У меня есть такая задача: есть много клиентов, которым в DNS подменяются IP-адреса некоего небольшого набора доменов на нужный мне адрес.
Мне нужно повесить там Squid (в идеале на прямо на 443 порту) чтобы он ловил TLS-handshake, смотрел имя хоста к которому коннектится клиент в хёдере SNI Client-Hello, резолвил это имя и устанавливал TCP-туннель между клиентом и сервером.
Т.е. мне *не надо* делать MITM, наоборот нужно чтобы у клиента всё было зелено и проверено, но траффик ходил через этот конкретный сервер.
В принципе, я подобного добился, сделав Intercept, SSL bump и завернув траффик с 443 порта на сквид через -j REDIRECT.
Но кальмар валится на том, что он ожидает увидеть IP назначения к которому коннектится клиент среди тех которые он разрезолвил для домена из TLS Hello (это нормально для обычного Intercept), но естественно они не совпадают т.к. коннект по факту не перехватывается, а адресован моему серверу.
Это security precaution и он никак не выключается, бай дизайн, так написано в доках. Я его, конечно, из сорцов выпилил, но хотелось бы узнать может есть способ попроще это сделать?
