🥇Основите на прозрачното прокси с помощта на 3proxy и iptables/netfilter или как да „пуснете всичко през прокси“

В тази статия бих искал да разкрия възможностите на прозрачното прокси, което ви позволява напълно незабелязано от клиентите да пренасочите целия или част от трафика през външни прокси сървъри.

Когато започнах да решавам този проблем, се сблъсках с факта, че внедряването му има един съществен проблем - HTTPS протокола. В добрите стари времена нямаше особени проблеми с прозрачното HTTP прокси, но с HTTPS прокси браузърите отчитат смущения в протокола и с това щастието свършва.

В общите инструкции за прокси сървъра на Squid те дори предлагат да генерират собствен сертификат и да го инсталират на клиенти, което е пълна глупост, най-малкото ирационално и изглежда като MITM атака. Знам, че Squid вече знае как да направи нещо подобно, но тази статия е за доказан и работещ метод, използващ 3proxy от уважавания 3APA3A.

След това ще разгледаме подробно процеса на изграждане на 3proxy от източника, неговата конфигурация, пълно и селективно прокси чрез NAT, разпространение на канала към няколко външни прокси сървъра, както и използването на рутер и статични маршрути. Използваме Debian 9 x64 като ОС. Започнете!

Инсталиране на 3proxy и стартиране на нормален прокси

1. Инсталирайте ifconfig (от пакета net-tools)
apt-get install net-tools
2. Инсталирайте Midnigth Commander
apt-get install mc
3. Сега имаме 2 интерфейса:
enp0s3 - външен, гледа в интернет
enp0s8 - вътрешен, трябва да търси в локалната мрежа
В други базирани на Debian дистрибуции интерфейсите обикновено се наричат eth0 и eth1.
ifconfig -a

Интерфейсиenp0s3: флагове=4163 mtu 1500
inet 192.168.23.11 мрежова маска 255.255.255.0 излъчване 192.168.23.255
inet6 fe80::a00:27ff:fec2:bae4 prefixlen 64 scopeid 0x20 ether 08:00:27:c2:ba:e4 txqueuelen 1000 (Ethernet)
RX пакети 6412 байта 8676619 (8.2 MiB)
RX грешки 0 отпаднали 0 превишавания 0 кадър 0
TX пакети 1726 байта 289128 (282.3 KiB)
TX грешки 0 отпаднали 0 превишавания 0 превозвач 0 сблъсъци 0

enp0s8: флагове=4098 mtu 1500
етер 08:00:27:79:a7:e3 txqueuelen 1000 (Ethernet)
RX пакети 0 байта 0 (0.0 B)
RX грешки 0 отпаднали 0 превишавания 0 кадър 0
TX пакети 0 байта 0 (0.0 B)
TX грешки 0 отпаднали 0 превишавания 0 превозвач 0 сблъсъци 0

lo: флагове=73 mtu 65536
inet 127.0.0.1 мрежова маска 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10 цикъл txqueuelen 1 (Local Loopback)
RX пакети 0 байта 0 (0.0 B)
RX грешки 0 отпаднали 0 превишавания 0 кадър 0
TX пакети 0 байта 0 (0.0 B)
TX грешки 0 отпаднали 0 превишавания 0 превозвач 0 сблъсъци 0

Интерфейсът enp0s8 в момента не се използва, ще го активираме, когато искаме да използваме NAT или NAT Proxy конфигурацията. Тогава би било логично да му присвоите статичен ip.

