ProHoster > Blog > netfréttir > fproxy v83 - staðbundinn proxy-þjónn til að sía http(s) umferð

fproxy v83 - staðbundinn proxy-þjónn til að sía http(s) umferð

83. útgáfa af skyndiminni og ruslpóstþjóni til einkanota með sveigjanlegum stillingum hefur verið gefin út.

Helstu aðgerðir (allt er sérhannaðar):

  1. síun á óæskilegu efni (hvítir/svartir listar á vefslóðum, bann við fótsporum);
  2. þvinguð og ótímabundin skyndiminni á mótteknum gögnum (aðallega þægilegt fyrir myndir og handrit);
  3. leiðrétta innihald vefsíðna á flugi (með því að breyta frumkóðann í C er dæmi um að skipta út innihaldi á stackoverflow klónasíðum með hlekk á frumritið);
  4. svartur/hvítur listi yfir skírteini og skírteinisfestingu samkvæmt listanum;
  5. skipta um IP tölu/lén/slóð/samskiptareglur fyrir http beiðni í samræmi við stillingar (svona útbreidd útgáfa af /etc/hosts);
  6. http/https sniffer.

Fullkomið til að skoða síður á hægu interneti eða úr hægu tæki (þökk sé liðum 1 og 2, þar sem allt var upphaflega byrjað), en almennt gagnlegt í öllum tilvikum.

Í öryggisskyni og til að einfalda rökfræði aðgerðarinnar er proxy-þjóninum skipt í þrjá hluta: TLS-þjónn (lokandi vafratengingar), miðlæg proxy-eining og biðlari sem slítur útleiðandi tengingum.

Forritið er hannað fyrir sérsniðna notkun, það er að segja allar stillingar og skráin með núverandi proxy-miðlaragögnum eru bundin við tiltekinn notanda, eða jafnvel við tiltekið vafrasnið. Það er tæknilega mögulegt að keyra proxy sem kerfisbreiðan púk, en á þessu formi er erfitt að nota eina af helstu aðgerðum hans - árásargjarn skyndiminni á öllu, þar sem hvert vafrasnið getur haft sín eigin skyndiminni og verður að vera einangrað frá hvert annað í öryggisskyni.

Dæmi um blokkalista:

neita nosub öllum share.yandex.ru browser-updater.yandex.net neita nosub öllum a.ria.ru # ? neita nosub spec vk.com fyrirspurn /share.php neita nosub spec yastatic.net fyrirspurn /pcode/adfox/loader.js fyrirspurn /share2/share.js neita nosub spec www.youtube.com fyrirspurn /subscribe_widget neita nosub spec pano.img .ria.ru fyrirspurn /adriver/flashplasin/movie.swf neita nosub spec a.ria.ru fyrirspurn /ping neita nosub spec n-ssl.ria.ru fyrirspurn /polling neita nosub spec apis.google.com fyrirspurn /js/plusone .js neita nosub sérstakri yandex.ru forgangi /clck/safeclick/ pref /clck/click/ pref /clck/jclck/ neita allri sérstakri fyrirspurn /tnc # index.ru umboðsteljari nákvæm /tnc.js # index.ru umboðsfyrirspurn /pixel.gif # sumir ruslpóstsmiðlarar nota þetta

Dæmi um leiðarlista:

https://my.local.site set proxy none set target http://127.0.0.1:1234/localsite set http_host new.host:1234 .intel.com resolve off set proxy socks5://127.0.0.1:3333

Ef um er að ræða uppfærslu úr útgáfu eldri en 78, ættir þú að umbreyta skyndiminni: farðu í vinnuskrá proxy-þjónsins frá notanda (uid/gid) proxy-þjónsins og keyrðu fproxy-cacheconv-78 (þetta forrit er ekki sjálfgefið saman).

Breytingar frá síðustu birtu útgáfu (80):

  1. fproxy-dashboard hefur nú möguleika á að sýna innihaldsstærðir í bætum frekar en kbæti;
  2. stuðningur við gallaþjóna sem hunsa „Connection: close“ hausinn;
  3. stuðningur við gallaþjóna sem skila röngum „Content-Encoding: Identity“ haus;
  4. að senda TLS valmöguleika ALPN;
  5. bættur rekstur TLS terminator utanaðkomandi aðila (viðskiptavinur): það styður nú ekki aðeins TLS, heldur einnig reglulegar tengingar, styður rekstur sem sjálfstæður púki með móttöku beiðna frá aðal proxy yfir netið, og getur einnig sent út tengingar sínar í gegnum annan umboðsmann, þannig að leyfa þannig sveigjanlega skiptingu verkefna milli hnúta við aðstæður þar sem nettenging er léleg og/eða þörf á að skipuleggja „úttak“ umferðar einhvers staðar á afskekktum netþjóni með mismiklu trausti; nýja útgáfan er líka þægilegra að nota handvirkt frá skipanalínunni sem TLS viðskiptavinur fyrir stjórnborð með proxy-stuðningi;
  6. samsetning hefur verið einfölduð, það er nú Makefile í stað skeljaforskrifta
  7. Forsmíðaðir .deb pakkar eru skipulagðir í geymslunni (fyrir Debian útgáfur 8-12)
  8. breytingar á stillingarskrá, afturábak-ósamhæfar
  9. nýja stillingar til að stjórna beiðnarleiðum, sem sameinaði áður aðskildar stillingar upplausnar og gerði kleift að senda út tengingar á ytri miðlara, og fékk einnig fjölda nýrra valkosta: nú geturðu valið hvaða biðlara á að nota fyrir hverja slóð (samskiptareglur, lén, höfn, slóð), til hvaða umboðsþjóns það verður sent, í gegnum hvers DNS-miðlara verður IP-tala þess ákvörðuð (þar á meðal valfrjáls framsal á þessu verkefni til utanaðkomandi http eða socks5 proxy), eða sláðu inn heimilisfangið handvirkt, sem og skipta um siðareglur, gátt eða slóðarforskeytið -A
  10. bætti við stuðningi við SAN vottorð fyrir IP tölur bæði í biðlara og netþjóni (vafrar hafa nýlega hætt að taka við IP tölum í CommonName)

Framtíðar plön:

  1. stuðningur við CGI/FastCGI/.so króka fyrir mitm vinnslu á efni sem berast frá síðum
  2. proxy prófíl og stillingarstjóra
  3. gagnvirk stjórnun á eftirliti með vottorðum fjarlægra vefsvæða og lokunarlistum

Heimild: linux.org.ru

Bæta við athugasemd