Подскажите SNI Proxy

0

1

Всем привет,

Возникла необходимость в SNI Proxy чтобы направлять HTTPS трафик в один интерфейс или другой. Важный аспект: мне не надо перепаковывать SSL трафик, просто посмотреть заголовок и отправить в одну сторону или другую.

Обычно если нужен HTTP Proxy на Линукс я беру Squid, но данный функционал у него отсустсует, точнее он есть, но надо настраивать SSL Bump.

Подскажите пожалуйста, какой софт для этого использовать? Чтобы не поделка с Github, а нормальное взрослое приложение.

Заранее благодарю.

Важное дополнение: сервер должен поддерживать обширные списки правил для доменов, плюс-минус 10 000.

Диаграма того что надо: https://imgur.com/a/78lwZuz

← Настройка своего DNS (Bind9)

Слетела файловая система на внешнем HDD →

Возможно это получится сделать с помощью xray, документация у него не очень правда

Gary ★★★★★
(13.12.24 16:11:33 MSK)

Если перепаковывать не надо, то, по-идее, морочиться с сертификатами для ssl_bump не нужно. На первой стадии делаешь peek, на второй - splice. А фильтруешь по acl sites ssl::server_name .example.com

anonymous
(13.12.24 16:33:57 MSK)

т.к. это всё делается для обхода блокировок.

теперь это как бы запрещено обсуждать по закону, сейчас бан получишь от @Dimez

~~ann_eesti~~
(13.12.24 16:36:02 MSK)

Ответ на: комментарий от anonymous 13.12.24 16:33:57 MSK

Только клиент должен использовать прокси. Прозрачно перенаправить не получится.

anonymous
(13.12.24 16:37:26 MSK)

Есть sniproxy, но это «поделка» на гитхабе https://github.com/dlundquist/sniproxy :)

А в squid можно делать peek, чтобы не разворачивать ssl, но не знаю можно потом раскидывать, я пользуюсь в основном для сбора статистики sni.

sergej ★★★★★
(13.12.24 16:48:39 MSK)
Последнее исправление: sergej 13.12.24 16:51:24 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous 13.12.24 16:37:26 MSK

Перенаправление на другую прокси (cache_peer) по sni прозрачно у меня работает через ssl peek, но я не уверен что нужно именно это

sergej ★★★★★
(13.12.24 16:50:52 MSK)

это всё делается для обхода блокировок

Если ещё есть возможность редактировать исправь на «это всё делается в образовательных целях». Иначе тему снесут, а она полезная.

Jameson ★★★★★
(13.12.24 16:58:26 MSK)

Ответ на: комментарий от Gary 13.12.24 16:11:33 MSK

не, у меня не настолько серьехная система.

alex07 ★
(13.12.24 17:00:07 MSK) автор топика

Ответ на: комментарий от anonymous 13.12.24 16:33:57 MSK

Спасибо. Поизучаю.

alex07 ★
(13.12.24 17:00:19 MSK) автор топика

Ответ на: комментарий от ann_eesti 13.12.24 16:36:02 MSK

теперь это как бы запрещено обсуждать по закону

Упс. Что-то я протупил, сейчас удалю.

alex07 ★
(13.12.24 17:00:47 MSK) автор топика

Ответ на: комментарий от sergej 13.12.24 16:50:52 MSK

но я не уверен что нужно именно это

Нет, почему же, это вполне может сработать.

alex07 ★
(13.12.24 17:02:18 MSK) автор топика

Ответ на: комментарий от Jameson 13.12.24 16:58:26 MSK

Иначе тему снесут, а она полезная.

Исравил уже.

alex07 ★
(13.12.24 17:02:48 MSK) автор топика

v2fly/xray, опция sniffing

ValdikSS ★★★★★
(13.12.24 17:06:09 MSK)
Последнее исправление: ValdikSS 13.12.24 17:06:20 MSK (всего исправлений: 1)

Если хочется быстро, то силами netfilter можно обойтись: xt_tls + connmark должно быть достаточно.

Anoxemian ★★★★★
(13.12.24 17:06:59 MSK)

Ответ на: комментарий от ValdikSS 13.12.24 17:06:09 MSK

v2fly/xray, опция sniffing

О, привет, много читал вас в интернете по этим темам, не думал что лично будем разговаривать.

Благодарности вам за работу.

alex07 ★
(13.12.24 17:26:37 MSK) автор топика

Ответ на: комментарий от Anoxemian 13.12.24 17:06:59 MSK

Если хочется быстро

Вот я нарисовал изначальную задумку того что именно хочу сделать: https://imgur.com/a/78lwZuz

Почему после VPN стоит также прокси? Скажем так, на другом берегу всё тоже очень и очень печально с доступом ко многим сайтам. Кто-то неправильно пути прописал и теперь не открываются.

alex07 ★
(13.12.24 17:35:19 MSK) автор топика

← Настройка своего DNS (Bind9)

General

Слетела файловая система на внешнем HDD →

Похожие темы