4. Да започнем да инсталираме 3proxy

4.1 Инсталиране на базови пакети за компилиране на 3proxy от източника

root@debian9:~# apt-get install build-essential libevent-dev libssl-dev -y

4.2. Създайте папка за изтегляне на архива с източници

root@debian9:~# mkdir -p /opt/proxy

4.3. Да отидем в тази папка

root@debian9:~# cd /opt/proxy

4.4. Сега нека изтеглим най-новия пакет 3proxy. Към момента на писане на тази статия най-новата стабилна версия беше 0.8.12 (18 г.) Изтеглете я от официалния уебсайт на 04proxy

root@debian9:/opt/proxy# wget https://github.com/z3APA3A/3proxy/archive/0.8.12.tar.gz

4.5. Разопаковайте изтегления архив

root@debian9:/opt/proxy# tar zxvf 0.8.12.tar.gz

4.6. Отидете в разопакованата директория, за да изградите програмата

root@debian9:/opt/proxy# cd 3proxy-0.8.12

4.7. След това трябва да добавите ред към заглавния файл, така че нашият сървър да е напълно анонимен (наистина работи, всичко е проверено, клиентските IP адреси са скрити)

root@debian9:/opt/proxy/3proxy-0.8.12# nano +29 src/proxy.h

Добавяне на линия

#define ANONYMOUS 1
Натиснете Ctrl+x и Enter, за да запазите промените.

4.8. Нека изградим програмата

root@debian9:/opt/proxy/3proxy-0.8.12# make -f Makefile.Linux

makelogmake[2]: Напускане на директорията '/opt/proxy/3proxy-0.8.12/src/plugins/TransparentPlugin'
make[1]: Напускане на директорията '/opt/proxy/3proxy-0.8.12/src'

Няма грешки, продължете.

4.9. Инсталирайте програмата в системата

root@debian9:/opt/proxy/3proxy-0.8.12# make -f Makefile.Linux install

4.10. Отидете в основната директория и проверете къде е инсталирана програмата

root@debian9:/opt/proxy/3proxy-0.8.12# cd ~/ root@debian9:~# whereis 3proxy
3прокси: /usr/local/bin/3proxy /usr/local/etc/3proxy

4.11. Нека създадем папка за конфигурационни файлове и регистрационни файлове в домашната директория на потребителя

root@debian9:~# mkdir -p /home/joke/proxy/logs

4.12. Отидете в директорията, където трябва да е конфигурацията

root@debian9:~# cd /home/joke/proxy/

4.13. Създайте празен файл и копирайте конфигурацията там

root@debian9:/home/joke/proxy# cat > 3proxy.conf

3proxy.confдемон
pidfile /home/joke/proxy/3proxy.pid
сървър 8.8.8.8
nscache 65536
потребителски тестер: CL: 1234
изчаквания 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
завъртете 3
автентичен силен
промиване
позволи тестер
чорапи -p3128
прокси -p8080

За да запазите, натиснете Ctrl + Z

4.14. Нека създадем pid файл, за да няма грешки при стартиране.

root@debian9:/home/joke/proxy# cat > 3proxy.pid

За да запазите, натиснете Ctrl + Z

4.15. Да стартираме прокси сървъра!

root@debian9:/home/joke/proxy# 3proxy /home/joke/proxy/3proxy.conf

4.16. Да видим дали сървърът слуша портове

root@debian9:~/home/joke/proxy# netstat -nlp

netstat регистрационен файлАктивни интернет връзки (само сървъри)
Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние PID/Име на програмата
tcp 0 0 0.0.0.0:8080 0.0.0.0:* СЛУШАЙТЕ 504/3прокси
tcp 0 0 0.0.0.0:22 0.0.0.0:* СЛУШАЙТЕ 338/sshd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* СЛУШАЙТЕ 504/3прокси
tcp6 0 0 :::22 :::* СЛУШАЙТЕ 338/sshd
udp 0 0 0.0.0.0:68 0.0.0.0:* 352/dhclient

Както беше написано в конфигурацията, уеб проксито слуша порт 8080, Socks5 прокси - 3128.

4.17. За да стартирате автоматично прокси услугата след рестартиране, трябва да я добавите към cron.

root@debian9:/home/joke/proxy# crontab -e

Добавяне на линия

@reboot /usr/local/bin/3proxy /home/joke/proxy/3proxy.conf

Натискаме Enter, тъй като cron трябва да види знака за край на реда и да запази файла.

