установка прокси сервера на ubuntu

установка прокси сервера на ubuntu

Установка прокси-сервера на Ubuntu: от Squid до безопасного туннеля без ложной безопасности

Прокси на Ubuntu: как не попасться на уловки «безопасности»
Подробный гайд: установка прокси сервера на ubuntu — с защитой от утечек, DPI и логов. Настройка Squid, HAProxy, SOCKS5 и проверка анонимности.

установка прокси сервера на ubuntu — это не просто команда в терминале. Это решение конкретной задачи: фильтрация трафика, обход блокировок, аудит сетевой активности или защита от слежки провайдера. Но большинство гайдов умалчивают о том, что прокси ≠ VPN, а неправильная конфигурация может сделать вас уязвимым даже больше, чем без него.

Зачем вообще ставить прокси на Ubuntu?
Прокси-сервер на Ubuntu может понадобиться в пяти реальных сценариях:

1. Корпоративный фильтр: компания хочет контролировать, какие сайты
   открывают сотрудники. Прокси логирует запросы и блокирует соцсети в рабочее
   время.
2. Обход блокировок: пользователь из России сталкивается с запретом доступа
   к YouTube или Telegram. Прокси на VPS за рубежом позволяет обойти ограничения
   РКН.
3. Анонимизация торрент-трафика: торрент-клиент направляется через
   SOCKS5-прокси, чтобы скрыть IP от трекеров и правообладателей.
4. Защита в публичных сетях: при работе из кофейни Wi-Fi трафик
   перенаправляется через свой прокси, предотвращая перехват данных (MITM).
5. Тестирование гео-контента: маркетолог проверяет, как сайт отображается в
   Германии или США, используя прокси с нужным IP.

Squid, HAProxy или SOCKS5? Выбор по задаче
Не все прокси одинаковы. Выбор зависит от протокола и задачи:

• HTTP/HTTPS-прокси (например, Squid): идеален для веб-трафика,
  поддерживает кэширование, ACL и аутентификацию. Но не шифрует трафик по
  умолчанию — только если используется HTTPS или дополнительно настроен TLS.
• TCP/UDP-прокси (HAProxy): перенаправляет любой трафик на уровень
  транспорта. Подходит для балансировки или маскировки сервисов, но требует
  ручной настройки SSL/TLS termination.
• SOCKS5: универсальный прокси на уровне сессии. Поддерживает
  аутентификацию, UDP-ассоциацию (важно для торрентов и VoIP) и работает с любыми
  приложениями, которые его поддерживают. Однако не понимает HTTP-заголовки —
  фильтрация контента невозможна.

Установка и базовая настройка Squid

Установка Squid на Ubuntu 22.04 или новее занимает три шага:

sudo apt update && sudo apt install squid -y

Файл конфигурации: /etc/squid/squid.conf. По умолчанию Squid слушает порт
3128 и разрешает доступ только с localhost. Чтобы открыть доступ для внешних
клиентов, добавьте ACL:

acl localnet src 192.168.1.0/24
http_access allow localnet
http_port 3128

Перезапустите службу: sudo systemctl restart squid. Не забудьте открыть порт в
UFW: sudo ufw allow 3128/tcp.

Настройка HAProxy для HTTPS-трафика

HAProxy лучше использовать, когда нужно проксировать не HTTP, а другие сервисы
— например, SSH или игровой трафик. Установка:

sudo apt install haproxy -y

Конфигурация в /etc/haproxy/haproxy.cfg:

frontend my_proxy
    bind *:8443 ssl crt /etc/ssl/private/proxy.pem
    default_backend target

backend target
    server srv1 203.0.113.10:443 check

Здесь HAProxy принимает HTTPS-соединения на порту 8443 и перенаправляет их на
удалённый сервер. Сертификат proxy.pem должен содержать приватный ключ и
цепочку сертификатов.

SOCKS5 через Dante — когда нужна гибкость

Для гибкого SOCKS5-прокси подойдёт Dante. Установка:

sudo apt install dante-server -y

Конфигурация в /etc/danted.conf:

logoutput: syslog
internal: 0.0.0.0 port = 1080
external: eth0

method: username none
user.privileged: root
user.unprivileged: nobody

client pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    log: connect disconnect error
}

pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    protocol: tcp udp
    log: connect disconnect error
}

После этого создайте пользователя: sudo useradd -r -s /bin/false proxyuser и
задайте пароль: sudo passwd proxyuser. Перезапустите: sudo systemctl restart danted.

