带有privoxy的iptables https透明代理？

Question

因此，我有一个privoxy运行(在端口8080)，在一个作为路由器的盒子。我的目标是在那里通过privoxy路由所有HTTP和HTTPS流量。HTTP可以使用以下命令

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

但是，它不适用于端口443。

为了使HTTP工作，我必须将privoxy的配置设置为“接收-截获-请求”为1。是否有类似的选项来拦截HTTPS请求？

我知道在Firefox上设置代理设置是可行的，但是如果代理是透明的，就更容易了。谢谢。

Answer 1

HTTPS的一个主要目的是防止“中间人”，这正是像这样的透明代理所要做的。要做到这一点，您需要有一个对所有内容都有效的证书，或者一个动态生成证书的系统。在任何一种情况下，您都需要一个内部CA (不已经被信任的外部CA将为您提供一个证书，用于您无法控制的任何内容)，并在代理后面的所有系统中作为受信任的用户安装该根。

配置浏览器代理选项可能是一项更合理的任务。也许可以通过某种类型的代理自动配置来实现这一点，但如果出于安全原因不可能这样做，我也不会感到惊讶(我以前从未真正研究过代理自动配置)。