Только рабочие прокси. Прозрачный прокси сервер squid3 squidguard iptables sarg

Я предполагаю что вы уже знаете что такое прокси сервер (в противном случае предлагаю ознакомится с статьей ). Вы уже не раз слышали: прозрачный (transparent), анонимный (anonymous) или элитный (elite) прокси сервер, но какая разница между ними? Во первых, надо обратить внимание на тот факт, что все прокси не смотря на то к какому типу они относятся, работают по одному и тому же принципу (они представляют из себя промежуточный пункт между вами и ресурсом который вы запрашиваете).

Что такое прозрачный (transparent) прокси сервер?
Прозрачный прокси сервер меняет ваш IP адрес на свой, НО ваш реальный IP все равно присутствует в вашем запросе (представьте что он просто перенесен в другое место). Таким образом если веб сайт (который вы запрашиваете) решит определить ваш реальный IP, то он без затруднений сделает это.

Вы можете предположить что прозрачные прокси сервера бесполезны, так как они не обеспечивают приватность (скрытие вашего IP), но не спешите с выводами. У прозрачных прокси есть другое преимущество: они работают быстрей (скорость) чем аналогичные анонимные или элитные прокси. У таких прокси есть свое предназначение, например - если вы хотите обойти локальный фаервол который блокирует доступ к некоему сайту, прозрачные прокси сервера самое идеальное решение. Ведь в вашу задачу не входит скрытие реального IP, а только какой сайт вы посещаете.

Также (правда очень редко), прозрачные прокси сервера подходят для накрутки счетчиков на вашей страничке (я уверен что в отличие от непорядочных веб мастеров, вы не будете использовать такой способ накрутки )

ИНТЕРЕСНО: если вы не используете прокси или используете но прозрачный, ваш ПК транслирует всем ваш уникальный IP адрес. Каждый раз когда вы открываете веб страничку, сервер на котором находится данная страница, имеет полную информацию о вашей операционной системе (ОС). Это значит что владелец веб сайта может с легкостью определить самые уязвимые места вашей ОС. Пользователь не должен быть профессиональным хакером с специальным образованием что бы используя эти уязвимости он смог взломать ваш ПК. Есть дюжина готовых, легких в использовании и (внимание) БЕСПЛАТНЫХ программ которые любой ребенок сможет использовать (пожалуйста не просите меня указать где можно скачать подобный софт, как взломать форум или почтовый ящик, я все равно вас не научу ). С помощью таких программ, любой желающий может получить доступ к вашим документам, письмам, личным фотографиям или фильмам которые вы храните на своем ПК - думая что они надежно скрыты от посторонних глаз Что бы предотвратить подобные хакерские атаки, вам необходимо скрыть ваш реальный IP адрес, и тем самым скрыть адрес вашего ПК в интернет сети.

Что такое анонимный (anonymous) прокси сервер?
Анонимный прокси сервер не передает информации о вашем реальном IP адресе. Это значит что вы как привидение в интернете, никому не известно о вашем реальном место положении и по этой простой причине, просто невозможно установить скрытое соединение с вашим ПК, для похищение информации.

Единственным ВОЗМОЖНЫМ недостатком анонимного прокси сервера можно посчитать тот факт, что веб сайт который вы запрашиваете, может определить что вы используете прокси для соединения (это в свою очередь может означать что вы скрываете ваш реальный IP адрес). Но с другой стороны, если пользователь использует прокси сервер, это не всегда значит что он пытается скрыть свой реальный IP адрес. Допустим когда вы используете мобильный WAP интернет, в таком случае все пользователи обязаны использовать один прокси сервер, который предоставляет мобильный оператор (главным образом для мониторинга).

Как минимум по этой причине, тот факт что вы используете прокси сервер для соединения, иногда может быть расценен как нормальное поведение, а анонимные прокси сервера надежно скроют ваш реальный IP адрес.

Что такое элитный (elite) прокси сервер?
Элитные прокси самые "скрытные", они имеют все преимущества анонимных прокси серверов с точки зрения скрытия вашего реального IP, но плюс ко всему они ПЫТАЮТСЯ скрыть сам факт использования прокси сервера при запросе. Другими словами, они ведут себя таким образом, что создают впечатлени, что вы вовсе не использовали прокси для запроса и IP адрес который вы передаете серверу, ваш реальный адрес. Главное что вы должны знать о элитных прокси серверах это то что из за их возможности скрывать факт использования прокси, они очень популярны, а это в свою очередь приводит к тому что их очень часто перегружают и в результате они работают медленней.