Трябва да има съобщение за инсталиране на нов crontab.

crontab: инсталиране на нов crontab

4.18. Нека рестартираме системата и се опитаме да се свържем през браузъра с проксито. За проверка използваме браузъра Firefox (за уеб прокси) и добавката FoxyProxy за socks5 с удостоверяване.

root@debian9:/home/joke/proxy# reboot

4.19. След като проверите работата на проксито след рестартиране, можете да видите регистрационните файлове. Това завършва настройката на прокси сървъра.

3 прокси дневник1542573996.018 PROXY.8080 00000 тестер 192.168.23.10:50915 217.12.15.54:443 1193 6939 0 CONNECT_ads.yahoo.com:443_HTTP/1.1
1542574289.634 SOCK5.3128 00000 тестер 192.168.23.10:51193 54.192.13.69:443 0 0 0 CONNECT_normandy.cdn.mozilla.net:443

Настройка и стартиране на NAT конфигурация за прозрачен прокси

В тази конфигурация всички устройства във вътрешната мрежа ще работят прозрачно в интернет чрез отдалечен прокси сървър. Абсолютно всички tcp връзки ще бъдат пренасочени към един или няколко (наистина разширява ширината на канала, пример за конфигурация № 2!) прокси сървъри. DNS услугата ще използва 3proxy (dnspr) възможности. UDP няма да „излезе“ навън, тъй като все още не използваме механизма за препращане (деактивиран по подразбиране в ядрото на Linux).

1. Време е да активирате интерфейса enp0s8

root@debian9:~# nano /etc/network/interfaces

/etc/network/interfaces файл# Този файл описва мрежови интерфейси на разположение на вашата система
# Активирани и как да ги. За повече информация, вижте интерфейси (5).

източник /etc/network/interfaces.d/*

# Интерфейс-примка мрежа
авто ето
iface ето Инет примка

# Основният мрежов интерфейс
разреши-горещо включване enp0s3
iface enp0s3 inet dhcp

# Вторичният мрежов интерфейс
разреши-горещо включване enp0s8
iface enp0s8 inet static
адрес 192.168.201.254
мрежова маска 255.255.255.0

Тук присвоихме на интерфейса enp0s8 статичен адрес 192.168.201.254 и маска 255.255.255.0
Запазете конфигурацията Ctrl+X и рестартирайте

root@debian9:~# reboot

2. Проверка на интерфейси

root@debian9:~# ifconfig

ifconfig регистрационен файлenp0s3: флагове=4163 mtu 1500
inet 192.168.23.11 мрежова маска 255.255.255.0 излъчване 192.168.23.255
inet6 fe80::a00:27ff:fec2:bae4 prefixlen 64 scopeid 0x20 ether 08:00:27:c2:ba:e4 txqueuelen 1000 (Ethernet)
RX пакети 61 байта 7873 (7.6 KiB)
RX грешки 0 отпаднали 0 превишавания 0 кадър 0
TX пакети 65 байта 10917 (10.6 KiB)
TX грешки 0 отпаднали 0 превишавания 0 превозвач 0 сблъсъци 0

enp0s8: флагове=4163 mtu 1500
inet 192.168.201.254 мрежова маска 255.255.255.0 излъчване 192.168.201.255
inet6 fe80::a00:27ff:fe79:a7e3 prefixlen 64 scopeid 0x20 ether 08:00:27:79:a7:e3 txqueuelen 1000 (Ethernet)
RX пакети 0 байта 0 (0.0 B)
RX грешки 0 отпаднали 0 превишавания 0 кадър 0
TX пакети 8 байта 648 (648.0 B)
TX грешки 0 отпаднали 0 превишавания 0 превозвач 0 сблъсъци 0

3. Всичко се получи, сега трябва да конфигурирате 3proxy за прозрачно проксииране.

