Gerenciador de largura de banda usando o Squid

Question

Gerenciador de largura de banda usando o Squid

#1 resposta do (2 votos)

2

Estou tentando criar um software de distribuição na Internet para um ISP (um distribuidor da Internet ou uma escola ou outras organizações desse tipo) como o aqui

Ele terá restrições e políticas para os usuários limitarem a largura de banda / velocidade / duração, etc, de acordo com o pacote de conexão à Internet. Além disso, o administrador deve poder monitorar sua velocidade e bloquear / permitir usuários e renovar pacotes.

A arquitetura é como:

O pedido de cliente não https funciona bem. Mas a solicitação https está fornecendo SSL_ERROR conforme o esperado.

Eu li que o Squid não pode lidar com conexões https no modo de proxy transparente , mas eu não quero que os usuários definam o proxy no navegador todas as vezes.

Existe alguma outra maneira para que possamos contar todo o tráfego, incluindo o tráfego criptografado, usado por um usuário e moldar o tráfego de acordo?

bandwidth iptables squid linux bandwidth-measuring

por haywire 03.06.2013 / 15:11

1 resposta

Tags bandwidth iptables squid linux bandwidth-measuring

Revertendo para o Apache 2.2 no debian Validação de cluster: “Os servidores não estão todos na mesma unidade organizacional”

score 2 · Answer 1

Esta não é uma limitação do Squid, é uma limitação do próprio protocolo HTTPS. Se você tentar configurar um proxy HTTPS transparente, invariavelmente precisaria quebrar o canal de criptografia - caso contrário, o proxy não tem como saber qual site carregar. Então você basicamente escolhe entre

definindo um proxy HTTP em navegadores (que pode ser feito por autodiscovery BTW)
violar a segurança HTTPS encerrando o canal de criptografia no seu proxy Squid - BumpSSLServerFirst foi escrito com isso em mente . Para que isso funcionasse, seus clientes precisariam confiar na CA do Squid para assinar qualquer certificado - ele teria que ser instalado como uma CA raiz confiável em todos os clientes.

Como a configuração de certificados confiáveis da CA em todos os clientes parece ser mais trabalhosa do que apenas configurar um proxy HTTPS nas configurações do navegador, isso só faria sentido se você planejasse trabalhar com os dados descriptografados nas ACLs ou para o corpo de solicitação / resposta verificação.