NATにはコンピュータルームがあります(dnsmasqおよびarno iptablesファイアウォールを使用)。そしてこのコンピュータ室は大学プロキシの内部にあるので、すべてのインターネットブラウジングは認証されなければなりません。トポロジは次のとおりです(申し訳ありませんが、私のASCIIアートは空です)。
クライアント - >サーバーeth1(内部) - >サーバーeth0(外部) - >認証を含む大学プロキシ - >インターネット
一般的に、学生はブラウザにプロキシを設定するように指示しますが、それ以上はありません。しかし最近、私たちは認証を必要とするコマンドラインからクライアントを使い始めました。たとえば、git push and pull、rstudioダウンロードパッケージ、emacsなどがあります。このユースケースでは、学生に変数https_proxyと関連変数をエクスポートするように指示します。これは時々動作しますが、常にそうではありません。コマンドラインを常に忘れたり、後で使用するために.bashrcに保存しないなどの問題があります。特に、emacsはこれらの変数を厳密に尊重せず、emacsで再認証しないとパッケージなどを簡単にインストールすることはできません。
それで、昨日、ローカルクライアントで遊んで、実際の大学プロキシにトラフィックを転送して認証するキャッシュ_ピアを使用するイカと一緒にローカルプロキシを使用すると、emacsが問題なく動作することがわかりました(プロキシを設定するだけです)。では認証は必要ありません)。だから、すべての学生を対象にこれを複製し、サーバーにイカをインストールして透明なプロキシにしてみましたが、うまくいきませんでした。 Bad HelloメッセージなどのSSLエラーが発生し続けます。
だから私の質問は:クライアントが物理プロキシを設定せずにコンソールで接続を使用できるように、すべての接続を物理プロキシに転送し、認証に単一のアカウントを使用する透過プロキシを設定できますか? ?私は学生がコマンドラインナビゲーションをより簡単にするためにSSLトラフィックを制限したくありません。
サーバーには、squid3、トランスペアレントプロキシプラグインが有効なarno iptablesファイアウォール、サーバーで構成されたゲートウェイクライアントを持つdnsmasqがあります。私はiptablesについてはよくわかりませんが、学習しようとしています。私はインターネットで多くの例を試しましたが、成功しませんでした。ブロックが認証と競合して不可能になる可能性があります...
私の現在のイカの構成は次のとおりです。https://stackoverflow.com/questions/10787087/use-elpa-emacs-behind-a-proxy-requiring-authentication):
# Allow all for now
acl all src all
http_access allow all
icp_access allow all
never_direct allow all
# logs
access_log /var/log/squid/access.log squid
# turn off proxy-headers (no idea what is it :))
via off
forwarded_for off
# describe external proxy server
cache_peer <proxy_ip> parent <proxy_port> 0 no-query default proxy-only login=<my_login>:<my_password>
http_port 10000 transparent
acl port10000 myport 10000
cache_peer_access <proxy_ip> allow port10000
acl CONNECT method CONNECT
事前にありがとう