root@debian9:~# cd /home/joke/proxy/ root@debian9:/home/joke/proxy# cat > 3proxytransp.conf

Пример за конфигурация на прозрачен прокси #1демон
pidfile /home/joke/proxy/3proxy.pid
сървър 8.8.8.8
nscache 65536
изчаквания 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
завъртете 3
промиване
auth уникално
dnspr
позволява *
родител 1000 socks5 IP_ADDRESS_EXTERNAL_PROXY 3128 тестер 1234
плъгин /opt/proxy/3proxy-0.8.12/src/TransparentPlugin.ld.so transparent_plugin
tcppm -i0.0.0.0 888 127.0.0.1 11111

4. Сега стартирайте 3proxy с нова конфигурация
root@debian9:/home/joke/proxy# /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf

5. Добавете отново към crontab
root@debian9:/home/joke/proxy# crontab -e @reboot /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf

6. Да видим какво слуша сега нашият прокси
root@debian9:~# netstat -nlp

netstat регистрационен файлАктивни интернет връзки (само сървъри)
Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние PID/Име на програмата
tcp 0 0 0.0.0.0:22 0.0.0.0:* СЛУШАЙТЕ 349/sshd
tcp 0 0 0.0.0.0:888 0.0.0.0:* СЛУШАЙТЕ 354/3прокси
tcp6 0 0 :::22 :::* СЛУШАЙТЕ 349/sshd
udp 0 0 0.0.0.0:53 0.0.0.0:* 354/3прокси
udp 0 0 0.0.0.0:68 0.0.0.0:* 367/dhclient

7. Сега проксито е готово да приеме всякакви TCP връзки на порт 888, DNS на порт 53, за да ги пренасочи към отдалечен socks5 - прокси и DNS Google 8.8.8.8. Остава да конфигурираме netfilter (iptables) и DHCP правилата за издаване на адреси.

8. Инсталирайте пакета iptables-persistent и dhcpd

root@debian9:~# apt-get install iptables-persistent isc-dhcp-server

9. Редактирайте файла за стартиране на dhcpd
root@debian9:~# nano /etc/dhcp/dhcpd.conf

dhcpd.conf#dhcpd.conf
#
# Примерен конфигурационен файл за ISC dhcpd
#

# дефиниции на опции, общи за всички поддържани мрежи...
име на домейн опция "example.org";
опция домейн-име-сървъри ns1.example.org, ns2.example.org;

време за наем по подразбиране 600;
макс. време на наем 7200;

ddns-update-style няма;

# Ако този DHCP сървър е официалният DHCP сървър за локалния
# мрежа, авторитетната директива трябва да бъде без коментари.

авторитетен;

# Малко по-различна конфигурация за вътрешна подмрежа.
подмрежа 192.168.201.0 мрежова маска 255.255.255.0 {
обхват 192.168.201.10 192.168.201.250;
опция домейн-име-сървъри 192.168.201.254;
опционални рутери 192.168.201.254;
опция излъчване-адрес 192.168.201.255;
време за наем по подразбиране 600;
макс. време на наем 7200;
}

11. Рестартирайте и проверете услугата на порт 67
root@debian9:~# reboot root@debian9:~# netstat -nlp

netstat регистрационен файлАктивни интернет връзки (само сървъри)
Proto Recv-Q Send-Q Локален адрес Външен адрес Състояние PID/Име на програмата
tcp 0 0 0.0.0.0:22 0.0.0.0:* СЛУШАЙТЕ 389/sshd
tcp 0 0 0.0.0.0:888 0.0.0.0:* СЛУШАЙТЕ 310/3прокси
tcp6 0 0 :::22 :::* СЛУШАЙТЕ 389/sshd
udp 0 0 0.0.0.0:20364 0.0.0.0:* 393/dhcpd
udp 0 0 0.0.0.0:53 0.0.0.0:* 310/3прокси
udp 0 0 0.0.0.0:67 0.0.0.0:* 393/dhcpd
udp 0 0 0.0.0.0:68 0.0.0.0:* 405/dhclient
udp6 0 0 :::31728 :::* 393/dhcpd
необработен 0 0 0.0.0.0:1 0.0.0.0:* 393/dhcpd

