Ssl
使用 iptables 過濾 HTTPS(使用已知密鑰)
我需要在可以訪問與客戶端進行 SSL 通信所涉及的密鑰的伺服器上使用 iptables 過濾 HTTPS URL。
我發現很多資源說如果使用者不知道密鑰就無法做到這一點*,*但我知道 - 所以我想知道是否有辦法讓 iptables 使用密鑰解密 URL,然後做出過濾決定那個基礎。
我不認為,但我生活在希望中!
恐怕你敲錯門了。
iptables是一個很棒的工具,但它做的事情與你正在尋找的東西有點不同。這就像如何使用塑膠勺子操作指甲一樣 - 可能有效,但不是最好的工具……一般來說,我更喜歡一些反向代理來完成這項工作:
- 接受連接/處理 ssl 握手
- 應用過濾規則
- 基於允許未來通信的結果拒絕
很難說什麼是最好的——最好的就是你最了解的;-)。如果我應該按系統足跡排序(沒有額外的研究 - 自己的經驗/感覺)我會考慮這個順序
- haproxy(具有非常好的比率資源/性能的反向代理)
很容易開始。它可以完全滿足您的需求。
- nginx(具有反向代理功能的http伺服器)
具有反向代理功能的 Http 伺服器。它也可以解決您的問題,但由於它只是功能之一,因此可用的功能比您需要的要多得多…
- 阿帕奇 httpd
我已將 Apache httpd 放在最後,因為它幾乎可以讓您做任何事情,但如果您想要正確配置並且剛剛開始,配置可能會非常困難。如您所知,更多的選擇/可能性通常意味著更多的改變以犯錯誤;-)。