раздать прокси через wifi ubuntu 18.04
раздать прокси через wifi ubuntu 18.04
Как раздать прокси через Wi-Fi на Ubuntu 18.04: полный гайд
Пошаговая инструкция, как безопасно раздать прокси через Wi-Fi на Ubuntu 18.04. Учтены утечки DNS, kill switch и юридические риски в РФ.
раздать прокси через wifi ubuntu 18.04 — задача, с которой сталкиваются пользователи, желающие превратить свой ноутбук в защищённую точку доступа. Это не просто «поделиться интернетом». Речь о том, чтобы весь трафик подключённых устройств проходил через прокси или VPN-туннель, маскируя реальный IP и шифруя данные. В России, где провайдеры обязаны хранить логи по закону №398-ФЗ, такая настройка может быть критичной для конфиденциальности. Но большинство гайдов молчат о том, что при неправильной конфигурации вы не только не получите анонимность, но и создадите уязвимую сеть, которую легко перехватить.
Почему обычный «общий доступ к интернету» — это ловушка
Ubuntu 18.04 (Bionic Beaver) предлагает встроенный способ «раздать Wi-Fi» через NetworkManager. Достаточно пары кликов в GUI — и ваш ноутбук становится точкой доступа. Проблема в том, что этот метод не маршрутизирует трафик через прокси. Он просто делает NAT от вашего основного соединения. Если вы подключены к интернету напрямую (через Ethernet или Wi-Fi без VPN), все устройства в вашей точке будут использовать ваш настоящий IP. Провайдер, сайт или злоумышленник в кафе увидит их активность как исходящую от вас.
Чтобы действительно «раздать прокси», нужно:
- Иметь работающий прокси или VPN-клиент на хосте (вашем Ubuntu).
- Настроить переадресацию всего трафика от клиентов через этот туннель.
- Заблокировать любые обходные пути (DNS-утечки, WebRTC, IPv6).
Без этого вы лишь делитесь своим незащищённым каналом.
Чего вам НЕ говорят в других гайдах
Большинство руководств заканчиваются командой nmcli или настройкой точки доступа в GUI. Они умалчивают о ключевых рисках:
- Бесплатные прокси/VPN — это продукт, а вы — клиент. Сервисы вроде Hola или бесплатные публичные прокси часто продают ваш трафик или используют ваше устройство как выходной узел для других. В 2015 году Hola признана ботнетом. Бесплатный сервис не может покрывать расходы на серверы ($5–50/мес за сервер). Где-то экономия — на ваших данных.
- «No-logs» — маркетинг без гарантий. Даже если провайдер заявляет политику «no logs», он может хранить метаданные (время подключения, IP-адреса) или быть вынужден передать их по запросу суда. Особенно если находится в юрисдикции 14 Eyes (США, Великобритания, Канада и др.). Российские компании обязаны предоставлять данные ФСБ.
- Kill switch может не сработать. При потере соединения с VPN трафик может автоматически «выпасть» в чистый интернет. Многие самописные скрипты не учитывают это. WireGuard, например, требует явной настройки правил iptables для блокировки всего трафика вне интерфейса wg0.
- Утечки DNS — главная проблема. Даже при работающем VPN, если система разрешает DNS-запросы через локальный резолвер (а не через туннель), ваш провайдер узнает, какие сайты вы посещаете. Это частая ошибка при настройке прокси.
- Поддельные «аудиты безопасности». Некоторые провайдеры публикуют «аудиты», проведённые их же сотрудниками. Ищите независимые проверки от Cure53, Quarkslab или SEC Consult.
Техническая реализация: от прокси до полноценного VPN
Термин «прокси» в запросе часто используется как синоним анонимизации, но технически есть разница. Рассмотрим оба варианта.
Вариант 1: Раздача через HTTP/SOCKS-прокси
Это самый простой, но и самый слабый способ. Прокси работает на прикладном уровне (L7) и не шифрует весь трафик.
- Установите прокси-сервер, например,
3proxy:
sudo apt update && sudo apt install 3proxy -y
```
2. Создайте конфиг `/etc/3proxy.cfg`:
nserver 8.8.8.8
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
users proxy:CL:password
auth strong
allow proxy
proxy -p3128
socks -p1080
```
- Запустите службу:
sudo systemctl start 3proxy
```
4. Настройте точку доступа Wi-Fi через NetworkManager.