12. Остава да пренасочите всички tcp заявки към порт 888 и да запазите правилото в iptables

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -p tcp -j REDIRECT --to-ports 888

root@debian9:~# iptables-save > /etc/iptables/rules.v4

13. За да разширите честотната лента на канала, можете да използвате няколко прокси сървъра наведнъж. Общата сума трябва да бъде 1000. Установяват се нови връзки с вероятност от 0.2, 0.2, 0.2, 0.2, 0,1, 0,1 към посочените прокси сървъри.

Забележка: ако имаме уеб прокси, тогава вместо socks5 трябва да напишете свързване, ако socks4, тогава socks4 (socks4 НЕ ПОДДЪРЖА ВХОД / АВТОРИЗАЦИЯ С ПАРОЛА!)

Пример за конфигурация на прозрачен прокси #2демон
pidfile /home/joke/proxy/3proxy.pid
сървър 8.8.8.8
nscache 65536
maxconn 500
изчаквания 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
завъртете 3
промиване
auth уникално
dnspr
позволява *

родител 200 socks5 IP_ADDRESS_EXTERNAL_PROXY#1 3128 тестер 1234
родител 200 socks5 IP_ADDRESS_EXTERNAL_PROXY#2 3128 тестер 1234
родител 200 socks5 IP_ADDRESS_EXTERNAL_PROXY#3 3128 тестер 1234
родител 200 socks5 IP_ADDRESS_EXTERNAL_PROXY#4 3128 тестер 1234
родител 100 socks5 IP_ADDRESS_EXTERNAL_PROXY#5 3128 тестер 1234
родител 100 socks5 IP_ADDRESS_EXTERNAL_PROXY#6 3128 тестер 1234

плъгин /opt/proxy/3proxy-0.8.12/src/TransparentPlugin.ld.so transparent_plugin
tcppm -i0.0.0.0 888 127.0.0.1 11111

Настройка и стартиране на NAT + Transparent Proxy конфигурация

В тази конфигурация ще използваме обичайния NAT механизъм със селективно или пълно прозрачно проксииране на отделни адреси или подмрежи. Потребителите на вътрешната мрежа ще работят с определени услуги / подмрежи, без дори да осъзнават, че работят чрез прокси. Всички https връзки работят добре, няма нужда от генериране/подмяна на сертификати.

Първо, нека решим кои подмрежи/услуги искаме да проксираме. Да приемем, че външните прокси сървъри се намират там, където работи услуга като pandora.com. Сега остава да се определят неговите подмрежи / адреси.

1. Пинг

root@debian9:~# ping pandora.com
PING pandora.com (208.85.40.20) 56 (84) байта данни.

2. Пишем в Google BGP 208.85.40.20

Отидете на сайта bgp.he.net/net/208.85.40.0/24#_netinfo
Вижда се, че подмрежата, която търся е AS40428 Pandora Media, Inc.

bgp.he.net/net/208.85.40.0/24#_netinfo

Отваряне на префикси v4

bgp.he.net/AS40428#_prefixes

Ето необходимите подмрежи!

199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
199.116.164.0/24
199.116.165.0/24
208.85.40.0/24
208.85.41.0/24
208.85.42.0/23
208.85.42.0/24
208.85.43.0/24
208.85.44.0/24
208.85.46.0/23
208.85.46.0/24
208.85.47.0/24

3. За да намалите броя на подмрежите, трябва да извършите агрегиране. Да отидем на сайта ip-calculator.ru/aggregate и копирайте нашия списък там. В резултат - 6 подмрежи вместо 14.

199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
208.85.40.0/22
208.85.44.0/24
208.85.46.0/23

4. Почистете правилата на iptables

root@debian9:~# iptables -F root@debian9:~# iptables -X root@debian9:~# iptables -t nat -F root@debian9:~# iptables -t nat -X

Активирайте механизма за препращане и NAT

root@debian9:~# echo 1 > /proc/sys/net/ipv4/ip_forward root@debian9:~# iptables -A FORWARD -i enp0s3 -o enp0s8 -j ACCEPT root@debian9:~# iptables -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT root@debian9:~# iptables -t nat -A POSTROUTING -o enp0s3 -s 192.168.201.0/24 -j MASQUERADE

За да бъде разрешено препращането за постоянно след рестартиране, ние ще променим файла

root@debian9:~# nano /etc/sysctl.conf

И разкоментирайте реда

net.ipv4.ip_forward = 1

Ctrl+X за запазване на файла

5. Увийте подмрежите на pandora.com в прокси

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888

6. Запазете правилата

root@debian9:~# iptables-save > /etc/iptables/rules.v4

Настройване и стартиране на Transparent Proxy чрез конфигурация на рутер

В тази конфигурация прозрачният прокси сървър може да бъде отделен компютър или виртуална машина зад домашен/корпоративен рутер. Достатъчно е да регистрирате статични маршрути на рутера или устройствата и цялата подмрежа ще използва проксито, без да са необходими допълнителни настройки.

ВАЖНО! Необходимо е нашият шлюз да получи статичен IP адрес от рутера или да бъде конфигуриран за самия статичен адрес.

1. Настройте статичен адрес на шлюз (адаптер enp0s3)

root@debian9:~# nano /etc/network/interfaces

източник /etc/network/interfaces.d/*

# Интерфейс-примка мрежа
авто ето
iface ето Инет примка

# Основният мрежов интерфейс
разреши-горещо включване enp0s3
iface enp0s3 inet static
адрес 192.168.23.2
мрежова маска 255.255.255.0
192.168.23.254 Gateway

2. Разрешете на устройства от подмрежата 192.168.23.0/24 да използват прокси сървър

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.23.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888

3. Запазете правилата
root@debian9:~# iptables-save > /etc/iptables/rules.v4

4. Да напишем подмрежи на рутера

Списък с мрежи на рутери199.116.161.0 255.255.255.0 192.168.23.2
199.116.162.0 255.255.255.0 192.168.23.2
199.116.164.0 255.255.254.0 192.168.23.2
208.85.40.0 255.255.252.0 192.168.23.2
208.85.44.0 255.255.255.0 192.168.23.2
208.85.46.0 255.255.254.0 192.168.23.2

Използвани материали/ресурси

1. Официален сайт на програмата 3proxy 3proxy.ru

2. Инструкции за инсталиране на 3proxy от източници www.ekzorchik.ru/2015/02/how-to-take-your-socks-proxy

3. 3прокси клон за разработчици в GitHub github.com/z3APA3A/3proxy/issues/274

Източник: www.habr.com

Основите на прозрачното прокси с помощта на 3proxy и iptables / netfilter или как да „пуснете всичко през прокси“

Инсталиране на 3proxy и стартиране на нормален прокси

Настройка и стартиране на NAT конфигурация за прозрачен прокси

Настройка и стартиране на NAT + Transparent Proxy конфигурация

Настройване и стартиране на Transparent Proxy чрез конфигурация на рутер

Използвани материали/ресурси

Добавяне на нов коментар

Основите на прозрачното прокси с помощта на 3proxy и iptables / netfilter или как да „пуснете всичко през прокси“

Инсталиране на 3proxy и стартиране на нормален прокси

Настройка и стартиране на NAT конфигурация за прозрачен прокси

Настройка и стартиране на NAT + Transparent Proxy конфигурация

Настройване и стартиране на Transparent Proxy чрез конфигурация на рутер

Използвани материали/ресурси

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар