拦截 http 代理 - 与普通代理相比的缺点

Question

我想知道考虑实现一个拦截代理（支持缓存）以实现网络过滤的目的有多“现实”。我还想支持 IPv6、客户端身份验证和缓存。

阅读实现拦截代理的 squid wiki http://wiki.squid-cache.org/SquidFaq/InterceptionProxy 的缺点列表，它提到了使用它时需要考虑的一些缺点（我想澄清一下）：

1. 需要带有 NAT 的 IPv4 - 代理拦截不支持 IPv6，为什么？
2. 它可能导致路径 MTU (PMTUD) 失败 - 为什么？
3. 代理身份验证不起作用 - 客户端认为它直接与原始服务器通信，在这种情况下有办法进行身份验证吗？
4. 拦截缓存仅支持 HTTP 协议，不支持 gopher、SSL 或 FTP。您不能为 HTTP 以外的其他协议设置代理服务器的重定向规则，因为它不知道如何处理它 - 这似乎很合理，因为在这种情况下将流量重定向到代理的方式是通过防火墙更改从源服务器到代理自己地址的数据包的目标地址（目标 NAT）。在这种情况下，如果我想拦截除 http 之外的其他协议，我将如何知道连接的目的是什么，以便将其中继到该目的地？

Answer 1

1. 可以通过多种方式拦截流量。它不一定需要使用 NAT（IPv6 不支持）。例如，透明拦截肯定不会使用 NAT（透明是指 Proxy 不会使用自己的地址而是使用客户端地址生成请求，从而欺骗 IP 地址）。

2. PMTUD 用于检测客户端和服务器之间路径中可用的最大 MTU 大小，反之亦然，它对于避免客户端和服务器之间路径上的 Ip 数据包碎片很有用。中间使用Proxy时，即使检测到MTU，也不一定和client到proxy和proxy到server的一样。但这并不总是相关的，它取决于所提供的流量以及代理的行为方式。

3. 如果代理代表客户端进行身份验证，它需要了解身份验证方法，并且可能需要客户端中存在的一些 cookie。可以这样想……如果代理可以代表您对受限资源的访问进行身份验证，则意味着任何人都可以代表您执行此操作，并且良好身份验证的目的是保护您免受此类可能性的影响。

4. 我猜这是来自 Squid 家伙的一篇非常古老的帖子，但存在将您想要的任何内容重定向到特定服务器的技术。一种简单的方法是将您的服务器作为网络的默认网关，然后所有数据包都通过它，您可以将您喜欢的数据包重定向到您的应用程序（或另一台服务器）。而且您不限于 HTTP，但您仅限于应用程序协议的工作方式。