Вы всегда можете проверить насколько надежно скрыть ваш IP адрес от веб сайта, посетив следующий линк: Покажи мой ИП

Подведем итог, в двух словах опишем преимущества и сферу применения каждого типа прокси сервера:

Прозрачный прокси сервер:

Анонимный прокси сервер:

• Преимущество: средняя скорость, средняя скрытность
• Возможный недостаток: виден факт использования прокси
• Общее применение: подходит для 99% задач

• Преимущества: высокий уровень скрытности, скрыт факт использования прокси
• Недостатки: низкая скорость
• Конкретное применение: очень редкий случай, когда необходимо скрыть сам факт использования прокси сервера

Продолжайте посещать наш сайт что бы читать интересные статьи Если у вас возникли вопросы касательно данного материала или просто есть вопрос, пожалуйста пишите в этой ветке, мы всегда рады ответить вам.

Не многие пользователи знают что такое прозрачный прокси сервер squid, для чего нужен сквид, его преимущества и недостатки. Сейчас мы рассмотрим каждый вопрос по отдельности и постараемся вникнуть в тему.

Негативные стороны прозрачного прокси:

• В прозрачном режиме, не работает с SSL. Это значит, что вы не сможете зайти на сайт с адресом https://... в режиме аутентификации может работать на протоколах HTTP, SSL, FTP.
• Не умеет работать сразу в двух режимах: аутентификации и прозрачном - доступ в интернет без всяких настроек, логинов и прочего. Режим аутентификации - когда пользователю необходимо ввести логин/пароль или другие настройки, предусмотренные администратором.
• Не умеет работать с почтовыми серверами POP3, SMTP, IMAP. Вы не сможете принять или отправить почту через прокси сквид.

Режим - каскадный прокси

Как уже упоминалось выше, squid может сохранять информацию в ОЗУ компьютера, к которой в случае необходимости можно вернуться за доли секунды. При поиске информации, каскадный прокси позволяет обращаться ко всем группам сети только в случае ее отсутствия. Осуществляется поиск в интернете. Бесспорно, удобная и полезная функция.

Подводя итоги, можно с уверенностью сказать: squid - отличное корпоративное решение для организации безопасного доступа в интернет. Squid прозрачный прокси, позволяет обращаться к сети интернет без прохождения дополнительной аутентификации, но при этом, имеет и свои минусы, главный из которых - невозможность использования SSL.

(Прокси сервер) – промежуточный компьютер, который является посредником между вашим компьютером и Интернетом. Прокси обычно используют либо для ускорения работы в сети Интернет, либо для анонимного прохождения в сети Интернет. Так же использование анонимного прокси, может быть использовано, как дополнительное средство защиты: анонимный прокси (anonymous proxy) подменяет Ваш IP-адрес, и злоумышленник будет пытаться совершить атаку не на Ваш компьютер, а на прокси сервер, у которого, зачастую, максимально мощная система защиты.

Существует несколько разновидностей прокси, главным отличием которых являются выполняемые функции:

HTTP/HTTPS proxy – наиболее распространённый тип прокси серверов, который зачастую имеет 80, 8080, 3128 номер порта. HTTP прокси делятся уровнем анонимности на: прозрачные (не скрывают реальный IP адрес клиента), анонимные (указывают на то, что используется прокси, но не выдают реальный IP адрес клиента), искажающие (искажают IP адрес клиента), элитные прокси (не указывают на то, что используется прокси сервер, скрывают реальный IP адрес клиента).
SOCKS proxy – прокси сервер передающий абсолютно все данные от клиента к серверу, не изменяя и не добавляя ничего. С точки зрения web-сервера SOCKS proxy является клиентом, т.е. SOCKS proxy анонимны по определению. Имеет подтипы SOCKS4, SOCKS4a, SOCKS5. Чаще всего SOCKS proxy имеют 1080, 1081 номер порта.
FTP proxy – прокси сервер, предназначенный для работы с файловыми менеджерами.
CGI proxy или Anonymizer — web-страницы, которые позволяют осуществлять анонимный переход с одной web-страницы на другую. Для использования данного типа прокси не надо менять настройки браузера, достаточно перед адресом страницы, на которую вы собираетесь перейти указать адрес анонимайзера.

По принципу работы прокси-серверы можно разделить по двум ключевым при­знакам.

Во-первых, некоторые прокси-серверы имеют ассоциированные с ними
кэши, а другие - нет. Во-вторых, вне зависимости от кэширования, некоторые про­кси-серверы модифицируют проходящие через них сообщения, тогда как другие этого не делают.

