拦截 http 代理 - 与普通代理相比的缺点

Question

我想知道出于网络过滤的目的考虑实现拦截代理（具有缓存支持）有多“现实”。我还想支持 IPv6、客户端身份验证和缓存。

阅读squid wiki 的缺点列表 http://wiki.squid-cache.org/SquidFaq/ InterceptionProxy 实现了拦截代理，它提到了使用它时需要考虑的一些缺点（我想澄清一下）：

1. 需要带有 NAT 的 IPv4 - 代理拦截不支持 IPv6， 为什么 ？
2. 它会导致路径 MTU (PMTUD) 可能失败 - 为什么？
3. 代理身份验证不起作用 - 客户端认为它正在直接与原始服务器对话，在这种情况下有没有办法进行身份验证？
4. 拦截缓存仅支持 HTTP 协议，不支持 gopher、SSL 或 FTP。您无法为除 HTTP 之外的其他协议设置到代理服务器的重定向规则，因为它不知道如何处理它 - 这似乎很合理，因为在这种情况下将流量重定向到代理的方式是通过防火墙更改来完成的数据包从原始服务器到代理自己的地址（目标 NAT）的目标地址。在这种情况下，如果我想拦截除 http 之外的其他协议，如何知道连接的目的地，以便我可以将其中继到该目的地？

Answer 1

1. 流量可能会通过多种方式被拦截。它不一定需要使用 NAT（IPv6 不支持）。例如，透明拦截肯定不会使用 NAT（透明是指代理不会使用自己的地址而是使用客户端地址生成请求，从而欺骗 IP 地址）。

2. PMTUD 用于检测客户端和服务器之间的路径中可用的最大 MTU 大小，反之亦然，它有助于避免客户端和服务器之间的路径上的 Ip 数据包碎片。当你在中间使用Proxy时，即使检测到MTU，也不一定与从客户端到代理、从代理到服务器的MTU相同。但这并不总是相关的，它取决于正在服务的流量以及代理的行为方式。

3. 如果代理代表客户端进行身份验证，则它需要了解身份验证方法，并且可能需要客户端中存在的一些 cookie。这样想...如果代理可以代表您验证对受限资源的访问，则意味着任何人都可以代表您执行此操作，而良好身份验证的目的就是保护您免受这种可能性的影响。

4. 我猜这是 Squid 人员发表的一篇非常古老的帖子，但是存在可以将您想要的任何内容重定向到特定服务器的技术。一种简单的方法是将您的服务器放置为网络的默认网关，然后所有数据包都通过它，您可以将您喜欢的数据包重定向到您的应用程序（或另一台服务器）。而且你不限于 HTTP，但你受限于应用程序协议的工作方式。