прокси linux
прокси linux
Прокси в Linux: от curl до Tor без иллюзий
прокси linux — это не магическая кнопка «анонимность». Это инструмент с четкими границами, подводными камнями и сценариями, где он либо спасает, либо усугубляет риски. В этой статье — только проверенные практики, цифры и честные предупреждения для пользователей из России.
Почему «прокси linux» — не то, что вы думаете
Большинство путают прокси с VPN. Это разные вещи. Прокси — посредник на уровне приложения или транспорта. Он может перехватывать HTTP, HTTPS или SOCKS-трафик. Но не шифрует весь стек сетевого взаимодействия, как это делает полноценный VPN (WireGuard, OpenVPN).
В Linux прокси настраивается через переменные окружения (http_proxy, https_proxy), конфигурацию приложений (curl --proxy, wget -e use_proxy=on) или системные правила (iptables + redsocks). Ни один из этих способов не защищает от утечки DNS, если явно не настроен DNS-over-HTTPS или перенаправление DNS-запросов.
Пример: вы запускаете curl --proxy socks5://127.0.0.1:9050 https://2ip.ru. Сайт покажет IP прокси. Но если приложение использует системный резолвер (а не тот, что внутри прокси), ваш реальный DNS-запрос уйдёт провайдеру — даже если тело запроса шифруется. Это классическая утечка, которую фиксируют сервисы вроде ipleak.net.
Настройка прокси в терминале: шаги, которые ломают безопасность
Переменные окружения — удобно, но опасно
export http_proxy="http://user:pass@proxy.example.com:3128"
export https_proxy="http://user:pass@proxy.example.com:3128"
Это работает для curl, wget, apt (если разрешено в /etc/apt/apt.conf.d/). Но:
- Пароль хранится в истории bash (
~/.bash_history). - Не все приложения читают эти переменные (например,
systemd-resolvedигнорирует их). - DNS всё равно идёт напрямую.
Решение: используйте proxychains-ng с режимом strict_chain и собственным DNS-резолвером.
proxychains: когда прокси становится почти VPN
Установите:
sudo apt install proxychains4 # Debian/Ubuntu
Конфиг (/etc/proxychains4.conf):
strict_chain
proxy_dns
remote_dns_subnet 224
tcp_read_time_out 15000
tcp_connect_time_out 8000
[ProxyList]
socks5 127.0.0.1 9050
Теперь любой запуск через proxychains4 firefox или proxychains4 transmission-gtk пойдёт через Tor — включая DNS. Но учтите: Tor медленный, а торренты через него — плохая идея (exit-ноды часто блокируют P2P).
Когда прокси опаснее, чем открытый трафик
Бесплатные публичные прокси — главная ловушка. Сайты вроде free-proxy-list.net предлагают тысячи адресов. Большинство:
- Не шифруют трафик (HTTP-прокси передают данные в открытом виде).
- Логируют всё: IP, User-Agent, URL.
- Инъецируют рекламу или скрипты трекинга.
- Используются мошенниками для фрода.
В 2023 году исследователи обнаружили, что 78% бесплатных прокси из топ-100 списков перехватывали cookie сессий и отправляли их на китайские серверы. Вы думаете, что скрываетесь от Ростелекома, а на деле отдаёте данные злоумышленникам.
Даже «платные» сервисы могут быть ненастоящими. Например, некоторые «российские прокси» на самом деле арендуют VPS в США и перепродают трафик. Проверяйте юрисдикцию и политику логирования.
Чего вам НЕ говорят в других гайдах
Бесплатный прокси — это вы и ваши данные
Сервер стоит денег. Аренда VPS с 1 ТБ трафика — от $5/мес (~450 руб.). Если сервис бесплатный, он монетизирует вас. Как?
- Продаёт логи трафика маркетологам.
- Использует ваше устройство как ретранслятор (как Hola VPN в 2015 году).
- Подменяет контент (баннеры, редиректы на фишинг).
Fake-утечки и поддельный kill switch
Некоторые GUI-приложения для Linux (особенно на Electron) имитируют защиту. Они показывают «соединение установлено», но на деле трафик идёт мимо прокси. Проверяйте через ss -tuln или nethogs.
Kill switch в таких приложениях часто просто отключает интерфейс, но не блокирует ядро. Реальный kill switch — это iptables правило:
Блокируем всё, кроме трафика на прокси
sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -d 192.0.2.1 -p tcp --dport 1080 -j ACCEPT # IP вашего прокси
Если соединение с прокси рвётся — интернет отключается полностью.
Логи по требованию суда — даже у «no-log»
Юрисдикция решает всё. Если прокси-сервер стоит в стране 14 Eyes (США, Великобритания, Канада и др.), владелец обязан выдать данные по запросу. Даже если заявлено «no logs». В России аналогично: ФСБ может потребовать информацию от хостинга.
Поэтому self-hosted решения (ваш VPS в Швейцарии или Германии) надёжнее любого «анонимного» сервиса.
Сценарий 1: торренты через прокси на Ubuntu
Цель: скачивать торренты без раскрытия IP.
Ошибка новичка: использовать HTTP/SOCKS5-прокси. Большинство клиентов (qBittorrent, Transmission) не поддерживают прокси для P2P-трафика — только для DHT и трекеров.
Правильный путь:
1. Арендуйте VPS (от 300 руб/мес в Hetzner, Scaleway).
2. Установите на него WireGuard или OpenVPN.
3. Настройте split tunneling так, чтобы только торрент-клиент шёл через туннель.
4. Включите kill switch через iptables.
Прокси здесь бесполезен. Только полноценный туннель.
Сценарий 2: обход DPI Ростелекома в 2026 году
Ростелеком и МТС используют глубокую инспекцию пакетов (DPI), чтобы блокировать Telegram, YouTube и другие сервисы. Обычный HTTP-прокси легко детектируется по сигнатурам.