5. На клиентских устройствах (телефон, планшет) вручную укажите прокси: IP вашего Ubuntu-ноутбука и порт 3128 (HTTP) или 1080 (SOCKS).
Минусы: Не шифрует трафик (кроме HTTPS), не защищает от DPI, требует ручной настройки на каждом клиенте, не блокирует утечки.
Вариант 2: Раздача через полноценный VPN (рекомендуется)
Здесь весь трафик клиентов шифруется и направляется через туннель. Лучше использовать OpenVPN или WireGuard.
Шаг 1: Настройка VPN-клиента на Ubuntu
Предположим, у вас есть конфигурационный файл `.ovpn` от доверенного провайдера.
```bash
sudo apt install openvpn -y
sudo openvpn --config /path/to/your/config.ovpn --daemon
Для WireGuard:
sudo apt install wireguard resolvconf -y
sudo cp your-wg-config.conf /etc/wireguard/wg0.conf
sudo wg-quick up wg0
Шаг 2: Создание точки доступа Wi-Fi
- Откройте «Параметры сети» → «Wi-Fi» → «Настроить точку доступа Wi-Fi».
- Задайте имя (SSID) и пароль. Ubuntu автоматически создаст интерфейс
ap0илиwlx....
Шаг 3: Маршрутизация и NAT через VPN-туннель
Это ядро всей операции. Нужно заставить систему перенаправлять трафик с Wi-Fi-точки (ap0) через интерфейс VPN (tun0 для OpenVPN, wg0 для WireGuard).
Включите IP forwarding:
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Настройте iptables. Замените wg0 на tun0, если используете OpenVPN.
Очистим старые правила
sudo iptables -F
sudo iptables -t nat -F
Разрешим трафик через туннель
sudo iptables -A FORWARD -i ap0 -o wg0 -j ACCEPT
sudo iptables -A FORWARD -i wg0 -o ap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Включим NAT
sudo iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
БЛОКИРОВКА ВСЕГО ОСТАЛЬНОГО (<a href="https://svyaz.homes">Kill</a> Switch)
Запретим любой трафик, который не идёт через wg0
sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -o wg0 -j ACCEPT
sudo iptables -A OUTPUT -o ap0 -j ACCEPT
Шаг 4: Защита от утечек DNS
Самая частая ошибка. Даже при работающем VPN, если клиенты используют локальный DNS (например, 192.168.122.1 от dnsmasq), запросы пойдут мимо туннеля.
Решение: настройте dnsmasq (который запускается автоматически при создании точки доступа) на использование DNS-серверов внутри туннеля.
- Найдите DNS из конфига VPN. Для OpenVPN — строка
dhcp-option DNS 10.x.x.x. Для WireGuard — обычно в[Interface]секции. - Отредактируйте
/etc/NetworkManager/dnsmasq-shared.conf(создайте, если нет):
server=10.x.x.x
server=8.8.8.8 # fallback, но лучше использовать только DNS от VPN
- Перезапустите NetworkManager:
bash
sudo systemctl restart NetworkManager
Проверьте утечки на ipleak.net с подключённого устройства.
Сравнение подходов: прокси vs VPN для раздачи
Выбор метода влияет на безопасность и удобство. Вот детальное сравнение.
| Критерий | HTTP/SOCKS Прокси | OpenVPN | WireGuard |
|---|---|---|---|
| Уровень работы | Прикладной (L7) | Сетевой (L3) | Сетевой (L3) |
| Шифрование | Только для HTTPS-трафика | Полное (AES-256-GCM) | Полное (ChaCha20, Curve25519) |
| Защита от DPI | Нет | Да (с obfsproxy) | Да (легко маскируется под UDP) |
| Настройка на клиентах | Требуется ручная настройка | Не требуется (весь трафик в туннеле) | Не требуется |
| Скорость | Высокая (низкие накладные расходы) | Средняя (до 30% потерь) | Очень высокая (потери <10%) |
| Надёжность kill switch | Невозможно реализовать | Требует сложных iptables | Проще настроить через iptables |
| Поддержка в Ubuntu 18.04 | Через сторонние пакеты | Встроенная (openvpn) |
Требует установки (wireguard) |
Для задачи «раздать прокси через wifi ubuntu 18.04» однозначно предпочтительнее использовать VPN-туннель, особенно WireGuard за счёт его скорости и простоты.
