squid http-accelerator mode & ssl ?
Kilian Igor
Igor.Kilian na infogas.sk
Středa Leden 22 06:52:52 CET 2003
> -----Original Message-----
> From: Pavel Kankovsky [mailto:peak na argo.troja.mff.cuni.cz]
> On Tue, 21 Jan 2003, Kilian Igor wrote:
>
> > Prajem vsetkym prijemny den. Da sa spravit
> > bez packet forwardingu nieco taketo:
>
> "Packet forwardingem" se mini to, ze proxy prichozi spojeni prepoji
> na skutecny server, ale adresu klienta ponecha stejnou?
Na mysli mam nieco take, ze pouzijem NATko a potom cez redirector to
bachnem este raz inde. Takze nakoniec klient sice vidi IP adresu, ale
ta nesedi tej co je v skutocnosti.
Takto to viem spravit, ale je to neziaduce.
> > - prihlasi sa niekto na port 443 (https)
> > - dany server mu sprostredkuje spojenie
> > na uplne iny https server, ale on ako klient
> > sa o tom nedozvie a ani nevie o tom kam to vlastne
> > ide.
>
> Jsou-li splneny nasledujici podminky:
>
> 1. server nesmi nabonzovat jim pozorovanou adresu klienta, nebo musi
> byt zarizeno, aby videl adresu skutecneho klienta
Toto je splnitelne
> 2. server nesmi vyzadovat klientske certifikaty na urovni SSL/TLS
> (nebo musi byt mezi skutecnym serverem a skutecnym klientem
> jedno neprerusene SSL/TLS spojeni, ale to by trochu popiralo smysl
> toho akceleratoru)
prave toto je ten problem. Podla mojich vedomosti SSL spojenie nie je
mozne rozpojit. Takze nastavenie squidu na http-accelerator mode je
iba na http komunikaciu. Ci sa mylim? Vie mi niekto s urcitostou povedat
ci to dokaze, alebo nie? Ak nie aky soft to dokaze? Existuje nieco take?
> 3. klient musi od proxiny dostat certifikat, ktery odpovida adrese
> (jmenu), na ktere se pripojuje
toto asi squid mu v danom mode neposle
Další informace o konferenci Linux