Чего вам НЕ говорят в других гайдах
Большинство гайдов умалчивают о трёх критических рисках:

1. Прокси без шифрования = открытый трафик. Если вы используете обычный
   HTTP-прокси без TLS, ваш провайдер (Ростелеком, МТС и др.) видит весь трафик в
   открытом виде. Это хуже, чем прямое подключение — ведь теперь ещё и IP
   прокси-сервера логируется.

2. DNS-утечки. Даже при использовании прокси браузер может отправлять
   DNS-запросы напрямую. Проверьте на browserleaks.com — если ваш реальный IP
   отображается в разделе DNS, конфигурация некорректна.

   🔐Защити свои данные

3. Логирование по закону. Если ваш VPS находится в юрисдикции, входящей в
   14 Eyes (например, США, Великобритания), хостинг-провайдер обязан хранить логи
   и передавать их по запросу. Бесплатные прокси-сервисы часто продают трафик
   рекламодателям — как это делал Hola VPN, превратив пользователей в платный
   ботнет.

Как проверить, что прокси работает — и не выдаёт вас
Проверка работоспособности — обязательный этап:

• IP-адрес: зайдите на ipleak.net. Должен отображаться IP вашего
  прокси-сервера, а не домашний.
• DNS: на том же сайте проверьте DNS-серверы. Они должны совпадать с DNS
  прокси или быть публичными (Cloudflare, Google), но не вашим локальным
  провайдером.
• WebRTC: в браузере Chrome/Edge откройте настройки → Конфиденциальность →
  Безопасность → Отключить WebRTC (или используйте расширение). Иначе реальный IP
  может просочиться через JavaScript.
• Утечки IPv6: если у вас включён IPv6, отключите его в системе или
  настройте прокси на обработку IPv6-трафика. Иначе запросы пойдут мимо.

Сравнение решений для прокси на Ubuntu
| Решение | Протокол | Шифрование | Поддержка UDP | Кэширование | Сложность настройки |
|--------------|----------|------------|---------------|-------------|---------------------|
| Squid | HTTP/HTTPS | Только с TLS | Нет | Да | Средняя |
| HAProxy | TCP/SSL | Да (SSL offload) | Нет | Нет | Высокая |
| Dante (SOCKS5)| SOCKS5 | Нет (требует stunnel) | Да | Нет | Средняя |
| Shadowsocks | TCP | Да (AES, ChaCha20) | Через plugin | Нет | Высокая |
| 3proxy | HTTP/SOCKS| Опционально | Да | Нет | Низкая |

Вывод

установка прокси сервера на ubuntu — это мощный инструмент, но не панацея. Он
решает задачи фильтрации, маршрутизации и частичной анонимизации, но не заменяет
полноценный VPN с шифрованием end-to-end. Выбирайте тип прокси строго под
сценарий: Squid для веб-фильтрации, SOCKS5 для торрентов, HAProxy для
перенаправления сервисов. И никогда не забывайте тестировать на утечки — иначе
вся «безопасность» окажется иллюзией.

Прокси замедляет интернет сильно?

Зависит от нагрузки на сервер и расстояния. При размещении VPS в Амстердаме или Франкфурте пинг к российским ресурсам вырастет на 40–70 мс. Пропускная способность падает на 5–15% из-за накладных расходов.

Может ли Роскомнадзор заблокировать мой прокси?

Да, если IP станет известен и будет использоваться массово для обхода блокировок. Индивидуальный прокси на VPS с белым IP реже попадает под радар, чем публичные сервисы.

🛠️Инструмент для работы

Нужен ли мне kill switch при использовании прокси?

Kill switch — функция VPN-клиентов. При ручной настройке прокси через системные настройки или приложение такой защиты нет. При обрыве соединения трафик пойдёт напрямую. Для защиты используйте iptables-правила, блокирующие весь трафик, кроме прокси.

Чем прокси отличается от VPN?

VPN шифрует ВЕСЬ трафик на уровне ОС и создаёт виртуальный сетевой интерфейс. Прокси работает на уровне приложения и не шифрует трафик, если явно не настроен TLS. Прокси гибче, но менее защищён.

Можно ли использовать прокси для обхода блокировок банков?

Технически — да. Но банки активно борются с анонимайзерами и могут заблокировать сессию при обнаружении подозрительного IP. Используйте прокси только для нефинансовых задач.

⚙️Технология доступа

Безопасно ли ставить прокси на домашний сервер?

Только если вы ограничите доступ по IP (например, только вашей подсети) и отключите внешний доступ. Иначе ваш сервер станет открытым релеем для спамеров и хакеров.