как поднять прокси сервер на ubuntu

как поднять прокси сервер на ubuntu

Конечно. Вот готовая статья в требуемом формате Markdown.

Как поднять прокси сервер на Ubuntu: не просто инструкция, а полное погружение в безопасность и реальные риски

как поднять прокси сервер на ubuntu — задача, с которой сталкиваются системные администраторы, разработчики и даже продвинутые пользователи. Но за простым вопросом скрывается целая вселенная: от утечек DNS до юрисдикций, обязывающих хранить логи. Эта статья покажет не только шаги установки, но и то, что упускают 99% гайдов.

Почему «просто поднять» — это начало пути, а не конец
Прокси-сервер — не магический щит. Он перенаправляет трафик через промежуточный узел, но не гарантирует шифрование, анонимность или защиту от DPI (Deep Packet Inspection). Многие путают HTTP/HTTPS/SOCKS прокси с полноценным VPN. Разница критична:

• HTTP-прокси работает только с веб-трафиком, не шифрует соединение (если не используется HTTPS).
• SOCKS5 поддерживает любые протоколы и может работать с UDP, но тоже не шифрует сам по себе.
• VPN (OpenVPN, WireGuard) шифрует весь трафик на уровне ядра ОС.

Если вы хотите обойти блокировку Telegram от Ростелекома или защититься в публичном Wi-Fi в кофейне — SOCKS5 с TLS-обёрткой или полноценный WireGuard будет надёжнее, чем голый Squid.

Выбор инструмента: Squid, 3proxy, Dante или что-то ещё?
В Ubuntu есть несколько проверенных решений:

1. Squid — мощный кэширующий прокси для HTTP/HTTPS. Подходит для корпоративных сетей, но сложен в настройке безопасности.
2. 3proxy — лёгкий, быстрый, поддерживает HTTP, HTTPS, SOCKS4/5. Идеален для личного использования.
3. Dante — чистый SOCKS5-сервер. Минималистичен и стабилен.
4. HAProxy — балансировщик, но может работать как TCP/HTTP прокси с продвинутыми правилами.

Для большинства сценариев (например, обход блокировок или доступ к торрент-трекерам) лучше выбрать 3proxy или Dante: они проще, потребляют меньше ресурсов и легче изолируются.

Шаг за шагом: поднимаем SOCKS5-прокси на Ubuntu 22.04 с 3proxy

⚠️ Предупреждение: если вы используете VPS в РФ, помните о требованиях законодательства. Хранение логов без согласия пользователя может нарушать ФЗ‑152. Лучше размещать сервер в юрисдикции вне 14 Eyes.

🛠️Инструмент для работы

1. Обновление системы

sudo apt update && sudo apt upgrade -y

1. Установка 3proxy

sudo apt install -y build-essential git
git clone https://github.com/z3APA3A/3proxy.git
cd 3proxy
make -f Makefile.Linux
sudo mkdir /etc/3proxy
sudo cp src/3proxy /usr/local/bin/

1. Создание конфигурации

Создайте файл /etc/3proxy/3proxy.cfg:

daemon
maxconn 1000
nserver 8.8.8.8
nserver 1.1.1.1
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
users user:CL:password123
auth strong
allow user
proxy -p3128
socks -p1080

Здесь:
- user:CL:password123 — логин и пароль (в формате crypt).
- -p3128 — порт для HTTP-прокси.
- -p1080 — порт для SOCKS5.

Сгенерируйте хеш пароля:

openssl passwd -crypt password123

Подставьте результат вместо password123.

1. Запуск как systemd-сервис

Создайте /etc/systemd/system/3proxy.service:

[Unit]
Description=3proxy proxy server
After=network.target

[Service]
Type=forking
ExecStart=/usr/local/bin/3proxy /etc/3proxy/3proxy.cfg
Restart=on-failure
User=nobody
Group=nogroup

[Install]
WantedBy=multi-user.target

Активируйте:

sudo systemctl daemon-reload
sudo systemctl enable --now 3proxy

1. Откройте порты в фаерволе

sudo ufw allow 1080/tcp
sudo ufw allow 3128/tcp
sudo ufw reload

Готово. Теперь вы можете подключаться к вашему серверу по SOCKS5 на порту 1080 с логином user и паролем password123.

Чего вам НЕ говорят в других гайдах
Большинство руководств умалчивают о трёх вещах:

1. Логирование по умолчанию
   Даже если вы не включили логи вручную, ядро Linux, iptables или сам 3proxy могут записывать соединения. Проверьте:
   bash journalctl -u 3proxy dmesg | grep -i proxy
   Чтобы минимизировать следы, используйте tmpfs для логов или отключите их полностью.

   ⚙️Технология доступа

2. Утечки через WebRTC и DNS
   Браузер может игнорировать системный прокси и отправлять DNS-запросы напрямую. Это особенно актуально в Chrome и Firefox. Решение:

3. В Firefox: about:config → network.proxy.socks_remote_dns = true

4. Используйте расширения типа uBlock Origin + WebRTC Leak Prevent.

5. Юрисдикция и принудительные запросы
   Если ваш VPS находится в США, Канаде, Австралии или любой стране из 14 Eyes, провайдер обязан передавать данные по запросу спецслужб. Даже при «no-log policy» — это маркетинг, пока нет независимого аудита. Пример: в 2023 году NordVPN признал хранение временных логов IP-адресов при сбоях.

   🛡️Безопасный интернет

6. Fake kill switch
   Многие «бесплатные» клиенты для Windows заявляют о функции kill switch, но она часто не работает при потере соединения с прокси. Тестирование через ipleak.net показывает реальный IP.

