ভিপিএন ছাড়াই টিএলএসের মাধ্যমে সমস্ত ওয়েব ট্র্যাফিক পুনঃনির্দেশ করুন

অনুমিতি:

সার্ভার:

• আমার একটি দেবিয়ান স্কুইজ সার্ভার রয়েছে, একটি স্থির আইপিভি 4 ঠিকানা সহ পাবলিক ইন্টারনেটে রাউটেবল।
• সার্ভারে থাকা সফ্টওয়্যারটি সংশোধন করার জন্য আমার সীমাহীন অ্যাক্সেস রয়েছে।
• সার্ভার নির্বিচারে পোর্টগুলিতে শুনতে পারে, ফায়ারওয়াল বিধিগুলি পুনরায় কনফিগার করতে পারে, সার্ভারটি কী করা যায় তা নিয়ে কোনও বিধিনিষেধ নেই।

ক্লায়েন্ট:

• আমি ফায়ারফক্স, জাভা প্রোগ্রাম,। নেট প্রোগ্রাম এবং কিছু স্থানীয় এক্সিকিউটেবল চালাতে পারি যেগুলির জন্য আমার স্থানীয় সিস্টেমে অ্যাডমিন অ্যাক্সেসের প্রয়োজন নেই (অ্যাডমিনের কোনও অধিকার নেই এমন একটি লকডাউন উইন্ডোজ ডেস্কটপ)।
• আমি ফায়ারফক্সে অ্যাডনস ইনস্টল করতে পারি।
• আমি লুপব্যাক ( localhost) ইন্টারফেসের যে কোনও বন্দরে শুনতে পারি । সুতরাং, উপরোক্ত প্রোগ্রাম করতে পারেন একটি স্থানীয় বন্দর সংলগ্ন এবং, সঞ্চালন নির্বিচারে নেটওয়ার্কের ইনপুট / আউটপুট একটি প্রক্সি মাধ্যমে যাওয়া ছাড়া।
• সমস্ত পাবলিক ইন্টারনেট অ্যাক্সেস একটি নিষিদ্ধ এইচটিটিপি প্রক্সি মাধ্যমে চালিত হয় যা অনেকগুলি সাইটকে অবরুদ্ধ করে এবং সাবধানে রাষ্ট্রীয় পরিদর্শন করে। 80 পোর্টে, এটি একচেটিয়াভাবে HTTP (কোনও টিএলএস / এসএসএল নয়) অনুমতি দেয়। 443 পোর্টে, এটি CONNECTদূরবর্তী হোস্টগুলিকে ভিত্তিক এসএসএল / টিএলএসের অনুমতি দেয় যা ডোমেন নাম / আইপি ঠিকানা দ্বারা অবরুদ্ধ নয়।
• নিয়ন্ত্রণমূলক HTTP প্রক্সি নেই TLS সংযোগে যা প্রক্সির মাধ্যমে মঞ্জুরিপ্রাপ্ত তাদের গভীর প্যাকেট পরিদর্শন সঞ্চালন করা, এবং এটি না ঐ সংযোগে মধ্য হামলায় ম্যান সঞ্চালন।
• উপরে উল্লিখিত সার্ভারটিতে আমার অ্যাক্সেস রয়েছে, প্রক্সি দ্বারা অবরুদ্ধ নয় ।

গোল:

আমি উপরের সার্ভারের মাধ্যমে, এসএসএল / টিএলএস-এর মাধ্যমে ফায়ারফক্সের দ্বারা নির্গত সমস্ত এইচটিটিপি এবং এইচটিটিপিএস অনুরোধগুলি রুট করতে চাই ।

"লক্ষ্য" সম্পর্কে অন্যান্য নোট:

• এমনকি যদি এন্ডপয়েন্টের সাইটটি (যেমন, http://superuser.com) আমার সার্ভারে এসএসএল / টিএলএস ব্যবহার না করে, তবুও আমি আমার ক্লায়েন্ট থেকে আমার সার্ভারে এসএসএল / টিএলএস ব্যবহার করতে চাই এবং আমার সার্ভারটি এইচটিটিপি অনুরোধটি সম্পাদন করতে চাই - এনক্রিপ্ট করা হোক বা না - - আমার কাঙ্ক্ষিত গন্তব্য।
• আমি পরোয়া করি না যদি আমার সার্ভার SSL ট্র্যাফিক "স্পষ্ট মধ্যে" এ খুঁজছেন হয়। অন্য কথায়, দূরবর্তী সার্ভারটি উদাহরণস্বরূপ অ্যাক্সেস করা হচ্ছে কিনা, আমার স্থানীয় ক্লায়েন্টের কাছ থেকে রিমোট সার্ভারের সমস্ত উপায়ে সম্পূর্ণ এন্ড-টু-এন্ড এসএসএল এনক্রিপশন প্রয়োজন হয় না https://google.com। অন্য কথায়, আমি বিশ্বাস সার্ভার আমার ডেটা গোপনীয় রাখা।
• আমি এমন কোনও সফ্টওয়্যার বা ফায়ারফক্স অ্যাডোন ইনস্টল করতে ইচ্ছুক যা অ্যাডমিন অধিকারের প্রয়োজন হয় না এবং 32-বিট উইন্ডোজ 7 এ চালানো যায়।
• ওপেন সোর্স সফ্টওয়্যার মালিকানার চেয়ে বেশি পছন্দ করা হয়, এবং লাইসেন্সের জন্য প্রয়োজনীয় সফটওয়্যারটির চেয়ে ফ্রিওয়্যারকে বেশি পছন্দ করা হয়।
• নতুন সফ্টওয়্যার কোড করার চেয়ে বিদ্যমান সফ্টওয়্যারটিকে প্রাধান্য দেওয়া হয়, যদিও আমি যদি কোডটি লিখতে রাজি তবে এটি যদি একমাত্র উপায় হয়।

আমি একটি স্বচ্ছভাবে বর্ণিত "সমাধান" খুঁজছি যা বর্ণনা করে:

• ক্লায়েন্টের জন্য কী সফ্টওয়্যার লাগবে? কোনও নির্দিষ্ট সফ্টওয়্যার প্যাকেজ যদি আপনি সচেতন থাকেন তবে নাম দিন; অন্যথায়, ক্লায়েন্ট সফ্টওয়্যারটি কী করবে তা বর্ণনা করুন ।
• সার্ভারে কোন সফ্টওয়্যার লাগবে? কোনও নির্দিষ্ট সফ্টওয়্যার প্যাকেজ যদি আপনি সচেতন থাকেন তবে নাম দিন; অন্যথায়, সার্ভার সফ্টওয়্যারটি কী করতে হবে তা বর্ণনা করুন ।
• আপনি যদি উপরে নির্দিষ্ট সফ্টওয়্যার প্যাকেজগুলির নাম দিয়ে থাকেন তবে আমার লক্ষ্যটি পূরণের জন্য এটি নির্ধারণ করার জন্য কোন কনফিগারেশন প্যারামিটারগুলির প্রয়োজন হবে তা বর্ণনা করুন।
• কোনো কারণে যদি আপনি বিশ্বাস করেন এই হয়, তাহলে সম্ভব নয় , বর্ণনা কেন ।