Что работает:
- Shadowsocks: маскирует трафик под обычный TLS. Эффективен против большинства российских DPI.
- WireGuard + obfs4proxy: добавляет слой обфускации поверх UDP-трафика.
- Tor с мостами obfs4: медленно, но обходит почти любые блокировки.
Настройка Shadowsocks на Linux:
Сервер (VPS)
sudo apt install shadowsocks-libev
Конфиг /etc/shadowsocks-libev/config.json
Клиент (локально)
ss-local -s your.vps.ip -p 8388 -k "password" -m chacha20-ietf-poly1305 -l 1080
Затем настройте браузер на SOCKS5 127.0.0.1:1080.
Сценарий 3: защита от MITM в кофейне с Arch Linux
Вы в кафе с публичным Wi-Fi. Риск — атака «человек посередине»: злоумышленник подменяет DNS или SSL-сертификаты.
Минимальная защита:
- Используйте proxychains4 + Tor для всех запросов.
- Или настройте локальный Privoxy → SOCKS5 → VPS.
Проверка MITM:
Сравните отпечаток сертификата
openssl s_client -connect bank.ru:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout
Если отпечаток отличается от домашнего — вас атакуют.
Как проверить утечку DNS вручную
- Узнайте IP вашего прокси:
curl --proxy socks5://127.0.0.1:9050 ifconfig.me. - Выполните DNS-запрос:
nslookup ya.ru. - Посмотрите, к какому серверу идёт запрос:
sudo tcpdump -i any port 53.
Если в выводе есть ваш реальный IP или IP провайдера (например, 8.8.8.8) — утечка есть.
Исправление:
- Используйте proxy_dns в proxychains.
- Или настройте systemd-resolved на DoT/DoH.
Юрисдикция 14 Eyes и российские провайдеры: что общего?
Оба могут принудительно собирать данные. Разница в процедуре:
- В 14 Eyes — через судебный ордер (часто secret FISA).
- В РФ — по запросу уполномоченного органа без решения суда (ФЗ-144, ФЗ-187).
Если ваш прокси стоит в Нидерландах, но владелец — гражданин США, данные могут быть запрошены через CLOUD Act. Поэтому выбирайте хостинг в нейтральных юрисдикциях: Швейцария, Исландия, Германия (с GDPR).
Сравнение решений для Linux
| Сервис / Тип | Юрисдикция | Логирование | Протоколы | Цена (руб/мес) | Реальная скорость (на 100 Мбит/с) |
|---|---|---|---|---|---|
| Tor | Международный | Нет (но exit-ноды могут логировать) | Onion routing | Бесплатно | 5–15 Мбит/с |
| Shadowsocks | Китай (изначально) | Зависит от сервера | SOCKS5 + шифрование | ~200–500 | 70–95 Мбит/с |
| OpenVPN (self-hosted) | Ваша | Нет (если настроено) | OpenVPN (UDP/TCP) | ~300 (VPS) | 60–90 Мбит/с |
| WireGuard (self-hosted) | Ваша | Нет (если настроено) | WireGuard (UDP) | ~300 (VPS) | 85–98 Мбит/с |
| Privoxy + SOCKS5 | Ваша | Да (по умолчанию) | HTTP → SOCKS5 | Бесплатно | Зависит от upstream |
Вывод: для скорости и контроля — WireGuard на своём VPS. Для обхода цензуры — Shadowsocks или Tor с мостами. Для простых задач (например,
apt updateчерез корпоративный прокси) — достаточно переменных окружения.
Вывод
прокси linux — мощный, но двойственный инструмент. Он решает конкретные задачи: маршрутизация трафика приложения, обход простых блокировок, работа в корпоративных сетях. Но не обеспечивает полной анонимности, не защищает от утечек DNS по умолчанию и часто оказывается ловушкой в руках бесплатных сервисов.
Настоящая безопасность начинается с понимания границ технологии. Если вам нужна защита от слежки, DPI или юридических рисков — используйте self-hosted WireGuard с kill switch и no-log политикой. Если же задача — просто заставить curl работать через корпоративный фильтр — достаточно export http_proxy. Главное — не путать одно с другим.
Прокси замедляет интернет на сколько реально?
Зависит от типа. Tor — в 5–10 раз, SOCKS5 на своём VPS — на 3–8%. HTTP-прокси с кэшированием иногда даже ускоряет.
Меня найдёт спецслужба при использовании прокси в Linux?
Если вы используете публичный или бесплатный прокси — да, легко. Если self-hosted WireGuard с no-log и оплатой анонимно — шансы близки к нулю, но не абсолютны.
WireGuard или OpenVPN — что безопаснее для прокси linux?
Оба криптостойкие, но WireGuard проще, быстрее и имеет меньше кода (меньше уязвимостей). OpenVPN поддерживает TCP fallback и лучше обходит DPI, но медленнее.
Как проверить, не утекает ли DNS через прокси?
Откройте терминал и выполните: `nslookup example.com`. Убедитесь, что запрос идёт не к 8.8.8.8 или IP вашего провайдера. Или зайдите на ipleak.net в браузере с настроенным прокси.
Нужен ли kill switch при использовании прокси в Linux?
Для торрентов и чувствительных задач — обязательно. В Linux его можно реализовать через iptables: блокировать весь трафик, кроме порта прокси, пока соединение не активно.
Можно ли использовать прокси linux для обхода блокировок Ростелекома?
Да, но только если прокси не заблокирован сам. Для обхода DPI эффективнее Shadowsocks или WireGuard с obfs4, чем обычный HTTP/SOCKS5.
Good to have this in one place. A quick FAQ near the top would be a great addition.