截取http代理-与普通代理相比有缺点

Question

我想知道如何“现实”考虑实现一个拦截代理(带有缓存支持)用于目的的web过滤。我还想支持IPv6、客户端身份验证和缓存。

阅读实现拦截代理的squid http://wiki.squid-cache.org/SquidFaq/InterceptionProxy的缺点列表时，它提到了在使用它时需要考虑的一些缺点(我想澄清这一点)：

?

• Interception

• 要求具有NAT代理的IPv4不支持IPv6，为什么？

• 会导致path-MTU (PMTUD)可能失败--为什么？

• 代理身份验证不起作用--客户端认为它是直接与原始服务器对话，在这种情况下，进行身份验证的一种方法是只支持HTTP协议，而不是gopher、SSL或FTP。您不能为HTTP以外的其他协议设置重定向规则--因为它将不知道如何处理它--这似乎很有道理，因为在这种情况下，将流量重定向到代理的方式是通过防火墙将数据包的目标地址从原始服务器更改到代理自己的地址(目的地NAT)。在这种情况下，如果我想拦截除http之外的其他协议，如何知道连接的目的地，以便将其中继到目的地?

Answer 1

1. 流量可以通过多种方式被截获。它不一定需要使用NAT (IPv6中不支持NAT)。例如，透明拦截肯定不会使用NAT (透明的意思是，代理不会用自己的地址而使用客户端地址生成请求，欺骗IP address).
2. PMTUD用于检测客户端和服务器之间路径中可用的最大MTU大小，反之亦然)，这对于避免客户端和服务器之间路径上的Ip数据包碎片很有用。在中间使用代理时，即使检测到MTU，也不一定与从客户端到代理和从代理到服务器的代理相同。但这并不总是相关的，它取决于服务的流量和代理的行为方式。如果代理代表客户端进行身份验证，则需要知道身份验证方法，并且可能需要客户机中存在的一些cookie。这样想吧..。如果代理可以代表您验证对受限资源的访问，这意味着任何人都可以代表您进行身份验证，而好的身份验证的目的是保护您不受这样的possibilities.
3. I猜测--这是Squid的一个非常老的帖子，但是技术存在，可以将任何您想要的东西重定向到特定的服务器。一个简单的方法是将您的服务器作为网络的默认网关，然后所有的数据包都通过它，您可以将您喜欢的数据包重定向到您的应用程序(或其他服务器)。您不仅限于HTTP，还限于应用程序协议的工作方式。