Кэширующие прокси-серверы
Разница между обычными и кэширующими прокси-серверами весьма важна.
Обычный прокси-сервер просто пересылает запросы и ответы. Кэширующий про­кси-сервер способен поддерживать собственное хранилище ответов, полученных
ранее. Когда прокси-сервер получает запрос, который может быть удовлетворен кэшированным ответом, запрос не пересылается, а ответ возвращается прокси-серве­ром. Как мы увидим далее в этой главе, для того, чтобы кэшировапный ответ мог быть возвращен, должны быть выполнены определенные условия. Мы используем термин кэширующий прокси-сервер для прокси-сервера, который имеет ассоцииро­ванный с ним кэш.

Прозрачный прокси-сервер
По принципу передачи сообщений прокси-серверы можно разделить на две
группы: прозрачные и непрозрачные. Различие между ними связано с модифика­цией проходящих через прокси-сервер сообщений. Прозрачный прокси-сервер мо­дифицирует запрос или ответ лишь в меру необходимости. Примером такого изменения сообщения прозрачным прокси-сервером может служить добавление идентификационной информации о себе или сервере, от которого сообщение было
получено. Подобная информация может даже являться обязательной для протокола HTTP. В разделе 3.8 мы поговорим о неправильном использовании термина «прозрачный прокси-сервер» в различных сферах Web-индустрии для обозначения прокси-серверов, которые правильнее было бы назвать перехватывающими про­кси-серверами.
Непрозрачный прокси-сервер способен модифицировать запрос и/или ответы.
Примером такого изменения запроса является анопимизация, в соответствие с ко­торой информация о клиенте прокси-сервера скрывается. Примером изменения от­вета может послужить преобразование формата - изображение конвертируется из одного формата в другой для уменьшения размера ответа. Другой пример непро­зрачного прокси-сервера - прокси-сервер, осуществляющий перевод документа с одного языка на другой. Имеются правила, являющиеся общими для прокси-сер­веров обоих видов. В то же время с каждым видом прокси-серверов связаны свои собственные правила. Прозрачный прокси-сервер должен обеспечить, чтобы длина содержимого сообщения не изменялась при передаче сообщения через прокси-сер­вер. Заметим, что прозрачные и непрозрачные прокси-серверы отличаются от шлюзов и туннелей. Оба вида прокси-серверов могут, в отличие от туннелей, иметь ассоциированный с ними кэш. Оба вида прокси-серверов действуют как промежуточное звено между Web-клиентом и Web-сервером; т.е. обмен сообще­ниями осуществляется в формате HTTP.

Хотя прозрачный прокси сервер меняет ваш IP-адрес и использует свой собственный, ваш настоящий IP-адрес легко найти в запросе. Он не скрывается, а лишь перемещается в другое место.

Не отказывайтесь от бесплатных прокси серверов слишком быстро. Их преимущество – скорость. Они быстрее анонимных или элитных серверов, поскольку их использует меньше людей. Например, если вы хотите пройти через локальный фаерволл, прозрачные прокси серверы – лучшее решение для вас. Они позволят вам продвинуться, не скрывая свой IP. Вместо этого вы можете скрыть сайты, которые открываете.

Что такое анонимный прокси сервер?

Анонимный прокси сервер никогда не передаёт информацию, связанную с вашим настоящим IP-адресом. Это значит, что в Интернет вы невидимы. Поскольку никто не знает, где вы на самом деле находитесь, никто не может незаконно подключиться к вашему компьютеру и похитить ценную и личную информацию.

Если вы подключаетесь к Интернет через прокси сервер, это вполне нормально. Далее, анонимный прокси сервер позволит вам безопасно скрыть свой IP-адрес. В некоторых случаях, например, для мониторинга при использовании мобильного WAP-Интернет, все пользователи вынуждены использовать для подключения прокси сервер. Это вовсе не значит, что вы что-то скрываете.

Что такое элитный прокси сервер?

Элитный прокси сервер особенно безопасен, поскольку он скрывает не только ваш IP-адрес, но и тот факт, что вы используете прокси сервер. Другими словами, эти серверы позволяют вам выглядеть так, как будто вы не используете прокси сервер, а IP-адрес прокси сервера – это ваш настоящий адрес. Главное, что вам следует знать об элитном прокси сервере – что он безопаснее, чем анонимный. Поэтому они очень популярны среди сетевых пользователей и, как следствие, у них низкая скорость.

Squid — это мощный пакет, реализующий проксирование проходящих через него запросов, имеет огромный набор возможностей. В локальной сети чаще всего его используют как прозрачный кэширующий прокси. Настроим по порядку 3 основные возможности squid.

