问题标签 [transparentproxy]

我在 Kubernetes 上运行了两个 pod。为简化起见，我们称它们为 A 和 B。A 是一个发出 HTTP 请求的应用程序。B是在透明模式下运行的代理。问题是我应该如何更改 iptables 规则，以便来自 A 的流量通过 B pod？

我尝试了以下方法，但它不起作用。有人可以帮我解决吗？

当前有关如何设置透明代理的文档不包括 Windows：https ://docs.mitmproxy.org/stable/howto-transparent/

我想知道是否有人可以向我解释如何在我的 Windows 计算机上设置透明代理？

我的最终目标是能够让 Android 应用程序数据通过 mitmproxy。
我最初使用常规代理，但是，我无法使用需要互联网的应用程序。

我正在尝试研究一种使用 TLS-PSK 作为其密码套件进行服务器身份验证的设备。但是，mitmproxy 和 Burp Suite 都支持 TLS-PSK 密码。对于 Burp，这是不支持它的底层 Java/BouncyCastle 实现。

谁能推荐一个选项来代理来自使用 TLS-PSK 的设备的流量？

我有两个码头实例。第一个 Jetty 实例有一个外部端口。所有请求都来自第一个 Jetty 实例。一些请求需要重定向到第二个 Jetty 实例。该证书将在第二个码头进行验证。

使用码头 (9) 的最佳方法是什么？

先感谢您。

我有如下设置来检查来自设备的流量。

Device <---> MitmProxy (Transparent Proxy mode) + Wireshark <---> Internet

用于调用 MitmProxy 的命令：SSLKEYLOGFILE="$PWD/mitmproxy/sslkeylogfile.txt" mitmweb --mode transparent --showhost

MitmProxy 支持记录 SSL/TLS 主密钥，这允许 Wireshark 解密相应的 TLS 流量。

但是，我注意到我的内容SSLKEYLOGFILE仅包含CLIENT_RANDOM解密 TLS 1.2 流量的行。

要解密 TLS 1.3 流量，我知道需要 4 secrets- CLIENT_HANDSHAKE_TRAFFIC_SECRET、和SERVER_HANDSHAKE_TRAFFIC_SECRET，我的.CLIENT_TRAFFIC_SECRETSERVER_TRAFFIC_SECRETSSLKEYLOGFILE

在此设置中如何继续解密 TLS 1.3？

我们正在寻求设置一个透明代理。这将由我们网络之外的用户使用。我们希望他们的 IP 能够通过。即我们没有在互联网上使用代理的 ip。

透明模式仅在用户位于子网内时才起作用。那是对的吗？有没有办法做我们需要的？

我们毫无乐趣地尝试了 Nginx 和 Squid。

我想写一个透明代理，为系统设置默认路由0.0.0.0，让所有数据包通过我的tun（或windows上的wintun）设备。

通过这样做，我可以从 tun 设备读取 Ip 帧，并注入我的 lwip 网络堆栈进行处理。

为了学习如何做，我只是阅读了一些透明的工具，例如https://github.com/eycorsican/leaf/blob/d35e649e620ab9f49be927962849f31e81054230/leaf/src/proxy/tun/inbound.rs#L111

但我陷入了路由循环。0.0.0.0 默认路由将路由所有数据包通过tun，所以我可以读取所有系统数据包。

如果将数据包写入 tun 设备，然后内核做出路由决定，它会在那里看到默认路由并将其再次发送到我刚刚编写的 tun 设备。

我的问题是：

它会读取我刚刚写的数据包吗？

如果没有，内核或 tun 设备如何避免这种情况？

正如https://superuser.com/a/1614808/944262的回答所说

要么使用网络命名空间（然后你可以有两个默认路由）

我确实知道用户网络堆栈可以解析从 tun 设备读取的 Ip 帧，但是使用它的目的是什么？

我是https://superuser.com/questions/1664065/tun-device-how-to-avoid-routing-dead-loop-when-write-a-transparent-proxy的作者。我来这里是为了你的帮助；）

我不知道这是一个错误还是我刚刚配置了错误。

我在一个 IP 为 192.168.1.1 的 OpenWrt 路由器上，它作为另一个 IP 为 192.168.0.1 的路由器的客户端。

OpenWrt 路由器有一个防火墙规则，它基本上通过基于 192.168.0.1 路由器网络的主机为其网络上的任何客户端发送所有互联网。

此主机的 IP 为 192.168.0.6，并且运行的是最新mitmproxy --mode transparent版本 7。

当我在 192.168.1.1 的网络上使用客户端时，会mitmproxy崩溃，并且我在终端中收到此错误消息。

我想知道我的防火墙设置是否从请求标头中剥离了一些重要的东西。

目前它说从 wan 重定向到 lan

我读到 HTTP 代理应该删除跳 HTTP 标头（https://www.freesoft.org/CIE/RFC/2068/143.htm）

这是有道理的，因为其中一些标头与连接相关。

问题是。此 RFC 是否仅适用于显式代理，还是应该在透明 HTTP 代理上完成？

只是给你一个例子。假设一个客户端进行 HTTP 调用并且它有一个明确的代理集。但是，中间有一个透明代理。所以，整个管道看起来像这样

显式代理可能需要身份验证并将发回Proxy-Authenticate标头。

如果透明代理删除此标头（根据 RFC），则不会提示客户端进行身份验证，也不会起作用。

这个立即跳了出来，但我认为当透明代理看起来不应该接触逐跳标头时，可以设想其他一些场景。

我是否遗漏了某些内容或逐跳删除规则仅适用于显式代理？

问题： 我们的系统在 AWS 上运行，使用外部服务，我们需要测试它的特定流程/API。没有办法完全模拟这个外部服务。

期望的解决方案： 我们需要网络上的实体来监视、捕获来自内部服务的特定消息并以外部服务的名称回复。我不知道这是否可行。到目前为止，我发现我们可能需要一个透明代理。也许鱿鱼...

问题： 您能推荐一个可以完成上述任务的解决方案（框架、工具等）吗？如果您可以详细说明如何实施，那也很棒。