Iptables를 사용하여 TLS 핸드 셰이크 후 HTTPS 연결을 차단하고 싶습니다. 즉, TCP 및 TLS 핸드 셰이크를 허용하고 연결을 끊으려고합니다. HTTPS가 암호화되어 있다는 것을 알고 있지만 TLS 핸드 셰이크 패킷과 응용 프로그램 데이터 패킷을 암호 해독하지 않고 구분할 수있는 솔루션이있을 수 있습니다.iptables를 사용하여 HTTPS 애플리케이션 데이터를 차단하는 방법은 무엇입니까?
만 악수를 허용하도록 SYN, SYN/ACK, 포트 443에서 ACK 패킷을 허용하면됩니다 다음 패킷의 나머지 드롭해야합니다 무엇 : iptables -A INPUT --protocol tcp --tcp-flags SYN ACK --dport 443 -j ACCEPT iptables -A INPUT --protocol tcp --tcp-flags FIN RST URG PSH --dport 443 -j DROP
답변 해 주셔서 감사합니다. 그러나 문제가 TCP 핸드 셰이크를 허용하지 않습니다. TCP와 TLS/SSLv3 (HTTPS 연결을 구성하기 위해) 핸드 셰이크를 허용하고 싶습니다. HTTPS 연결을 구축 한 후 응용 프로그램 데이터를 차단하려고합니다. – Suleyman
이 실현 될 가능성입니다 iptables에서는 TCP 스트림의 내용을 검사해야하기 때문에. 여기서 무엇을하려고합니까? – duskwuff
나는 TCP와 TLS/SSLv3 핸드 셰이크 패킷을 허용 한 다음 SSL 검사없이 응용 프로그램 데이터 패킷을 차단할 수있는 방법이 있는지 궁금합니다. 예를 들어, 패킷 크기와 같은 일부 패킷 기능을 사용하여 데이터 패킷을 이해할 수 있다면 내용을 검사하지 않고 데이터 패킷 만 차단할 수 있습니다. – Suleyman
쉽지 않습니다. TLS 패킷은 TCP 패킷과 별개이며 TCP 패킷과 항상 일치하지는 않으므로 스트림 검사없이 무슨 일이 일어나는지 안정적으로 확인할 수 없습니다. 다시 : 여기서 무엇을하려고합니까? – duskwuff