Практические сценарии и юридические нюансы в РФ
Понимание, зачем вам это нужно, помогает выбрать правильную стратегию.
- Публичный Wi-Fi в кафе («айтишник на кофеварке»): Ваша точка доступа защищает не только вас, но и коллег. Без VPN любой в том же кафе может перехватить трафик через атаку Man-in-the-Middle. Используйте WPA2/WPA3 шифрование для вашей точки и обязательно VPN на хосте.
- Обход блокировок (Telegram, YouTube): Технически возможно, но помните: в России распространение инструментов для обхода блокировок может быть расценено как нарушение закона. Мы объясняем технологию, а не призываем к противоправным действиям.
- Торренты: Если вы раздаёте торрент-трафик через свою точку, убедитесь, что ваш VPN-провайдер разрешает P2P и имеет строгую no-log политику. Иначе ваш IP будет залогирован правообладателями.
- Корпоративная защита: Иногда нужно временно обеспечить безопасный выход в корпоративную сеть для коллег. В этом случае используйте IPsec/IKEv2 с сертификатами, а не публичные VPN.
Вывод
«Раздать прокси через wifi ubuntu 18.04» — это на самом деле задача по созданию защищённого шлюза, а не просто точки доступа. Просто включить «общий доступ» недостаточно. Вам нужно интегрировать работающий VPN-туннель (предпочтительно WireGuard), настроить iptables для принудительной маршрутизации и NAT, а также заблокировать DNS-утечки через dnsmasq. Игнорирование этих шагов превращает вашу сеть в источник уязвимостей. Учитывайте юридический контекст РФ: даже технически правильная настройка не отменяет ответственности за контент, передаваемый через вашу точку. Используйте эту возможность осознанно и только с доверенными VPN-провайдерами, прошедшими независимый аудит.
VPN замедляет интернет на сколько реально?
Зависит от протокола и сервера. WireGuard обычно снижает скорость на 5–15%. OpenVPN — на 20–40%. Бесплатные VPN могут «тормозить» на 70% и более из-за перегрузки серверов.
Меня найдёт спецслужба при использовании VPN?
Если ваш VPN-провайдер хранит логи и находится под юрисдикцией, которая сотрудничает с РФ (например, страны 14 Eyes), да — по запросу суда. Если провайдер в юрисдикции с сильной защитой приватности (Швейцария, Панама) и имеет проверенную no-log политику, шансы стремятся к нулю.
WireGuard или OpenVPN — что безопаснее?
Оба протокола криптографически стойкие. WireGuard новее, имеет меньше кода (меньше уязвимостей), но по умолчанию не поддерживает динамическую смену IP (что может быть важно для некоторых сценариев). OpenVPN более зрелый и гибкий. Для большинства пользователей WireGuard — лучший выбор.
Как проверить, нет ли утечек DNS/WebRTC?
Подключитесь к вашей точке доступа с телефона или другого ноутбука. Откройте в браузере ipleak.net или browserleaks.com. Сайт покажет ваш реальный IP, DNS-серверы и наличие WebRTC-утечек.
Можно ли использовать Tor вместо VPN для раздачи?
Технически можно, но крайне не рекомендуется. Tor очень медленный для общего трафика, и раздача его через Wi-Fi создаст огромную нагрузку. Tor предназначен для анонимного доступа к вебу, а не для замены домашнего интернета.
Что делать, если после перезагрузки Ubuntu точка доступа перестаёт работать через VPN?
Скрипты iptables и запуск VPN-клиента нужно сделать постоянными. Добавьте команды `wg-quick up wg0` и ваш набор iptables в автозагрузку через systemd-сервис или скрипт в `/etc/rc.local`.
This reads like a checklist, which is perfect for max bet rules. The step-by-step flow is easy to follow.