透明ssl代理工具使用

工作项目上,需要在linux上搭建一个透明代理,用于代理ssl请求,并且使用自定义证书解密ssl请求。在网上找了一些工具试用,有开源的,也有不开源的,这里介绍下这个PolarPorxy。


工具官网为https://www.netresec.com/?page=PolarProxy,没有开源,但是有x64和arm版本,可以免费商用

操作步骤

1,在linux上下载安装。

这里安装的是x64版本,具体安装步骤见上面连接,略。

2,终端下载证书

使用另外一台机器访问 http://192.168.0.151:10080

(192.168.0.151为安装polarproxy的linux主机IP)

访问后可以直接下载证书

3,终端安装证书

PC上直接打开,一路下一步,三个步骤可以完成。其他设备的安装,例如android或者ios设备的证书安装参见我的其他文章。



4,终端上访问HTTPS网址

终端IP是192.168.0.215, polarproxyIP是192.168.0.151。

如果polarproxy安装在网关设备,应该只需要做一下端口转发就可以(443转发到polarproxy监听的10443)。本次试验的环境polarproxy不在网关,需要配置下网关上的防火墙规则

sudo iptables -I FORWARD -i eth1 -d 192.168.0.151 -p tcp --dport 10443 -m state --state NEW -j ACCEPT

sudo iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j DNAT --to 192.168.0.151 :10443

或者直接用curl的命令完成转发

终端没安装证书的话会提示证书不受信任


安装证书后,随便找个网址测试下

curl --ssl-no-revoke --connect-to www.sohu.com:443:192.168.0.151:10443 https://www.sohu.com/

实际测试,可以正常访问HTTPS网站

5,查看polarproxy的日志和抓包文件

logs polarproxy可以看到相关的解析日志,192.168.0.215(发送请求的终端),17660→443端口的请求,域名是www.sohu.com跳转到了polarproxy. action:decrypt后,生成了pcap文件


打开pcap文件,可以看到https://www.sohu.com的请求记录的是http明文请求



总结:工具和方案可行,可以在不影响正常上网的情况下,完成https内容的解密

存在的问题就是不开源,具体的性能影响不好评估。

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容