linux программирование прокси сервер

linux программирование прокси сервер

Прокси на Linux: как писать и защищать трафик самому

Подробный гайд: linux программирование прокси сервер — от кода на C до защиты от DPI. Настройте анонимность без доверия третьим лицам.

linux программирование прокси сервер — это не просто установка Squid или запуск Shadowsocks из репозитория. Это создание собственного шлюза, который вы полностью контролируете: от обработки TCP-соединений до фильтрации HTTP-заголовков и обхода глубокой инспекции трафика (DPI). В России, где провайдеры обязаны хранить метаданные по закону №374-ФЗ, такой подход даёт реальный контроль над тем, что уходит в сеть и кто это видит.

Почему «готовый» прокси — это компромисс

Большинство пользователей ставят готовые решения: 3proxy, Privoxy, даже Tor. Они работают — но скрывают критические детали:

• Логирование по умолчанию. Даже если вы отключили логи в конфиге, бинарник может отправлять анонимизированные данные разработчику.
• Статическая сборка без поддержки TLS 1.3. Устаревшие OpenSSL-библиотеки делают трафик уязвимым к downgrade-атакам.
• Отсутствие защиты от DNS-утечек. Прокси перехватывает только TCP, а DNS-запросы уходят напрямую провайдеру — особенно в системах с systemd-resolved.

Когда вы пишете прокси сами, вы решаете:
- Какой протокол использовать (SOCKS5 с аутентификацией? HTTP CONNECT? Чистый TCP relay?);
- Где шифровать (на уровне приложения или транспорта?);
- Как обрабатывать ошибки (не раскрывать внутренние IP при таймауте).

Это особенно важно для разработчиков, журналистов и системных администраторов в РФ, где доступ к зарубежным ресурсам часто ограничивается через DPI-оборудование «СОРМ».

Архитектура с нуля: от сокета до шифрования

Давайте разберём минимальный прокси-сервер на языке Си под Linux. Он будет принимать соединения, перенаправлять их на целевой хост и шифровать трафик с помощью libsodium.

#include <sys/socket.h>
#include <netinet/in.h>
#include <unistd.h>
#include <string.h>
#include <sodium.h>

#define LISTEN_PORT 1080
#define TARGET_HOST "93.184.216.34" // example.com
#define TARGET_PORT 443

void relay(int client_fd, int target_fd) {
    char buf[4096];
    ssize_t n;
    while ((n = recv(client_fd, buf, sizeof(buf), 0)) > 0) {
        // Здесь можно вставить шифрование: crypto_secretbox_easy()
        send(target_fd, buf, n, 0);
    }
}

int main() {
    if (sodium_init() < 0) return 1;

    int listen_fd = socket(AF_INET, SOCK_STREAM, 0);
    struct sockaddr_in addr = {0};
    addr.sin_family = AF_INET;
    addr.sin_port = htons(LISTEN_PORT);
    addr.sin_addr.s_addr = htonl(INADDR_ANY);

    bind(listen_fd, (struct sockaddr*)&addr, sizeof(addr));
    listen(listen_fd, 10);

    while (1) {
        int client_fd = accept(listen_fd, NULL, NULL);
        int target_fd = socket(AF_INET, SOCK_STREAM, 0);
        struct sockaddr_in target = {0};
        target.sin_family = AF_INET;
        target.sin_port = htons(TARGET_PORT);
        inet_pton(AF_INET, TARGET_HOST, &target.sin_addr);

        connect(target_fd, (struct sockaddr*)&target, sizeof(target));
        relay(client_fd, target_fd);
        close(client_fd); close(target_fd);
    }
}

Этот код — основа. Но в реальности нужно добавить:

• Асинхронную обработку (epoll вместо блокирующего accept);
• Парсинг заголовков SOCKS5 для поддержки динамических целей;
• Генерацию ephemeral-ключей для perfect forward secrecy;
• Обфускацию трафика, чтобы DPI не распознал шаблон.

Важно: даже простой recv/send цикл может стать причиной утечки времени ответа, по которому аналитики определяют тип сервиса. Поэтому в продакшене используют padding и фиксированные интервалы передачи.

Чего вам НЕ говорят в других гайдах

Бесплатные «прокси-листы» — это honeypot

Сайты вроде free-proxy-list.ru публикуют тысячи IP с портами. Большинство из них:
- Работают на старом Squid без обновлений с 2018 года;
- Перехватывают HTTPS через MITM (подменяют сертификат);
- Логируют всё и продают трафик рекламным сетям.

В 2024 году исследователи из Positive Technologies обнаружили, что 68% бесплатных прокси в RU-сегменте внедряли JavaScript-трекеры прямо в HTML-страницы.

«No logs» — не значит «no data»

Даже если провайдер заявляет политику no-log, он может хранить:
- Время подключения;
- Объём трафика;
- IP-адрес назначения (без порта).

По запросу ФСБ эти данные передаются в рамках «оперативно-розыскных мероприятий». Юрисдикция имеет значение: сервер в Нидерландах (не в 14 Eyes) снижает риск, но не исключает его полностью.

Kill switch — не всегда работает

Многие самописные решения проверяют наличие интернета через ping до 8.8.8.8. Но при обрыве связи система может переключиться на локальный DNS-резолвер провайдера, и ваш браузер начнёт слать запросы напрямую. Настоящий kill switch требует:
- Блокировки всех исходящих соединений через iptables, кроме туннеля;
- Мониторинга состояния интерфейса (например, через netlink сокеты);
- Автоматического отключения Wi-Fi при падении туннеля.

Fake-утечки: когда тест показывает «чисто», а данные уходят

Сервисы вроде ipleak.net проверяют WebRTC и DNS. Но они не видят:
- IPv6-утечки, если в системе включён dual-stack;
- QUIC-соединения, которые игнорируют системный прокси;
- Разрешение имён через mDNS (особенно в LAN).

На Linux это особенно актуально: systemd-resolved может использовать DoT/DoH независимо от ваших настроек.

Сравнение: самописный прокси vs коммерческие VPN

Примечание: скорость измерялась в Москве в марте 2026 года через iPerf3 до сервера в Амстердаме. Самописный прокси работал на VPS от Hetzner (CX11).

Ключевое преимущество самописного решения — доверенное окружение. Вы не зависите от честности стороннего провайдера. Но цена — необходимость глубоких знаний в сетевом программировании и безопасности.

Сценарии использования в условиях РФ

1. Обход блокировок мессенджеров

Когда Роскомнадзор блокирует Telegram через IP-фильтрацию, обычный HTTP-прокси не спасает — DPI видит сигнатуру MTProto. Но если вы обернёте трафик в TLS 1.3 с SNI-обфускацией (например, под видом трафика к api.telegram.org), фильтры пропускают его. Для этого в коде нужно:
- Использовать легитимный сертификат Let’s Encrypt;
- Подделать User-Agent и заголовки Host;
- Отправлять keep-alive каждые 15 секунд.

1. Безопасность в публичном Wi-Fi

В кофейне на Арбате ваш ноутбук автоматически подключается к «Free_WiFi_Cafe». Без прокси все HTTP-запросы видны владельцу точки. Даже HTTPS уязвим к downgrade-атакам, если сайт поддерживает SSLv3. Самописный прокси с принудительным TLS 1.3 и pinning сертификатов предотвращает MITM.

1. Торренты без риска

Хотя торрент-клиенты поддерживают прокси, многие утечки происходят через DHT и PEX. Надёжнее всего:
- Запустить клиент в отдельном network namespace;
- Привязать его только к интерфейсу туннеля;
- Заблокировать весь остальной трафик через nftables.

Такой подход гарантирует, что даже при падении прокси торрент не «выстрелит» в сеть напрямую.

Диагностика утечек: как проверить свой прокси

1. DNS:
   bash nslookup ya.ru
   Если в выводе указан IP вашего провайдера (например, 8.8.8.8 → Google), а не прокси — утечка.

2. WebRTC:
   Откройте browserleaks.com/webrtc. Должен отображаться только IP прокси.

3. IPv6:
   bash curl -6 https://api6.ipify.org
   Если возвращает ваш реальный IPv6 — отключите его:
   bash sysctl -w net.ipv6.conf.all.disable_ipv6=1

   Открой мир без границ🌍

4. Трафик вне туннеля:
   Используйте tcpdump:
   bash tcpdump -i any not host YOUR_PROXY_IP
   Любые пакеты — сигнал тревоги.

5. QUIC/HTTP3:
   Chrome и Firefox включают QUIC по умолчанию. Он игнорирует системный прокси. Отключите в настройках:

6. chrome://flags/#enable-quic → Disabled
7. about:config → network.http.http3.enabled → false

FAQ

VPN замедляет интернет на сколько реально?

Зависит от протокола и расстояния до сервера. WireGuard на локальном VPS в Москве: +3–7 мс пинг, 95–98% от исходной скорости. OpenVPN через Германию: +60–120 мс, 60–75% скорости. Самописный TCP-прокси без шифрования — почти нулевые потери.

Меня найдёт спецслужба при использовании VPN?

Если вы используете коммерческий VPN с логами — да, по запросу суда. Если самописный прокси на арендованном VPS — только если владелец хостинга сотрудничает с ФСБ (например, Mail.ru Cloud). Анонимность требует оплаты криптовалютой и использования временных учётных записей.

WireGuard или OpenVPN — что безопаснее?

WireGuard проще, быстрее и имеет меньшую attack surface (4 000 строк кода против 100 000 у OpenVPN). Но он не поддерживает динамическую смену ключей «на лету» и менее устойчив к state-sponsored атакам. OpenVPN с TLS 1.3 и AES-256-GCM остаётся золотым стандартом для high-risk сценариев.

🛡️Безопасный интернет

Можно ли использовать прокси вместо VPN?

Да, но только если вы контролируете весь стек. Прокси работает на прикладном уровне (L7), VPN — на сетевом (L3). Прокси не защитит от ARP-spoofing в локальной сети, а VPN — да. Для полной защиты лучше комбинировать: прокси внутри туннеля.

Как обойти блокировку прокси Роскомнадзором?

Используйте обфускацию: заверните трафик в TLS с поддельным SNI (например, cloudflare.com), примените domain fronting или запустите прокси на порту 443 с валидным сертификатом. DPI не сможет отличить ваш трафик от легитимного HTTPS.

Нужно ли шифровать трафик внутри прокси?

Обязательно. Без шифрования любой перехватчик между вашим устройством и сервером прокси увидит исходный трафик. Даже если канал «кажется» безопасным (VPS в облаке), трафик проходит через множество маршрутизаторов. Используйте libsodium или OpenSSL с ephemeral-ключами.

⚙️Технология доступа

Вывод

linux программирование прокси сервер — это не хобби для энтузиастов, а практический инструмент цифровой гигиены в условиях усиления сетевого контроля. Готовые решения удобны, но скрывают риски: логирование, утечки, зависимости от юрисдикции. Написав прокси самостоятельно, вы получаете не просто «анонимность», а предсказуемость: каждый байт проходит через код, который вы понимаете и можете проверить. В России, где даже использование Tor может вызвать вопросы, такой подход минимизирует поверхность атаки и даёт реальный контроль над данными. Главное — не останавливаться на «работает», а тестировать каждую гипотезу: от DNS до QUIC.