যে জিনিসগুলি চেষ্টা করেছি সেগুলি কাজ করে না

• squidআমার সার্ভারে ইনস্টল করে, আমি আমার নিজের সার্ভারে একটি মানক এইচটিটিপি প্রক্সি স্থাপন করার চেষ্টা করেছি। এটি কার্যকর হয়নি, কারণ যখন আমি ফায়ারফক্সে নিয়মিত এইচটিটিপি-র মাধ্যমে ওয়েবসাইটগুলির জন্য অনুরোধ করি তখন ফায়ারফক্সও নিয়মিত এইচটিটিপি-র মাধ্যমে আমার সার্ভারটি অ্যাক্সেস করার চেষ্টা করে! এটি গ্রহণযোগ্য নয়, কারণ আমার স্থানীয় নেটওয়ার্কে প্রক্সি অবশ্যই আমার ক্লায়েন্ট এবং সার্ভারের মধ্যে নিয়মিত এইচটিটিপি ট্র্যাফিক পর্যবেক্ষণ করতে এবং / অথবা অবরুদ্ধ করতে পারে।
• ভিপিএনগুলি কাজ করে না , এমনকি 443 পোর্টে টিএলএস-র উপরের ওপেনভিপিএনও নয় , কারণ আমার কাছে স্থানীয় কম্পিউটারে একটি tunনেটওয়ার্ক অ্যাডাপ্টার ইনস্টল করার অনুমতি নেই যা স্তর 3 রাউটিং করতে পারে, না আমি কোনও স্তর 2 রাউটিং করতে পারি না (যেমন tap) সংক্ষেপে: ওপেনভিপিএন ইনস্টল করার জন্য আমার অ্যাডমিন অধিকারের প্রয়োজন ছিল এবং অস্থায়ীভাবে আমার প্রশাসনিক অধিকারগুলি থাকলেও তারা যদি এটি ইনস্টলড পেয়ে থাকে তবে সংস্থাটি খুব সন্তুষ্ট হবে না। একটি জাভা বা .NET প্রোগ্রামটি খুব কম লক্ষণীয়, বিশেষত যখন এটি প্রোগ্রামগুলি অ্যাড / রিমুভ ইনস্টল করা থাকে না এবং ওপেনভিপিএন এর মতো কোনও কার্নেল ড্রাইভার উপাদান নেই।

আমি এটি বের করেছিলাম। : ডি এই সমাধানটি আমার সমস্ত প্রয়োজনীয়তা পূরণ করে এবং আমার সমস্ত লক্ষ্যগুলি পুরোপুরি পূরণ করে meets পারফরম্যান্স খুব খারাপ নয়, হয়, এটি অর্জনের জন্য প্রয়োজনীয় দিকনির্দেশনার স্তর বিবেচনা করে।

সাধারণ পদ্ধতিটি হ'ল:

1. একটি স্থানীয় শংসাপত্র কর্তৃপক্ষ (সিএ) সেট আপ করুন এবং একটি আরএসএ "সার্ভার কী" এবং "ক্লায়েন্ট কী" উত্পন্ন করুন (আমি 256-বিট এনক্রিপশন ব্যবহার করেছি)। এর জন্য, আমি ইজি-আরএসএ সংস্করণ 3.0.0-আরসি 2 ব্যবহার করেছি।

2. " লোকাল ইন্টারনেটে সার্ভার)" দেবিয়ান বক্স "(যে পাবলিক ইন্টারনেটের উপরে এটি প্রকাশ করা উচিত নয় ) নিশ্চিত করে তা নিশ্চিত করে কোনও বগ স্ট্যান্ডার্ড এইচটিটিপি প্রক্সি চালান । আমার উদ্দেশ্যগুলির জন্য আমি ব্যবহার করেছি Privoxy, তবে Squidপাশাপাশি কাজ করেছি। যেহেতু এটি কেবল লোকাল হোস্টে শোনা যাচ্ছে, তাই প্রমাণীকরণের প্রয়োজন হয় না (যদি না আপনার বাক্সে এমন কোনও প্রক্রিয়া চলছে যা আপনি বিশ্বাস করেন না; যার ক্ষেত্রে, হাই ...)

3. স্টানেল ডাউনলোড করুন এবং ক্লায়েন্ট এবং সার্ভার উভয় এ ইনস্টল করুন। এটি করার প্রক্রিয়াটি ওএস-নির্দিষ্ট হতে চলেছে; আমার ক্ষেত্রে, আমি উইন্ডোজের জন্য উত্স (প্যারানোইয়া ...) থেকে স্ট্যান্ডেল সংকলন করতে বেছে নিয়েছি, এটি একটি বরং জড়িত প্রক্রিয়া ছিল যা আমি এখানে বিশদ বিবরণ করব না। সার্ভারে, এটি প্যাকেজ ম্যানেজারে উপলব্ধ ছিল :)

4. স্টানেলের কনফিগারেশনটি প্রথমে বেশ বিরক্তিকর ছিল তবে এটি এটির চেয়ে সহজ! মূলত, সার্ভারে আপনার নীচের "সার্ভারের স্টানলকনফ" এর মতো কিছু দরকার। ক্লায়েন্টে আপনার নীচের "ক্লায়েন্টের স্টানলকনফ" এর মতো কিছু দরকার।

5. প্রিভোক্সি শুরু করুন; সার্ভারে স্টানেল শুরু করুন, এটি কনফিগারেশন ফাইলের দিকে নির্দেশ করে; কনফিগারেশন ফাইলের দিকে ইঙ্গিত করে ক্লায়েন্টের উপর স্টানেল শুরু করুন। প্রিভক্সির কনফিগারেশনে এমন বিশেষ কিছু নেই; ডিফল্ট আমার জন্য ঠিক ছিল।

6. ফায়ারফক্সে, ক্লায়েন্টের পক্ষে আপনার পছন্দসই ব্রাউজারটি, আপনার ক্লায়েন্টের স্টানেল যে পোর্টটি শোনাচ্ছে তার সমান হিসাবে HTTP এবং HTTPS প্রক্সি সেট করুন - সম্ভবত লোকালহোস্ট: 8080 এর মতো কিছু something

আমার সম্ভবত লক্ষ্য করা উচিত যে যদি আপনার স্থানীয় নেটওয়ার্কের প্রক্সিটি কোনও ধরণের প্রমাণীকরণের দাবি করে তবে আপনাকে নিজের পক্ষে প্রমাণীকরণের জন্য স্ট্রানেল পেতে হবে, না হলে অন্য একটি স্থানীয় আন্তঃপ্রণিত প্রক্সি ব্যবহার করতে হবে এবং তাদের একসাথে চেইন করতে হবে - ফায়ারফক্স -> স্টানেল -> স্থানীয় এর মতো কিছু প্রক্সি -> ল্যান প্রক্সি / গেটওয়ে -> ইন্টারনেট -> আপনার সার্ভারের স্টানেল -> প্রাইভোক্সি প্রমাণীকরণ করা হচ্ছে।

এটি অনেক অনুলিপি করা, তবে এটি কার্যকর!

;This is the *client's* stunnel.conf.
[https]
accept = localhost:9020
connect = your.lan.proxy:80
client = yes
protocol = connect
;protocolHost should be the same as the "accept" for the server
protocolHost = 1.2.3.4:443
;Same CAfile, different cert and key pair
CAfile = ca.crt
cert = client.crt
key = client.key
;VERY IMPORTANT!!! Make sure it's really your server and not a MITM attempt by your local network by making sure that the certificate authority "ca.crt" really signed the server's cert
verify = 2
;More performance tweaks...
sessionCachetimeout = 600
sessionCacheSize = 200
TIMEOUTidle = 600

।

;This is the *server's* stunnel.conf.
[https]
;1.2.3.4 is a publicly-routable, static IP address that can be connected to by your box that's under the firewall
accept = 1.2.3.4:443
;localhost:8118 is an example of where your local forwarding HTTP(S) proxy might reside.
connect = localhost:8118
CAfile = ca.crt
cert = server.crt
key = server.key
;VERY IMPORTANT!!! Without this, anyone in the world can use your public stunnel port as an open proxy!
verify = 2
;Set some timeouts higher for performance reasons
sessionCacheTimeout = 600
sessionCacheSize = 200
TIMEOUTidle = 600

একবার সবকিছু কনফিগার হয়ে গেলে, শেষের ফলাফলটি এরকম কিছু দেখতে শুরু করে:

1. আপনার ওয়েব ব্রাউজারটি localhost:9020(স্টানাল) এর সাথে সংযোগ স্থাপন করে এবং এটিকে এমন একটি প্রক্সির মতো আচরণ করে যা HTTP এবং / অথবা HTTPS সংযোগ গ্রহণ করতে পারে can
2. একবার আপনার ব্রাউজার থেকে স্টানেল সংযোগ পেয়ে, এটি আপনার ফায়ারওয়ালের প্রক্সি / গেটওয়ের মাধ্যমে আপনার দূরবর্তী সার্ভারের সাথে টিএলএস সেশনটি প্রতিষ্ঠা করে। এই মুহুর্তে, আপনার ক্লায়েন্ট আপনার সার্ভারের PKI শংসাপত্রটি এবং তার বিপরীতে যাচাই করে।
3. একবার আপনার রিমোট সার্ভারের সাথে টিএলএস অধিবেশনটি প্রতিষ্ঠিত হয়ে গেলে, আপনার ব্রাউজার থেকে আগত ডেটা বরাবর স্টানেল চলে যায়, উদাহরণস্বরূপ, স্থানীয় প্রক্সি এবং সরাসরি আপনার সার্ভারের মাধ্যমে এইচটিটিপি অনুরোধ বা একটি এসএসএল টানেল অনুরোধ। এই চ্যানেলটি এনক্রিপ্ট করা হয়েছে, সুতরাং আপনার স্থানীয় নেটওয়ার্কে ডেটা কী রয়েছে তা বলতে পারে না, তারা কেবল ট্র্যাফিক বিশ্লেষণ করে অনুমান করতে পারে।
4. আপনার সার্ভারেstunnel চলমান উদাহরণটি ডেটা গ্রহণ করা শুরু করলে এটি উদাহরণস্বরূপ একটি সংযোগ খুলবে , যেখানে আপনার এইচটিটিপি (এস) প্রক্সি সার্ভারটি আমার ক্ষেত্রে প্রিভোক্সি শুনছে।localhost:8118
5. প্রিভোক্সি তারপরে সাধারণ ফরোয়ার্ডিং এইচটিটিপি প্রক্সি সার্ভারের মতো কাজ করে এবং আপনার অনুরোধগুলি সার্ভারের আইএসপি এর মাধ্যমে সর্বজনীন ইন্টারনেটে ফরোয়ার্ড করে।

সকেট এবং বাফার জড়িত পরিমাণ এই পদ্ধতি খুব বেশী ওভারহেড করে তোলে, বিশেষ করে যদি আপনি প্রক্সি মাধ্যমে একটি SSL সংযোগে পাখির করছি, কিন্তু এটা সুবিধা আপনার স্থানীয় নেটওয়ার্কের বুদ্ধিমান কোন উপায় আছে যা হয়েছে কোন সাইট আপনার SSL পরিদর্শন করছেন। আমার অর্থ, এটি জানে যে আপনি আপনার সার্ভারটি পরিদর্শন করছেন, তবে এটির বাইরে আপনি এটি জিমেইল বা সুপার ইউজার বা অন্য যে কোনও কিছুতে যাচ্ছেন কিনা তা জানে না। এবং আপনার স্থানীয় গেটওয়েতে আপনাকে ফিল্টারিং বা ব্লক করার কোনও উপায় নেই।

আমি আমার স্থানীয় মেশিনে এই সেটআপটি চেষ্টা করেছি, এবং আমি আশ্বাস দিতে পারি যে "সীমাবদ্ধ প্রক্সি" পেয়েছে CONNECT DEBIAN_IP:443 HTTP/1.1তবে এটি কোনও শংসাপত্র দেখতে পাবে না, সুতরাং আমি নিশ্চিত নই যে এটি কাজ করবে কিনা I

এর asume করা যাক: আপনার ডেবিয়ান হয়েছে Apacheবা Squidপ্রক্সী করার করতে এবং একটি এসএসএইচ সার্ভার । আপনার ক্লায়েন্ট পিসিতে, আপনার প্রয়োজন putty, যা এমন একটি প্রোগ্রাম যা চালানোর জন্য প্রশাসকের অধিকারের প্রয়োজন হয় না, ইনস্টলেশনের প্রয়োজন হয় না এবং পেনড্রাইভ থেকে চালানো যেতে পারে।

প্রথমে আপনার দেবিয়ান:

আপনার এসএসএইচকে পোর্টে শোনান 443, কেবল যুক্ত করুন (বা আপনার বর্তমান বন্দরটি প্রতিস্থাপন করুন) এবং টিসিপি ফরোয়ার্ডিং (অ্যাড যোগ Port 443করুন ) এর /etc/ssh/sshd_configঅনুমতি দিনAllowTcpForwarding yes যে ফাইল দিকে)

প্রক্সি করার জন্য আপনার স্কুইড বা অ্যাপাচি কনফিগার করুন। যেহেতু এটি কোনও এসএসএইচ টানেলের মাধ্যমে ব্যবহৃত হতে চলেছে, এটি কেবল লুপব্যাক ইন্টারফেসে শুনতে হবে। আপনি যদি অ্যাপাচি ব্যবহার করেন:

Listen 127.0.0.1:8080
ProxyRequests On
<Proxy *>
  Order deny,allow
</Proxy>

সার্ভার সম্পন্ন, আসুন আপনার ক্লায়েন্ট পিসি কনফিগার করুন:

পুট্টিতে, আপনার দেবিয়ানের সর্বজনীন আইপি Hostএবং 443পোর্ট হিসাবে কনফিগার করুন । নিশ্চিত হয়ে নিন যে SSHএখনও নির্বাচিত রয়েছে। Connection -> Proxyসেটিংসে পরিবর্তন করুন, HTTPআপনার "সীমাবদ্ধ প্রক্সি" সেটিংস নির্বাচন করুন এবং পূরণ করুন। Connectionসেটিংসে পরিবর্তন করুন এবং 30- এর রক্ষণশীলকে স্থির করুন 60। পরিবর্তন করুন Connection -> SSH -> Tunnels। উপর source portআজীবন 8080, এবং Destination, localhost:8080। Localনির্বাচিত ছেড়ে চাপুন Add। আপনি চেঁচামেচি করে দেখেন স্থানের মতো উপরে L8080 locahost:8080। Sessionসেটিংসে ফিরে যান , প্রথম সারিতে একটি নাম লিখুন Saved sessionsএবং নিম্নলিখিত দিনগুলিতে সংযোগটি পুনঃপ্রকাশে সহায়তা করতে এই সমস্ত ক্লান্তিকর সেটিংস সংরক্ষণ করুন।

এখন আপনি Openআপনার ডেবিয়ানের সাথে সংযোগ স্থাপনের চেষ্টা করতে পারেন । আপনি যদি ব্যবহারকারী প্রম্পটটি দেখতে পান তবে আমরা এটি শেষ করে থেকে কেবল এক ধাপ। যদি না হয় ... আমাদের অন্য কোনও উপায় অনুসন্ধান করতে হবে।

এখন, ফায়ারফক্সে, আপনার প্রক্সি হিসাবে localhostপোর্টে সেট করুন 8080।

আপনি আপনার সার্ভারে প্রক্সি স্থাপনের অর্ধেক পথ ধরে রয়েছেন। অন্য অর্ধটি হ'ল সার্ভারে এসএসএল এবং ক্লায়েন্টের একটি স্থানীয় প্রক্সি আপনার এসএসএল-সক্ষম এইচটিটিপি প্রক্সির সাথে সংযোগ স্থাপনের জন্য পুট্টি ব্যবহার করে এবং ফায়ারফক্সকে প্রক্সিতে সমস্ত কিছু 127.0.0.1 এ সেট করে।

আমি কেবল পুট্টি সেটআপের জন্য একটি দ্রুত গুগল করেছি এবং এটি পেয়েছি: https://mariobrandt.de/archives/technik/ssh-tunnel-bypassing-transparent-proxy- using-apache-170/