(Notes) Notes (2016 год)

Minimal proxy config (special Linux distribution from Artica).

У мене на сайті викладена безліч налаштувань різноманітних Linux-серверів, наприклад Простые сервисы связи с сервером OpenSuse - SSH, SFTP, TFTP, SMB, VNC, VPN, Webmin, Избавляемся от Team Foundation Server - ставим Subversion, Установка и начальное конфигурирование OpenSuse Linux, Настройка Samba File Server в OpenSuse, Elastix - сервер VOIP-телефонии, Поднимаем на хостинге MySQL и PostgreSQL сервера.

Час от часу я виконую якийсь проєкти у Linux-овому середовище, наприклад Полная копия системы командой DD. Чи, наприклад Проєкт Desen.bg


Стосовно Проксі-серверів, я також багато разів описував на своєму сайті різноманітні конфигурации Proxy-серверу від Мікрософта, наприклад Настройка ISA Server 2006., а також засоби уникання інсталяції мікрософтовського софта, зокрема їх Проксі-сервера //www.vb-net.com/ngins/index.htm. Нажаль, щодо Proxy-серверів все це вже трошки застаріла інфа, якої вже більше 10-ти років. І тому я вирішив поновити інфу щодо Проксі-серверів і викласти нову інструкцію мінімального налаштування Squid для роботи у якості Proxy-server. Цього разу для інсталяції Proxy я взяв готовий дистрибутив проксі-серверу з інтегрованою системою керування Aptica-Proxy. Взагалі це мені дуже нагадало пакет Elastic над OpenSource Asterisk. Таким же чином компания Artica зробила непогану графічну надбудову над OpenSource-пакетом Squid і запакувала все це в окремий дистрибутив на базі Debian Linux.


Для того, щоб зрозуміти технологію налаштування моєї версії Proxy-Server'у, потрібно спочатку зрозуміти середовище, у якому я роблю налаштування у цьому прикладі. Головне, що потрібно зрозуміти, я роблю все це за фаєрволом, ось його два головних правила NAT, 14-те правило я буду використовувати у якості внутрішнього айпішніка, а 15-те правило у якісті зовнішнього айпішніка мого проксі-серверу.




Все налаштування і буду далі виконувати у VmWare, це теж моє улюблене середовище, яке я теж використовую багато років Основы работы с VmWare. Отже все починається з утворення віртуальної машини з одним сітьовим інтерфейсом (який дивиться в Інет і буде далі моїм зовнішнім айпішніком), диском 20 GB та 4 GB пам'яті.



Все, пішла загрузка Linux. По закінченні вона напише URL, по якому ми будемо робити всі подальші налаштування.



Єдине що корисне на цієї консолі - це адмінский пароль та запуск серверу SSH. Поки проксі-сервер працює і не зависає про цю консоль можна назавжди забути.



Отже, ми отримали адресу Web-інтерфейсу, по якої ми будемо далі робити всі налаштування. Їх буде небагато - потрібно вибрати тип сервісів фільтрації та звітів, адмінський пароль вєб-інтерфейсу, ім'я серверу, підтвердити айпішник, поставити VmWare tools та вибрати режим оптимізації, тобто швидкий доступ до віртуальних дисків VmWare.



Тепер додаємо другий інтерфейс, який я буду використовувати у якості внутрішнього. Взагалі, коли проксі стоїть за фаєрволом, можна мабуть побудувати систему і з одним айпишніком, та різними портами, але так всі налаштування більш прозорі.



І далі власно налаштування пробросу трафика з внутрішнього інтерфейсу на зовнішній. Головне що тут потрібно зе забути - це побудувати сертіфікат і вмикнути режим SSL.



Все, головне зроблено. Якщо ви з цього моменту почнете ходити зі свого браузера через проксі, то ви побачите, що ніякими засобами неможливо зрозуміти ваш дійсний айпішнік та вашу дійсну геолокацію. Ось наприклад я ніколи не був у Пітербурзі, але для усього інтернету мій айпішнік тепер буде саме російский-пітерський. Зверніть увагу що для цього потрібен лише (безкоштовний?) юніксовий хостинг, безкоштовний дистрибутив, п'ять хвилин та мабуть десятка два кліків мишкою.



Зрозуміло, що це не дуже корисний приклад використання проксі, бо на Росії Хуйло дозволяє своїм росіянчикам дивитися лише ті сайти, які прославляють його самого, мумію їхнього фараона Леніна та Гулаг з КГБ - тому більшість звичних нам сайтів буде там заборонена.



Але тут я описав найголовне, що потрібно було зробити, щоб налаштувати проксі. Далі непогано додати ще підтримку SOCK5, це необхідно для іграшок, чи взагалі для будь-якого середовища, по типу Skype.



Після цього ви можете зробити контрольну точку VmWare і починати самостійно робити власні експерименти з фаєрволом, аутентифікаціє, фільтрацією, звітами, зворотнім проксі, DNS та іншими багатьма-багатьма можливостями проксі, та цього дистрібутива.



Роутінг пакетів у моєму налаштуванні потрібен виглядати ось так.



Коли ви не розумієте, що робить та чи інша крапка у веб-інтерфейсі - корисно користуватися WinSCP - за допомогою його ви можете побачити будь власними очима будь-які зміни, які вносить веб-інтерфейс у конфіги всіх добре знайомих сервісів, наприклад SQUID, який є головною діючою особою цієї сторінки.



Поточне обслуговування будь-якого проксі неважке, це звичайний рестарт сервісів через Web-інтерфейс (якщо він працює), або вже з консолі.



Я описав тут специфічній варіант налаштувань, у мене тут зараз і WAN і LAN це зовнішні білі айпішники, зрозуміло, якщо ви ставите проксі для офіса, то потрібно для роботи проксі щонайменьше додати локальні мережі та аутентифікацію.

У цьому дистрибутиві дуже багато цікавих можливостей, наприклад я мав дуже цікаві бізнес-пропозиції щодо налаштування CAPTIVE-порталів на цьому проксі (з прокруткою там комерційної реклами). Але опис таких серйозних налаштувань виходить за межі двадцяти кліков мишкої за п'ять хвилин.

Щоб заглибитись далі у тему проксі, я пропоную вам подивитися взагалі на теми, які існують у проксі:

Також зверніть увагу на різницю між анонімними проксями та VPN, які теж багато разів я описував на своему сайті, наприклад ось тут VPN-клиенты.





Comments ( )
Link to this page: //www.vb-net.com/Artica-proxy/index.htm
< THANKS ME>