Ssl

使用 iptables 過濾 HTTPS(使用已知密鑰)

  • April 29, 2019

我需要在可以訪問與客戶端進行 SSL 通信所涉及的密鑰的伺服器上使用 iptables 過濾 HTTPS URL。

我發現很多資源說如果使用者不知道密鑰就無法做到這一點*,*但我知道 - 所以我想知道是否有辦法讓 iptables 使用密鑰解密 URL,然後做出過濾決定那個基礎。

我不認為,但我生活在希望中!

恐怕你敲錯門了。iptables是一個很棒的工具,但它做的事情與你正在尋找的東西有點不同。這就像如何使用塑膠勺子操作指甲一樣 - 可能有效,但不是最好的工具……

一般來說,我更喜歡一些反向代理來完成這項工作:

  • 接受連接/處理 ssl 握手
  • 應用過濾規則
  • 基於允許未來通信的結果拒絕

很難說什麼是最好的——最好的就是你最了解的;-)。如果我應該按系統足跡排序(沒有額外的研究 - 自己的經驗/感覺)我會考慮這個順序

  • haproxy(具有非常好的比率資源/性能的反向代理)

很容易開始。它可以完全滿足您的需求。

  • nginx(具有反向代理功能的http伺服器)

具有反向代理功能的 Http 伺服器。它也可以解決您的問題,但由於它只是功能之一,因此可用的功能比您需要的要多得多…

  • 阿帕奇 httpd

我已將 Apache httpd 放在最後,因為它幾乎可以讓您做任何事情,但如果您想要正確配置並且剛剛開始,配置可能會非常困難。如您所知,更多的選擇/可能性通常意味著更多的改變以犯錯誤;-)。

引用自:https://serverfault.com/questions/965061