1. Для начал устанавливаем squid (для Debian 6)

Apt-get install squid3

2. Файл с настройка squid.conf лежит в /etc/squid3/. Содержит он около 5,5 тысяч строк. Но не все так страшно, основная масса этого файла — это подробные комментарии к настройкам. Как удобнее внести изменения в файл выбирать Вам. Можно избавиться от всего лишнего в файле таким способом

# переходим в папку squid cd /etc/squid3 # делаем резервную копию файла с настройками cp squid.conf squid.conf_backup # получаем из squid.conf_backup чистый файл с настройками без комментариев в squid.conf cat squid.conf_backup | egrep -v "^#|^$" > squid.conf

и получить «голый» файл с настройка, следующего содеражания

Acl manager proto cache_object acl localhost src 127.0.0.1/32::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? coredump_dir /var/spool/squid3 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320

Останется внести лишь необходимые изменения в строках. Второй вариант — это редактировать весь файл без его чистки. Что тоже довольно просто если уметь пользоваться поиском в редакторе vi. В этом случае у Вас в помощь останутся много полезных комментариев к настройкам.

Для поиска текста в редакторе vi нажимаем клавишу «/». Если Вы находитесь в режиме редактирования, нужно выйти из него для передачи команд редактору нажатием на «Esc». Получаем такую последовательность действий: «/» > «вводим поисковое слово» > «Enter».

Теперь редактируем файл, делаем основные настройки. Если нужных строк нет, то добавляем их или раскоментируем.

Vi /etc/squid3/squid.conf # Разрешаем доступ к прокси только из нашел сети acl localnet src 172.16.0.0/24 http_access allow localnet http_access allow localhost # По умолчанию порт работы прокси 3128 # Так как у нас прокси будет прозрачным - указываем это # а так же адрес интерфейса с портом на котором будет работать прокси # на этот же порт будут перенаправляться запросы в iptables http_port 172.16.0.1:3128 transparent

3. Обеспечиваем кэширование запросов

# Установка директории кэша и его настройка # ufs - способ кэширования файлов на диске # /var/spool/squid3 - папка кэша # 5000 - размер кэша в мегабайтах # 16 - количество папок 1 уровня в кэше # 256 - количество папок 2 уровня в кэше cache_dir ufs /var/spool/squid3 5000 16 256 # ограничим минимальный размер кэшируемого файла, чтобы облегчить работу жесткому диску # либо можно потерять весь смысл кэша, если он будет медленно работать minimum_object_size 2 KB # ограничиваем и максимальный размер maximum_object_size 61440 KB

4. Squid, сконфигурированный по умолчанию, добавляет к http-запросу несколько своих заголовков. При этом, в первых двух заголовках передается клиентский ip (или даже несколько ip, в случае цепочки прокси). Если нам это ни к чему, ну например, не хотим светить внутренние ip своей локалки, то сделать squid анонимным очень просто

Via off forwarded_for delete

После завершения всех настроек, стоит проверить анонимность запросов на страничке http://checker.samair.ru Если все сделано правильно, то результатом будет надпись «Resume: You are using high-anonymous (elite) proxy».

На этом внесение изменений в файл закончены. В конечном итоге squid.conf должен выглядеть так

Acl manager proto cache_object acl localhost src 127.0.0.1/32::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32::1 acl localnet src 172.16.0.0/24 # RFC1918 possible internal network acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost http_access deny all http_port 172.16.0.1:3128 transparent hierarchy_stoplist cgi-bin ? cache_dir ufs /var/spool/squid3 5000 16 256 minimum_object_size 2 KB maximum_object_size 61440 KB coredump_dir /var/spool/squid3 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 via off forwarded_for delete

Для применения настроек останавливаем squid

Service squid3 stop

Подготавливаем директорию кэша squid

Squid3 -z

Запускаем прокси

Service squid3 start

Если Вы не делали изменения настроек связанных с кэшем прокси, то можно выполнить одну единственную команду. Настройки будут приняты автоматически без перезапуска squid.

Squid3 -k reconfigure

5. Остается лишь настроить прозрачность прокси. Это обеспечивает незаметную для пользователей локальной сети работу через прокси, т.е. нет необходимости настраивать пользователям программы для работы с прокси. Прозрачность обеспечивается простым перенаправлением http запросов с 80 порта на порт прокси сервера посредством фаервола iptables и включением режима прозрачного прокси в самом squid. Изменения в настройках squid мы сделали выше. Добавляем к правилам iptables еще одну строку:

Iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Обязательно в параметре указывайте нужный интерфейс на котором будет работать прокси: -i eth0. Это избавит Вас от проблем с доступом к web серверу из интернета при наличии более одного активного интерфейса, если таковой будет в будущем на этом сервере. А так же ради безопасности прокси.