SSLsplit 是攔截和重新加密 wifi 路由器上的 HTTPS 流量的正確工具嗎？

我希望通過攔截其 HTTPS 流量來對在各種設備上執行的產品進行漏洞研究，但除了安裝自定義證書之外，我不想修改這些設備。

似乎**SSLsplit 可以滿足我的要求，因為它允許 “連接$$ to be $$通過網路地址轉換引擎透明攔截並重定向到“SSLsplit ”。據我了解，這些NAT規則不必在執行MITM-ed應用程序的設備上定義，我可以自定義iptables來重定向路由器在執行Fruity Wifi或OpenWRT的設備上通過SSLsplit**的流量。

SSLsplit與修改後的 iptables 規則是否足夠和合理的方式來解決這個問題，或者我是否也必須修改 Linux 網路系統的其他部分？

**注意：**我正在嘗試建構的系統要求設備將證書安裝到受信任的根儲存以“選擇加入”此攔截。我不是想建立一個系統來攔截來自不情願的設備的任意流量。

這裡有兩個部分：作為客戶端連接的 Web 伺服器的 SSLsplit，以及交換數據包中的目標地址以將它們重定向到 SSLsplit 伺服器的 NAT。

需要在客戶端設備使用的路由器上設置 NAT，將數據包的目標地址從實際目標伺服器更改為 SSLsplit 伺服器。

然後 SSLsplit 可以獲取連接並做它的事情：連接到外部主機（在 TLS 握手中可用）並轉發響應。

因此，從網路角度來看，唯一的事情是您需要確保客戶端獲得這樣的網路選項，即它們的預設網關指向執行 NAT 的路由器。

引用自：https://serverfault.com/questions/838002