Abstrak
Saya memerlukan koneksi TCP terenkripsi dari banyak klien ke satu port melalui internet. Bisakah ini diwujudkan dengan Squid?
Situasi konkret
Kami menggunakan solusi pemantauan dan manajemen klien di perusahaan kami yang dapat diakses melalui LAN dan VPN. Seharusnya sekarang dapat diakses dari notebook eksternal yang tidak menggunakan VPN perusahaan . Komunikasi harus dienkripsi (TLS). Otentikasi klien harus menggunakan sertifikat klien. Komunikasi dimulai oleh klien dan menggunakan port TCP tunggal.
Hasil investigasi saya
NGINX Plus tampaknya menawarkan fitur ini tetapi admin kami lebih suka squid atau apache. Di wiki squid saya menemukan bahwa: Fitur: HTTPS (HTTP Secure atau HTTP over SSL / TLS) di mana penyandian TCP disebutkan. Tetapi saya juga menemukan peringatan ini:
Penting untuk diperhatikan bahwa protokol yang melewati CONNECT tidak terbatas pada yang biasanya ditangani oleh Squid. Secara harfiah apa pun yang menggunakan koneksi TCP dua arah dapat dilewatkan melalui terowongan CONNECT. Inilah sebabnya ACL standar Squid mulai dengan menolak CONNECT! SSL_Ports dan mengapa Anda harus memiliki alasan yang sangat bagus untuk menempatkan semua jenis aturan perbolehkan di atasnya.
Pertanyaan serupa
Pertanyaan ini Enkripsi koneksi klien dengan proxy squid forward menggunakan SSL adalah simlar, tetapi tidak memperlakukan proksi terbalik / proksi pemutusan TLS.
Apa yang perlu saya ketahui
Saya hanya memiliki pengetahuan dasar tentang teknologi itu dan admin kami menanyakan kelayakan umum.
- Bisakah Squid digunakan untuk menyimpan enkripsi koneksi TCP?
- Bisakah ini direalisasikan menggunakan otentikasi dengan sertifikat klien?
- Atau haruskah itu digunakan hanya untuk koneksi HTTPS?
sumber
CONNECT hanya digunakan oleh klien HTTP ke proxy HTTP untuk membuat terowongan melalui proxy. Tidak ada skema dalam HTTP untuk koneksi terenkripsi ke proxy HTTP.
Saya menduga proxy HTTP bukan yang Anda cari di sini.
Saya tidak tahu apakah Squid mendukung plug TCP dengan TLS dan sertifikat klien tetapi WinGate tidak. Ia juga memiliki kemampuan untuk memverifikasi UserPrincipalName di sertifikat ke Active Directory.
Penafian: Saya bekerja untuk Qbik yang merupakan penulis WinGate.
sumber