7. Фрод с бесплатными VPN
   Сервисы вроде Hola (до 2020 года) использовали пользователей как часть P2P-прокси-сети, продавая их трафик третьим лицам. Сегодня аналоги маскируются под «бесплатные прокси» в App Store.

Сравнение решений: где действительно безопасно?
| Критерий | 3proxy (self-hosted) | Squid | Dante | Бесплатный VPN (типовой) |
|------------------------|----------------------|------------------|-----------------|--------------------------|
| Шифрование трафика | Только с TLS | Только с HTTPS | Нет | Часто AES-128 или слабее |
| Хранение логов | По выбору | Включено по умолч.| Минимально | Да (полные сессии) |
| Юрисдикция | Ваша | Ваша | Ваша | Чаще США/Нидерланды |
| Стоимость | От 300 ₽/мес (VPS) | Бесплатно | Бесплатно | «Бесплатно» (продажа данных) |
| Защита от WebRTC/DNS | Требует настройки | Требует настройки| Требует настройки| Часто отсутствует |
| Реальная скорость | 95–98% от канала | 85–90% | 97%+ | 30–60% (ограничение) |

💡 Совет: для торрентов используйте только self-hosted решения с явным запретом логирования и размещением в Швейцарии, Исландии или Германии.

Сценарии использования: когда прокси — спасение, а когда — иллюзия
1. Журналист в командировке
Нужна защита от MITM-атак в отеле. SOCKS5 + SSH-tunnel (ssh -D 1080 user@server) даёт шифрование и маскировку трафика. Но без отключения WebRTC — ваш реальный IP виден.

1. IT-специалист в кафе
   Публичный Wi-Fi от «Кофе Хауз» может перехватывать cookie. Прокси с TLS предотвратит сниффинг, но не защитит от фишинга. Дополнительно используйте 2FA и менеджер паролей.

   📖Свобода информации

2. Торренты
   Многие думают, что прокси скрывает активность. Но большинство торрент-клиентов игнорируют системный прокси! Нужно настраивать прокси прямо в qBittorrent или Transmission. Иначе — утечка.

3. Обход блокировок YouTube
   Ростелеком может блокировать по SNI. Простой HTTP-прокси не поможет. Требуется HTTPS-прокси с подменой SNI или полноценный WireGuard с obfuscation (например, через Cloudflare WARP).

4. Корпоративная защита
   Если вы настраиваете прокси для офиса — обязательно включите аутентификацию, ограничьте IP-диапазоны и настройте мониторинг через Zabbix или Prometheus.

   🛠️Инструмент для работы

Split tunneling и другие продвинутые фишки
Хотите, чтобы только Telegram шёл через прокси, а остальное — напрямую? Это split tunneling. В Linux это делается через iptables и маршрутизацию:

ip rule add from 192.168.1.100 table 100
ip route add default via YOUR_PROXY_IP dev eth0 table 100

Или через proxychains для отдельных приложений:

proxychains curl ifconfig.me

Но будьте осторожны: если приложение использует IPv6, а вы настроили только IPv4 — возможна утечка.

Как проверить, что всё работает?
1. Перейдите на ipleak.net — должен отображаться IP вашего сервера.
2. Проверьте DNS: должен быть от Cloudflare (1.1.1.1) или Google (8.8.8.8), а не провайдера.
3. Отключите интернет на 5 секунд — убедитесь, что трафик не уходит напрямую (это тест kill switch).
4. Запустите торрент-клиент — убедитесь, что он использует прокси (в настройках соединения).

Вывод

как поднять прокси сервер на ubuntu — технически несложная задача, но её безопасность зависит от десятков нюансов: юрисдикции сервера, настройки логов, защиты от утечек DNS/WebRTC и корректной работы приложений. Самостоятельный прокси даёт контроль, но требует ответственности. Бесплатные сервисы экономят ваше время, но продают ваши данные. Если вы цените приватность — выбирайте self-hosted решения с минимальным логированием, размещайте сервер вне 14 Eyes и регулярно тестируйте на утечки. Помните: прокси — это инструмент, а не панацея.

VPN замедляет интернет на сколько реально?

Зависит от протокола и расположения сервера. WireGuard — 5–15 мс задержки, 95–98% скорости. OpenVPN over UDP — 20–40 мс, 85–90%. Бесплатные VPN — до 70% потерь из-за перегрузки серверов.

🛡️Безопасный интернет

Меня найдёт спецслужба при использовании VPN?

Если вы используете self-hosted прокси в РФ — да, ваш VPS-провайдер обязан хранить логи и предоставлять их по запросу. Если сервер в Швейцарии и вы не оставляете цифровых следов (логины, оплаты картой) — шансы минимальны. Но абсолютной анонимности не существует.

WireGuard или OpenVPN — что безопаснее?

WireGuard использует современные криптоалгоритмы (ChaCha20, Curve25519), меньше кода → меньше уязвимостей. OpenVPN проверен временем, но сложнее и медленнее. Оба безопасны при правильной настройке. WireGuard не поддерживает TCP fallback, что может быть проблемой в сетях с блокировкой UDP.

Можно ли использовать прокси для обхода блокировок в России?

Технически — да. Но согласно законодательству РФ, намеренный обход блокировок запрещённых сайтов может повлечь административную ответственность. Мы не призываем к нарушению закона, но объясняем, как это работает технически.

📖Свобода информации

Нужен ли мне прокси, если у меня уже есть антивирус?

Антивирус защищает от вредоносов, но не скрывает ваш трафик от провайдера. Прокси/VPN решает другую задачу — приватность и обход географических ограничений. Это разные слои защиты.

Как часто нужно менять пароль от прокси?

Минимум раз в 90 дней. Если сервер публичный или используется несколькими людьми — каждые 30 дней. Используйте длинные пароли (12+ символов) или ключи аутентификации.