基于域名对服务器发出的https访问进行控制
当访问目标是域名,且域名对应的是一个动态地址池的情况下,进行访问控制。
环境
服务器一台(本机的443端口是业务端口,同时需要访问https://api.weixin.qq.com接口完成认证等相关工作 10.41.2.XXX/24)
centos 7一台(作为服务器访问外网的网关 192.168.38.9/24)
centos 开启路由转发以及nat,所有服务器的访问公网的流量经过centos
本人一共尝试了两种方法
一.通过squid做正向代理,设置了域名的白名单
squid的设置是参考了Configure Squid as HTTP and HTTPS Transparent Proxy
有几点是实践中要注意的
- centos 7的iptables service 是默认关闭的,需要关闭firewall然后开启iptalbls。
- 上文中架设了dns,如果已经有dns服务器无需理会。
- 最重要的一点,是要关闭selinux.不关闭selinux,squid不能正常工作。