我的家庭网络上有两个链接在一起的路由器。第一个路由器是运行Bananian的Banana Pi。连接到它的唯一设备(通过其WAN端口)是DD-Wrt路由器,我的所有设备都通过该路由器连接:
互联网 - >有线调制解调器 - > Banana Pi - >路由器 - >客户端设备
因此,Banana Pi和路由器位于不同的子网上。
香蕉Pi被用作透明代理,目前正在拦截所有HTTP流量,没问题。我也希望通过它拦截HTTPS流量,但仅限于特定的客户端设备。所有其他客户应以通常的方式转发。
我显然可以通过向Banana Pi添加特定的iptables规则来将端口443请求重新路由到另一个端口。但是,我的理解是,这将需要硬编码的IP地址,并且由于家庭路由器使用DHCP,这些IP地址可能随时发生变化。
Pi IP为192.168.101.1,而路由器IP为192.168.1.1。我已经尝试将Banana Pi上的子网掩码设置为255.255.0.0以查看我是否可以合并网络,但这样做会破坏设备之间的大多数通信(DHCP请求除外,这似乎仍然可以在这样的案件)。
除了诉诸IP地址之外,Banana Pi是否还能够为所选客户端可靠地路由SSL流量?
您可以为选定的客户端使用DHCP预留吗?也许看看这个dd-wrt.com/wiki/index.php/Static_DHCP
—
Eric W.
这就是防火墙的作用。您为“特定客户端设备”设置了黑名单,并且这些IP被阻止,其余的则通过。如果您不想指定IP,您打算如何确定哪些客户端可以使用哪些客户端?如果要在端口级别检查数据包,则需要找到可识别TCP的防火墙,这意味着它需要检查IP层之上。它们存在,但我目前没有任何具体的建议。但即便如此,你需要一些标准来确定443上哪些客户是好的,哪些不是......
—
MaQleod
由于它是一个家庭网络,我能做的事情的可能性不是那么严格。但是,我不知道在防火墙上设置非基于IP的策略有什么可能性(如果有的话)。这里的问题是IP地址可能会发生变化,从而绕过防火墙的任何策略。现在,如果我允许静态IP地址的可能性,我可以将这些规则构建到防火墙中。或者甚至更好,特定于截获的特定IP地址范围。
—
史蒂夫·科恩