Client ---> First packet ---> Proxy ---> New packet? ---> Server
Se parliamo di sistemi proxy, il primo pacchetto viene scartato e viene creato un nuovo pacchetto, o è sempre lo stesso pacchetto (TTL viene diminuito), viene modificato solo l'indirizzamento di livello 2? Quindi, se viene modificato l'indirizzamento L2, parliamo di un nuovo "pacchetto" / "frame"? Cosa succede se SSL / TLS è coinvolto?
Quando si utilizza un proxy esiste una connessione tra client e proxy e un'altra connessione tra proxy e server. Queste connessioni sono in genere completamente indipendenti per quanto riguarda TTL, controllo del flusso TCP, dimensione del pacchetto (quando si utilizza TCP) ecc. Spesso hanno anche diversi IP e porte di origine e destinazione, cioè con un proxy esplicito la destinazione della connessione dal server è il proxy , la destinazione della connessione al server è il server (diverso dal proxy) e l'origine di questa connessione è il proxy (e non il client). Anche il contenuto del livello dell'applicazione potrebbe essere diverso, ad esempio iniettando X-Forwarded-For di intestazioni nella richiesta HTTP originale quando si inoltra la richiesta o% intestazioni Via in richiesta e risposta.
Alcuni proxy estrapolano esplicitamente le informazioni sul livello del pacchetto dalla connessione di origine e li applicano alla connessione di destinazione durante l'inoltro dei dati. Spesso questo è l'indirizzo IP di destinazione quando il proxy è configurato per essere utilizzato in modo trasparente. Potrebbe anche essere l'IP di origine (e la porta) se il proxy è utilizzato in modo completamente trasparente (trasparenza di destinazione e sorgente). In teoria potrebbe anche essere possibile estrarre il TTL originale e applicarlo durante l'inoltro ma non sono a conoscenza di alcun proxy che lo faccia.
Con SSL / TLS coinvolti la situazione non è diversa. Se viene eseguita l'intercettazione SSL, esiste una connessione SSL dal client al proxy e un'altra dal proxy al server in modo che il proxy possa ottenere i dati di testo normale. Se non viene eseguita alcuna intercettazione SSL, ci sono ancora due connessioni TCP ma il proxy inoltrerà i dati crittografati direttamente.
Si noti che il comportamento di un proxy come utilizzato in un gateway del livello dell'applicazione come descritto sopra è diverso dal Deep Packet Inspection (DPI) come fatto in molti firewall di prossima generazione (ma non tutti, alcuni utilizzano i proxy). Con DPI viene inoltrato il pacchetto originale che include la stessa fonte, l'indirizzo IP e la porta e anche TTL. L'intercettazione SSL non è possibile in questo modo, vale a dire che i firewall utilizzano anche tecnologie proxy (trasparenti) con una connessione SSL tra client e firewall e un'altra tra firewall e server.