🥇Основи на транспарентно прокси со користење на 3proxy и iptables/netfilter или како „да се стави сè преку прокси“

Во оваа статија би сакал да ги откријам можностите за транспарентно прокси, кое ви овозможува да го пренасочите целиот или дел од сообраќајот преку надворешни прокси-сервери апсолутно незабележано од клиентите.

Кога почнав да го решавам овој проблем, се соочив со фактот дека неговата имплементација имаше еден значаен проблем - протоколот HTTPS. Во старите добри времиња, немаше посебни проблеми со транспарентното HTTP-прокси, но со HTTPS-прокси, прелистувачите пријавуваат пречки во протоколот и тука завршува среќата.

Во заедничките инструкции за прокси-серверот Squid дури предлагаат да генерирате сопствен сертификат и да го инсталирате на клиентите, што во најмала рака е целосна глупост, ирационално и изгледа како напад на MITM. Знам дека Squid веќе може да направи нешто слично, но овој напис е за докажан и работен метод со користење на 3proxy од почитуваниот 3APA3A.

Следно, детално ќе го разгледаме процесот на градење на 3прокси од изворот, неговата конфигурација, целосно и селективно прокси со помош на NAT, дистрибуција на канали до неколку надворешни прокси-сервери, како и употреба на рутер и статични рути. Ние користиме Debian 9 x64 како оперативен систем. Започнете!

Инсталирање на 3прокси и водење обичен прокси-сервер

1. Инсталирајте ifconfig (од пакетот net-tools)
apt-get install net-tools
2. Инсталирајте Midnight Commander
apt-get install mc
3. Сега имаме 2 интерфејси:
enp0s3 - надворешен, гледа на Интернет
enp0s8 - внатрешен, мора да погледне во локалната мрежа
На други дистрибуции базирани на Debian, интерфејсите обично се именувани eth0 и eth1.
ifconfig -a

Интерфејсиenp0s3: знаменца=4163 mtu 1500
инет 192.168.23.11 мрежна маска 255.255.255.0 емитување 192.168.23.255
inet6 fe80::a00:27ff:fec2:bae4 префикслен 64 scopeid 0x20 етер 08:00:27:c2:ba:e4 txqueuelen 1000 (Етернет)
RX пакети 6412 бајти 8676619 (8.2 MiB)
RX грешки 0 падна 0 пречекорување 0 рамка 0
TX пакети 1726 бајти 289128 (282.3 KiB)
TX грешки 0 падна 0 прегазување 0 носител 0 судири 0

enp0s8: знаменца=4098 mtu 1500
етер 08:00:27:79:a7:e3 txqueuelen 1000 (Етернет)
RX пакети 0 бајти 0 (0.0 B)
RX грешки 0 падна 0 пречекорување 0 рамка 0
TX пакети 0 бајти 0 (0.0 B)
TX грешки 0 падна 0 прегазување 0 носител 0 судири 0

ете: знамиња=73 mtu 65536
inet 127.0.0.1 мрежна маска 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10 loop txqueuelen 1 (Local Loopback)
RX пакети 0 бајти 0 (0.0 B)
RX грешки 0 падна 0 пречекорување 0 рамка 0
TX пакети 0 бајти 0 (0.0 B)
TX грешки 0 падна 0 прегазување 0 носител 0 судири 0

Интерфејсот enp0s8 моментално не се користи, ќе го овозможиме кога сакаме да користиме прокси NAT или NAT конфигурација. Тогаш би било логично да му се додели статичка IP адреса.

4. Да започнеме со инсталирање на 3proxy

4.1 Инсталирање на основни пакети за компајлирање 3прокси од извори

root@debian9:~# apt-get install build-essential libevent-dev libssl-dev -y

4.2. Ајде да создадеме папка за преземање на архивата со извори

root@debian9:~# mkdir -p /opt/proxy

4.3. Ајде да одиме во оваа папка

root@debian9:~# cd /opt/proxy

4.4. Сега да го преземеме најновиот 3прокси пакет. Во моментот на пишување, најновата стабилна верзија беше 0.8.12 (18) Преземете ја од официјалната веб-локација 04proxy

root@debian9:/opt/proxy# wget https://github.com/z3APA3A/3proxy/archive/0.8.12.tar.gz

4.5. Ајде да ја отпакуваме преземената архива

root@debian9:/opt/proxy# tar zxvf 0.8.12.tar.gz

4.6. Одете во неотпакуваниот директориум за да ја изградите програмата

root@debian9:/opt/proxy# cd 3proxy-0.8.12

4.7. Следно, треба да додадеме линија во датотеката за заглавие, така што нашиот сервер е целосно анонимен (навистина работи, сè е проверено, IP-адресите на клиентот се скриени)

root@debian9:/opt/proxy/3proxy-0.8.12# nano +29 src/proxy.h

Додадете линија

#define ANONYMOUS 1
Притиснете Ctrl+x и Enter за да ги зачувате промените.

4.8. Да почнеме да ја составуваме програмата

root@debian9:/opt/proxy/3proxy-0.8.12# make -f Makefile.Linux

Макелогmake[2]: Напуштање на директориумот „/opt/proxy/3proxy-0.8.12/src/plugins/TransparentPlugin“
make[1]: напуштање на директориумот „/opt/proxy/3proxy-0.8.12/src“

Без грешки, да продолжиме.

4.9. Инсталирајте ја програмата на системот

root@debian9:/opt/proxy/3proxy-0.8.12# make -f Makefile.Linux install

4.10. Одете во root директориумот и проверете каде е инсталирана програмата

root@debian9:/opt/proxy/3proxy-0.8.12# cd ~/ root@debian9:~# whereis 3proxy
3прокси: /usr/local/bin/3proxy /usr/local/etc/3proxy

4.11. Ајде да создадеме папка за конфигурациски датотеки и дневници во домашниот директориум на корисникот

root@debian9:~# mkdir -p /home/joke/proxy/logs

4.12. Одете во директориумот каде што треба да биде конфигурацијата

root@debian9:~# cd /home/joke/proxy/

4.13. Направете празна датотека и копирајте ја конфигурацијата таму

root@debian9:/home/joke/proxy# cat > 3proxy.conf

3прокси.конфдемон
pidfile /home/joke/proxy/3proxy.pid
нсервер 8.8.8.8
nscache 65536
тестер на корисници:CL:1234
тајмаути 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log Д
логформат „- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T“
ротирај 3
автен силна
рамна
дозволи тестер
чорапи -p3128
прокси -p8080

За да зачувате, притиснете Ctrl + Z

4.14. Ајде да создадеме датотека pid за да нема грешки при стартување.

root@debian9:/home/joke/proxy# cat > 3proxy.pid

За да зачувате, притиснете Ctrl + Z

4.15. Ајде да го стартуваме прокси-серверот!

root@debian9:/home/joke/proxy# 3proxy /home/joke/proxy/3proxy.conf

4.16. Ајде да видиме дали серверот слуша на порти

root@debian9:~/home/joke/proxy# netstat -nlp

дневник на нетстатАктивни интернет конекции (само сервери)
Proto Recv-Q Send-Q локална адреса Странска адреса Држава PID/Име на програмата
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 504/3proxy
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 338/sshd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 504/3proxy
tcp6 0 0 :::22 :::* LISTEN 338/sshd
udp 0 0 0.0.0.0:68 0.0.0.0:* 352/dhclient

Како што беше напишано во конфигурацијата, нашиот веб-прокси ја слуша портата 8080, проксито Socks5 ја слуша портата 3128.

4.17. За автоматско стартување на услугата за прокси по рестартирање, треба да ја додадете во cron.

root@debian9:/home/joke/proxy# crontab -e

Додадете линија

@reboot /usr/local/bin/3proxy /home/joke/proxy/3proxy.conf

Притискаме Enter, бидејќи cron треба да го види знакот на крајот на линијата и да ја зачува датотеката.

Треба да има порака за инсталирање на нов crontab.

crontab: инсталирање на нов crontab

4.18. Ајде да го рестартираме системот и да се обидеме да се поврземе преку прелистувачот со прокси. За да провериме, го користиме прелистувачот Firefox (за веб-прокси) и додатокот FoxyProxy за чорапи5 со автентикација.

root@debian9:/home/joke/proxy# reboot

4.19. Откако ќе ја проверите работата на прокси по рестартирање, можете да ги прегледате дневниците. Ова го комплетира поставувањето на прокси-серверот.

3 дневник за прокси1542573996.018 PROXY.8080 00000 тестер 192.168.23.10:50915 217.12.15.54:443 1193 6939 0 CONNECT_ads.yahoo_HTTP443.
1542574289.634 SOCK5.3128 00000 тестер 192.168.23.10:51193 54.192.13.69:443 0 0 0 CONNECT_normandy.cdn.mozilla.net:443

Поставување и извршување на конфигурација на транспарентен прокси NAT

Во оваа конфигурација, сите уреди на внатрешната мрежа транспарентно ќе работат на Интернет преку оддалечен прокси-сервер. Апсолутно сите TCP конекции ќе бидат пренасочени на еден или повеќе (навистина ја проширува ширината на каналот, пример за конфигурација бр. 2!) прокси-сервери. Услугата DNS ќе користи 3 прокси (dnspr) способности. UDP нема да „оди“ нанадвор, бидејќи сè уште не го користиме механизмот за напред (стандардно оневозможен во кернелот на Linux).

1. Време е да го овозможите интерфејсот enp0s8

root@debian9:~# nano /etc/network/interfaces

/etc/network/interfaces датотека# Оваа датотека ги опишува мрежните интерфејси достапни на вашиот систем
# и како да ги активирате. За повеќе информации, видете интерфејси (5).

извор /etc/network/interfaces.d/*

# Мрежен интерфејс со повратна врска
автомобил тоа
iface lo inet loopback

# Примарниот мрежен интерфејс
Дозволи-Хотприклучок enp0s3
iface enp0s3 inet dhcp

# Секундарниот мрежен интерфејс
Дозволи-Хотприклучок enp0s8
iface enp0s8 инет статичен
адреса 192.168.201.254
мрежна маска 255.255.255.0

Овде на интерфејсот enp0s8 му доделивме статична адреса 192.168.201.254 и маска 255.255.255.0
Зачувајте ја конфигурацијата Ctrl+X и рестартирајте

root@debian9:~# reboot

2. Проверка на интерфејсите

root@debian9:~# ifconfig

дневник на ifconfigenp0s3: знаменца=4163 mtu 1500
инет 192.168.23.11 мрежна маска 255.255.255.0 емитување 192.168.23.255
inet6 fe80::a00:27ff:fec2:bae4 префикслен 64 scopeid 0x20 етер 08:00:27:c2:ba:e4 txqueuelen 1000 (Етернет)
RX пакети 61 бајти 7873 (7.6 KiB)
RX грешки 0 падна 0 пречекорување 0 рамка 0
TX пакети 65 бајти 10917 (10.6 KiB)
TX грешки 0 падна 0 прегазување 0 носител 0 судири 0

enp0s8: знаменца=4163 mtu 1500
инет 192.168.201.254 мрежна маска 255.255.255.0 емитување 192.168.201.255
inet6 fe80::a00:27ff:fe79:a7e3 префикслен 64 scopeid 0x20 етер 08:00:27:79:a7:e3 txqueuelen 1000 (Етернет)
RX пакети 0 бајти 0 (0.0 B)
RX грешки 0 падна 0 пречекорување 0 рамка 0
TX пакети 8 бајти 648 (648.0 B)
TX грешки 0 падна 0 прегазување 0 носител 0 судири 0

3. Сè успеа, сега треба да го конфигурирате 3proxy за транспарентно прокси.

root@debian9:~# cd /home/joke/proxy/ root@debian9:/home/joke/proxy# cat > 3proxytransp.conf

Пример за конфигурација на транспарентен прокси-сервер бр. 1демон
pidfile /home/joke/proxy/3proxy.pid
нсервер 8.8.8.8
nscache 65536
тајмаути 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log Д
логформат „- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T“
ротирај 3
рамна
автентичност само
dnspr
дозволи *
родител 1000 socks5 IP_ADDRESS OF EXTERNAL_PROXY 3128 тестер 1234
приклучок /opt/proxy/3proxy-0.8.12/src/TransparentPlugin.ld.so transparent_plugin
tcppm -i0.0.0.0 888 127.0.0.1 11111

4. Сега стартуваме 3proxy со новата конфигурација
root@debian9:/home/joke/proxy# /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf

5. Повторно додадете во crontab
root@debian9:/home/joke/proxy# crontab -e @reboot /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf

6. Ајде да видиме што слуша нашиот прокси сега
root@debian9:~# netstat -nlp

дневник на нетстатАктивни интернет конекции (само сервери)
Proto Recv-Q Send-Q локална адреса Странска адреса Држава PID/Име на програмата
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 349/sshd
tcp 0 0 0.0.0.0:888 0.0.0.0:* LISTEN 354/3proxy
tcp6 0 0 :::22 :::* LISTEN 349/sshd
udp 0 0 0.0.0.0:53 0.0.0.0:* 354/3прокси
udp 0 0 0.0.0.0:68 0.0.0.0:* 367/dhclient

7. Сега проксито е подготвено да прифати какви било TCP конекции на портата 888, DNS на портата 53, така што тие потоа може да се пренасочат кон далечинскиот прокси socks5 и DNS Google 8.8.8.8. Сè што треба да направиме е да ги конфигурираме правилата за нетфилтер (iptables) и DHCP за издавање адреси.

8. Инсталирајте го пакетот iptables-persistent и dhcpd

root@debian9:~# apt-get install iptables-persistent isc-dhcp-server

9. Уредете ја датотеката за стартување dhcpd
root@debian9:~# nano /etc/dhcp/dhcpd.conf

dhcpd.conf# dhcpd.conf
#
# Примерок за конфигурациска датотека за ISC dhcpd
#

# дефиниции за опции заеднички за сите поддржани мрежи…
опција домен-име "example.org";
опција домен-име-сервери ns1.example.org, ns2.example.org;

стандардно време на закуп 600;
макс-време на закуп 7200;

ddns-update-style нема;

# Ако овој DHCP сервер е официјален DHCP сервер за локалниот
# мрежа, авторитативната директива не треба да се коментира.

авторитетен;

# Малку поинаква конфигурација за внатрешна подмрежа.
подмрежа 192.168.201.0 мрежна маска 255.255.255.0 {
опсег 192.168.201.10 192.168.201.250;
опција домен-име-сервери 192.168.201.254;
рутери за опции 192.168.201.254;
опција-емитувана-адреса 192.168.201.255;
стандардно време на закуп 600;
макс-време на закуп 7200;
}

11. Рестартирајте и проверете ја услугата на портата 67
root@debian9:~# reboot root@debian9:~# netstat -nlp

дневник на нетстатАктивни интернет конекции (само сервери)
Proto Recv-Q Send-Q локална адреса Странска адреса Држава PID/Име на програмата
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 389/sshd
tcp 0 0 0.0.0.0:888 0.0.0.0:* LISTEN 310/3proxy
tcp6 0 0 :::22 :::* LISTEN 389/sshd
udp 0 0 0.0.0.0:20364 0.0.0.0:* 393/dhcpd
udp 0 0 0.0.0.0:53 0.0.0.0:* 310/3прокси
udp 0 0 0.0.0.0:67 0.0.0.0:* 393/dhcpd
udp 0 0 0.0.0.0:68 0.0.0.0:* 405/dhclient
udp6 0 0 :::31728 :::* 393/dhcpd
суровини 0 0 0.0.0.0:1 0.0.0.0:* 393/dhcpd

12. Останува само да се пренасочат сите tcp барања до портата 888 и да се зачува правилото во iptables

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -p tcp -j REDIRECT --to-ports 888

root@debian9:~# iptables-save > /etc/iptables/rules.v4

13. За да го проширите пропусниот опсег на каналот, можете да користите неколку прокси-сервери одеднаш. Вкупниот број мора да биде 1000. Новите врски се воспоставуваат со веројатност од 0.2, 0.2, 0.2, 0.2, 0,1, 0,1 до наведените прокси-сервери.

Забелешка: ако имаме веб-прокси, тогаш наместо socks5 треба да напишеме connect, ако socks4, тогаш socks4 (socks4 НЕ ПОДДРЖУВА ОВЛАСТУВАЊЕ НА ВЛЕЗ/ЛАЗИНКА!)

Пример за конфигурација на транспарентен прокси-сервер бр. 2демон
pidfile /home/joke/proxy/3proxy.pid
нсервер 8.8.8.8
nscache 65536
maxconn 500
тајмаути 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log Д
логформат „- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T“
ротирај 3
рамна
автентичност само
dnspr
дозволи *

родител 200 чорапи5 IP_ADDRESS_EXTERNAL_PROXY#1 3128 тестер 1234
родител 200 чорапи5 IP_ADDRESS_EXTERNAL_PROXY#2 3128 тестер 1234
родител 200 чорапи5 IP_ADDRESS_EXTERNAL_PROXY#3 3128 тестер 1234
родител 200 чорапи5 IP_ADDRESS_EXTERNAL_PROXY#4 3128 тестер 1234
родител 100 чорапи5 IP_ADDRESS_EXTERNAL_PROXY#5 3128 тестер 1234
родител 100 чорапи5 IP_ADDRESS_EXTERNAL_PROXY#6 3128 тестер 1234

приклучок /opt/proxy/3proxy-0.8.12/src/TransparentPlugin.ld.so transparent_plugin
tcppm -i0.0.0.0 888 127.0.0.1 11111

Поставување и извршување на NAT + Транспарентна конфигурација на прокси

Во оваа конфигурација, ќе го користиме вообичаениот механизам NAT со селективно или целосно транспарентно прокси на поединечни адреси или подмрежи. Корисниците на внатрешната мрежа ќе работат со одредени услуги/подмрежи без воопшто да сфатат дека работат преку прокси. Сите https врски работат добро, не треба да се генерираат/заменуваат сертификати.

Прво, да одлучиме кои подмрежи/услуги сакаме да ги проксираме. Да претпоставиме дека надворешните прокси се наоѓаат таму каде што работи услуга како pandora.com. Сега останува да се одредат неговите подмрежи/адреси.

1. Пинг

root@debian9:~# ping pandora.com
PING pandora.com (208.85.40.20) 56 (84) бајти податоци.

2. Напишете BGP 208.85.40.20 во Google

Ајде да одиме на страницата bgp.he.net/net/208.85.40.0/24#_netinfo
Се гледа дека подмрежата што ја барам е AS40428 Pandora Media, Inc

bgp.he.net/net/208.85.40.0/24#_netinfo

Отворање на v4 префикси

bgp.he.net/AS40428#_префикси

Еве ги потребните подмрежи!

199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
199.116.164.0/24
199.116.165.0/24
208.85.40.0/24
208.85.41.0/24
208.85.42.0/23
208.85.42.0/24
208.85.43.0/24
208.85.44.0/24
208.85.46.0/23
208.85.46.0/24
208.85.47.0/24

3. За да го намалите бројот на подмрежи, треба да извршите агрегација. Одете на страницата ip-calculator.ru/aggregate и копирајте ја нашата листа таму. Како резултат - 6 подмрежи наместо 14.

199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
208.85.40.0/22
208.85.44.0/24
208.85.46.0/23

4. Исчистете ги правилата на iptables

root@debian9:~# iptables -F root@debian9:~# iptables -X root@debian9:~# iptables -t nat -F root@debian9:~# iptables -t nat -X

Овозможете го механизмот напред и NAT

root@debian9:~# echo 1 > /proc/sys/net/ipv4/ip_forward root@debian9:~# iptables -A FORWARD -i enp0s3 -o enp0s8 -j ACCEPT root@debian9:~# iptables -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT root@debian9:~# iptables -t nat -A POSTROUTING -o enp0s3 -s 192.168.201.0/24 -j MASQUERADE

За да се осигураме дека проследувањето е трајно овозможено по рестартирањето, ајде да ја смениме датотеката

root@debian9:~# nano /etc/sysctl.conf

И откоментирајте ја линијата

net.ipv4.ip_forward = 1

Ctrl+X за да ја зачувате датотеката

5. Ние ги обвиткуваме подмрежите на pandora.com во прокси

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888

6. Да ги задржиме правилата

root@debian9:~# iptables-save > /etc/iptables/rules.v4

Поставување и активирање на Транспарентниот прокси преку конфигурација на рутерот

Во оваа конфигурација, транспарентниот прокси-сервер може да биде посебен компјутер или виртуелна машина зад домашен/корпоративен рутер. Доволно е да се регистрираат статични правци на рутерот или уредите и целата подмрежа ќе користи прокси без потреба од дополнителни поставки.

ВАЖНО! Неопходно е нашата порта да прима статичка IP од рутерот или да е конфигурирана да биде статична.

1. Конфигурирајте статична адреса на портата (адаптер enp0s3)

root@debian9:~# nano /etc/network/interfaces

извор /etc/network/interfaces.d/*

# Мрежен интерфејс со повратна врска
автомобил тоа
iface lo inet loopback

# Примарниот мрежен интерфејс
Дозволи-Хотприклучок enp0s3
iface enp0s3 инет статичен
адреса 192.168.23.2
мрежна маска 255.255.255.0
портал 192.168.23.254

2. Дозволете уредите од подмрежата 192.168.23.0/24 да користат прокси

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.23.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888

3. Да ги задржиме правилата
root@debian9:~# iptables-save > /etc/iptables/rules.v4

4. Ајде да регистрираме подмрежи на рутерот

Список на мрежа на рутер199.116.161.0 255.255.255.0 192.168.23.2
199.116.162.0 255.255.255.0 192.168.23.2
199.116.164.0 255.255.254.0 192.168.23.2
208.85.40.0 255.255.252.0 192.168.23.2
208.85.44.0 255.255.255.0 192.168.23.2
208.85.46.0 255.255.254.0 192.168.23.2

Користени материјали/ресурси

1. Официјална веб-страница на програмата 3proxy 3proxy.ru

2. Инструкции за инсталирање на 3прокси од извор www.ekzorchik.ru/2015/02/how-to-take-your-socks-proxy

3. 3 гранка за развој на прокси на GitHub github.com/z3APA3A/3proxy/issues/274

Извор: www.habr.com

Основи на транспарентно прокси со користење на 3proxy и iptables/netfilter или како „да се стави сè преку прокси“

Инсталирање на 3прокси и водење обичен прокси-сервер

Поставување и извршување на конфигурација на транспарентен прокси NAT

Поставување и извршување на NAT + Транспарентна конфигурација на прокси

Поставување и активирање на Транспарентниот прокси преку конфигурација на рутерот

Користени материјали/ресурси

Додадете коментар Откажи одговор