ProHoster > Log > Internett-nyheter > fproxy v83 - lokal proxy-server for filtrering av http(e) trafikk

fproxy v83 - lokal proxy-server for filtrering av http(e) trafikk

Den 83. versjonen av en buffer- og anti-spam proxy-server for personlig bruk med fleksible innstillinger er publisert.

Hovedfunksjoner (alt kan tilpasses):

  1. filtrering av uønsket innhold (hvite/svarte lister på nettadresser, forbud mot informasjonskapsler);
  2. tvungen og ubestemt hurtigbufring av mottatte data (hovedsakelig praktisk for bilder og skript);
  3. korrigere innholdet på nettsider i farten (ved å redigere kildekoden i C, er det et eksempel på å erstatte innholdet på stackoverflow-klonesider med en lenke til originalen);
  4. svart/hvite lister over sertifikater og sertifikatfesting i henhold til listen;
  5. erstatning av IP-adresse/domene/bane/protokoll for en http-forespørsel i henhold til konfigurasjonen (en slik utvidet versjon av /etc/hosts);
  6. http/https sniffer.

Perfekt for å se nettsteder over et tregt Internett eller fra en treg enhet (takket være punkt 1 og 2, som alt ble startet for), men generelt nyttig i alle fall.

Av sikkerhetshensyn og for å forenkle operasjonslogikken er proxy-serveren delt inn i tre deler: en TLS-server (terminerende nettlesertilkoblinger), en sentral proxy-modul og en klient som avslutter utgående tilkoblinger.

Programmet er designet for personlig bruk, det vil si at alle konfigurasjoner og katalogen med gjeldende proxy-serverdata er knyttet til en bestemt bruker, eller til og med til en bestemt nettleserprofil. Det er teknisk mulig å kjøre en proxy som en systemomfattende demon, men i denne formen er det vanskelig å bruke en av hovedfunksjonene - aggressiv caching av alt, siden hver nettleserprofil kan ha sine egne hurtigbufrede data og må være isolert fra hverandre av sikkerhetshensyn.

Eksempel på blokkeringsliste:

deny nosub all share.yandex.ru browser-updater.yandex.net nekte nosub all a.ria.ru # ? avslå nosub spec vk.com forespørsel /share.php nekte nosub spec yastatic.net query /pcode/adfox/loader.js query /share2/share.js nekte nosub spec www.youtube.com query /subscribe_widget nekte nosub spec pano.img .ria.ru-spørring /adriver/flashplagin/movie.swf nekte nosub-spesifikasjon a.ria.ru-søk /ping avslå nosub-spesifikasjon n-ssl.ria.ru-søk /polling nekte nosub-spesifikasjon apis.google.com-søk /js/plusone .js nekte nosub spec yandex.ru pref /clck/safeclick/ pref /clck/click/ pref /clck/jclck/ nekte alle spesifikasjoner /tnc # index.ru proxy teller eksakt /tnc.js # index.ru proxy teller spørring /pixel.gif # noen spammere bruker dette

Eksempel på en ruteliste:

https://my.local.site set proxy none set target http://127.0.0.1:1234/localsite set http_host new.host:1234 .intel.com resolve off set proxy socks5://127.0.0.1:3333

Ved oppdatering fra en versjon eldre enn 78, bør du konvertere cachen: gå til arbeidskatalogen til proxy-serveren fra brukeren (uid/gid) til proxy-serveren og kjør fproxy-cacheconv-78 (som standard dette programmet er ikke kompilert).

Endringer fra sist publiserte versjon (80):

  1. fproxy-dashboard har nå en mulighet til å vise innholdsstørrelser i byte i stedet for kbyte;
  2. støtte for buggy-servere som ignorerer "Connection: close"-overskriften;
  3. støtte for buggy-servere som returnerer feil "Content-Encoding: identity"-overskrift;
  4. sender TLS alternativ ALPN;
  5. forbedring av TLS-terminatoren til den eksterne parten (klienten): den støtter nå ikke bare TLS, men også vanlige tilkoblinger, støtter drift som en uavhengig demon med mottak av forespørsler fra hovedproxyen over nettverket, og kan også videresende sine utgående tilkoblinger gjennom en annen proxy, slik at den tillater fleksibel fordeling av oppgaver mellom noder under forhold med dårlig Internett-forbindelse og/eller behovet for å organisere «output» av trafikk et sted på en ekstern server med ulik grad av tillit; den nye versjonen er også mer praktisk å bruke manuelt fra kommandolinjen som en konsoll-TLS-klient med proxy-støtte;
  6. monteringen har blitt forenklet, det er nå en Makefile i stedet for shell-skript
  7. forhåndsbygde .deb-pakker er organisert i depotet (for Debian-versjoner 8-12)
  8. endringer i konfigurasjonsfilen, bakover-inkompatibel
  9. en ny konfigurasjon for å administrere forespørselsruting, som kombinerte de tidligere separate konfigurasjonene for oppløsning og muliggjør videresending av utgående tilkoblinger til en ekstern server, og fikk også en rekke nye alternativer: nå kan du velge hvilken klient du skal bruke for hver url (protokoll, domene, port, bane), hvilken proxy den vil bli sendt til, via hvis DNS-server IP-adressen vil bli bestemt (inkludert valgfri delegering av denne oppgaven til en ekstern http eller socks5 proxy), eller skriv inn adressen manuelt, samt erstatte protokoll-, port- eller url-baneprefikset -A
  10. lagt til støtte for SAN-sertifikater for IP-adresser i både klient og server (nettlesere har nylig sluttet å akseptere IP-adresser i CommonName)

Fremtidsplaner:

  1. støtte for CGI/FastCGI/.so-hooks for mitm-behandling av innhold mottatt fra nettsteder
  2. proxy-profil og konfigurasjonsbehandling
  3. interaktiv styring av kontroll av sertifikater for eksterne nettsteder og blokkeringslister

Kilde: linux.org.ru

Legg til en kommentar