };
category xfer-out { audit_ };
category notify { audit_ };
category client { audit_ };
category network { audit_ };
category update { audit_ };
category queries { audit_ };
category lame-servers { audit_ };
&& &directory &/usr/local/bind/etc&;
pid-file &/usr/local/bind/var/run/bind.pid&;
transfer-format many-
interface-interval 0;
forwarders { 202.96.128.166;202.96.134.133; };
allow-query {};
file &.zone&;
masters { 10.96.153.201; };
配置从DNS就简单得多，只需要写入如上内容到named.conf文件。同样的，
options{}中202.96.128.166和202.96.134.133这两个是当地ISP本地dns。
zone ""{}中10.96.153.201指明主DNSIP。
4、启动bind dns服务器
/usr/local/bind/sbin/named
安装Stunnel
1、在内网代理服务器和国外主机安装stunnel
apt-get install stunnel4
2、内网代理服务器stunnel配置
编辑/etc/default/stunnel4，设置ENABLED=1。
编辑/etc/stunnel/stunnel.conf，内容如下：
client = yes
pid = /etc/stunnel/stunnel.pid
accept = 80
connect = 1.2.3.4:8082
accept = 443
connect = 1.2.3.4:4433
此配置文件表示，监听了80端口，并把此端口流量转发到1.2.3.4:8082，监听了443端口，并把此端口流量转发到1.2.3.4:4433
3、国外服务器stunnel配置
3.1、生成ssl证书stunnel.pem文件
openssl genrsa -out key.pem 2048
openssl req -new -x509 -key key.pem -out cert.pem -days 1095
cat key.pem cert.pem && /etc/stunnel/stunnel.pem
3.2、编辑/etc/stunnel/stunnel.conf文件
client = no
accept = 1.2.3.4:8082
connect = 127.0.0.1:8082
cert = /etc/stunnel/stunnel.pem
accept = 1.2.3.4:4433
connect = 127.0.0.1:4433
cert = /etc/stunnel/stunnel.pem
此配置文件表示，监听了1.2.3.4:8082，并转发此地址流量到127.0.0.1:8082，监听了1.2.3.4:4433，并转发给地址流量到127.0.0.1:4433。
3.3、编辑/etc/default/stunnel4，设置ENABLED=1。
4、启动stunnel
service stunnel4 start
安装sniproxy
sniproxy项目地址：/dlundquist/sniproxy
1、安装sniproxy
同样只演示在ubuntu server 12.04安装。
1.1、安装UDNS
mkdir udns_packaging
cd udns_packaging
wget /ubuntu/pool/universe/u/udns/udns_0.4-1.dsc
wget /ubuntu/pool/universe/u/udns/udns_0.4.orig.tar.gz
wget /ubuntu/pool/universe/u/udns/udns_0.4-1.debian.tar.gz
tar xfz udns_0.4.orig.tar.gz
cd udns-0.4/
tar xfz ../udns_0.4-1.debian.tar.gz
dpkg-buildpackage
dpkg -i *.deb
1.2、安装sniproxy
apt-get install autotools-dev cdbs debhelper dh-autoreconf dpkg-dev gettext libev-dev libpcre3-dev libudns-dev pkg-config
wget /dlundquist/sniproxy/archive/master.zip
unzip master.zip
cd sniproxy-master/
dpkg-buildpackage
dpkg -i *.deb
2、配置sniproxy
/etc/sniproxy.conf内容如下：
user daemon
pidfile /var/run/sniproxy.pid
error_log {
&& &syslog deamon
&& &priority notice
listen 127.0.0.1:8082 {
&& &proto http
&& &table http_hosts
table http_hosts {
&& & & &.*& & & *:80
listen 127.0.0.1:4433 {
&& &proto tls
&& &table https_hosts
table https_hosts {
此配置文件表示，监听了127.0.0.1:8082地址，并解析http协议中的Host请求头为IP，然后转发请求到此IP;监听了127.0.0.1:4433地址，并解析TLS中SNI扩展中的域名为IP，并转发请求到此IP。
3、启动sniproxy
到目前为止，我们已经搭建完成了整套HTTP/HTTPS加密代理方案。方案中的HTTP明文协议，利用stunnel使用了TLS加密，变成了HTTPS协议，使得数据包无法被解析出明文。方案中的HTTPS协议，本身是加密的，但为了防止SNI扩展的中域名被嗅探，还是走了stunnel的加密通道。对于发送HTTPS请求而不支持SNI扩展的客户端，需要手动设置下代理。下一篇博文我们来介绍加密的正向代理方案。
转载请标明文章来源:《》
遇到问题无法解决？点寻求支持
该日志由 朱 茂海 于日发表在分类下，
通告目前不可用，你可以至底部留下评论。
转载请注明:
关键字: , ,
【上一篇】
【下一篇】
您可能感兴趣的文章: