как настроить прокси на линукс
как настроить прокси на линукс
Как настроить прокси на Linux: полный гайд без обмана
как настроить прокси на линукс — вопрос, который задают тысячи пользователей ежедневно. Но большинство руководств упускают главное: прокси ≠ VPN, а неправильная настройка может не только не защитить трафик, но и создать ложное чувство безопасности. В этом материале разберём всё: от базовых команд до защиты от DNS-утечек, юридических рисков и подводных камней бесплатных решений. Акцент — на реальные сценарии в условиях российской инфраструктуры: Ростелеком, МТС, блокировки Telegram и цензура на уровне DPI.
Прокси или VPN? Почему вы путаете яблоки с апельсинами
Прокси-сервер перенаправляет ваш трафик через сторонний хост. Он работает на прикладном уровне (HTTP/HTTPS/SOCKS), не шифрует весь стек и не скрывает IP от всех сервисов.
VPN — это туннель на сетевом уровне. Он шифрует весь трафик между устройством и сервером, маскирует IP глобально и защищает от MITM-атак в публичных Wi-Fi.
Если вы хотите:
- Обойти блокировку сайта → подойдёт HTTP-прокси.
- Скачать торренты без слежки провайдера → нужен полноценный VPN с no-log политикой.
- Защититься в кафе от снифферов → только VPN с kill switch.
Прокси полезен для:
- Парсинга сайтов с ротацией IP.
- Тестирования гео-контента.
- Лёгкой анонимизации в браузере.
Но он не спасёт, если:
- Ваш провайдер (например, Ростелеком) логирует соединения.
- Вы используете приложения вне браузера (Telegram Desktop, торрент-клиент).
- Сервер поддерживает WebRTC — ваш реальный IP уйдёт в открытом виде.
Базовая настройка прокси в терминале Linux
- Переменные окружения (для curl, wget, git)
export http_proxy="http://user:pass@proxy.example.com:3128"
export https_proxy="http://user:pass@proxy.example.com:3128"
export no_proxy="localhost,127.0.0.1,.local"
Чтобы сохранить навсегда — добавьте в ~/.bashrc или ~/.profile.
Важно: многие приложения (например,
apt) игнорируют эти переменные. Для них нужны отдельные конфиги.
- Настройка APT (Debian/Ubuntu)
Создайте файл /etc/apt/apt.conf.d/90proxy:
Acquire::http::Proxy "http://user:pass@proxy.example.com:3128";
Acquire::https::Proxy "http://user:pass@proxy.example.com:3128";
Без авторизации — просто уберите user:pass@.
- SOCKS5 через SSH (бесплатный и безопасный способ)
ssh -D 1080 user@your-server.com
Затем в браузере укажите SOCKS5-прокси: 127.0.0.1:1080.
Это шифрованное соединение, но работает только для приложений, поддерживающих SOCKS.
Глобальная маршрутизация через прокси: когда стандартных методов мало
Linux не имеет встроенного «системного прокси» как Windows. Чтобы направить весь трафик через прокси, нужны дополнительные инструменты:
- Proxychains — перехватывает вызовы к сетевым функциям (
connect,sendto) и перенаправляет их через цепочку прокси. - Redsocks — перенаправляет трафик на уровне iptables в прозрачный SOCKS-прокси.
Установка и настройка Proxychains
sudo apt install proxychains4
Редактируйте /etc/proxychains4.conf:
[ProxyList]
socks5 127.0.0.1 9050
или
http proxy.example.com 3128
Запуск приложения:
proxychains4 firefox
Предупреждение: не все приложения совместимы. Например, Electron-приложения (Discord, VS Code) часто игнорируют proxychains.
Чего вам НЕ говорят в других гайдах
- Бесплатные прокси — это бизнес на ваших данных
Бесплатные публичные прокси (например, из списков на hide.me или spys.one) почти всегда:
- Логируют ваш трафик.
- Внедряют рекламу через MITM (подменяют SSL-сертификаты).
- Используются для DDoS или спама — ваш IP могут занести в чёрные списки.
Стоимость аренды VPS с 1 Гбит/с — от $5/мес. Если сервис бесплатный, вы — товар.
- DNS-утечки даже при правильной настройке
Даже если вы указали прокси в системе, многие приложения (включая Firefox по умолчанию) используют собственные DNS-резолверы. Результат — запросы уходят напрямую к провайдеру (МТС, Билайн).
Решение:
- В Firefox: about:config → network.proxy.socks_remote_dns = true.
- В системе: принудительно направляйте DNS через прокси или используйте DoH/DoT.
- WebRTC раскроет ваш IP за секунды
WebRTC в браузерах Chrome и Firefox позволяет сайтам получать локальный и публичный IP, даже за прокси.
Проверить утечку: browserleaks.com/webrtc
Как закрыть:
- Firefox: media.peerconnection.enabled = false
- Chrome: установите расширение WebRTC Leak Prevent
- Юрисдикция и логи: миф о «никогда не логируем»
Даже если провайдер прокси заявляет «no logs», он обязан хранить данные по запросу суда в рамках соглашений типа 14 Eyes. Россия не входит в этот список, но местные провайдеры (например, дата-центры в Москве) подчиняются ФСБ и Роскомнадзору.
Если вы используете российский VPS как прокси — ваши логи могут быть переданы без вашего ведома.
- Fake kill switch
Некоторые GUI-оболочки для прокси (например, в старых версиях GNOME) имитируют «защиту от утечек», но на деле просто отключают интерфейс. При переподключении трафик идёт напрямую.
Настоящий kill switch требует настройки iptables или nftables с правилами DROP по умолчанию.
Прозрачный прокси с Redsocks + iptables: для продвинутых
Этот метод перенаправляет весь исходящий трафик через SOCKS-прокси без изменения приложений.
Шаг 1: Установка
sudo apt install redsocks
Шаг 2: Конфиг /etc/redsocks.conf
base {
log_debug = off;
log_info = on;
log = "file:/var/log/redsocks.log";
daemon = on;
redirector = iptables;
}
redsocks {
local_ip = 127.0.0.1;
local_port = 12345;
ip = your.proxy.com;
port = 1080;
type = socks5;
}
Шаг 3: Правила iptables
Создаём цепочку
sudo iptables -t nat -N REDSOCKS
Исключаем локальный трафик
sudo iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN
sudo iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN
sudo iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN
Перенаправляем всё остальное
sudo iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 12345
Применяем к OUTPUT
sudo iptables -t nat -A OUTPUT -p tcp -j REDSOCKS
Важно: это правило ломает работу некоторых служб (например, NTP). Добавьте исключения по портам при необходимости.
Сравнение: прокси против VPN в реальных условиях (RU)
| Критерий | HTTP/SOCKS-прокси | VPN (OpenVPN/WireGuard) |
|---|---|---|
| Уровень шифрования | Только HTTPS (если TLS) | AES-256-GCM / ChaCha20 |
| Защита от DPI (Роскомнадзор) | Нет (легко детектируется) | Да (особенно с obfs4, Shadowsocks) |
| Утечки DNS | Часто | Возможны без настройки |
| Поддержка торрентов | Нет (только через браузер) | Да |
| Скорость (на канале 100 Мбит/с) | 85–95 Мбит/с | 70–90 Мбит/с (WireGuard быстрее) |
| Юрисдикция сервера | Часто RU/CN — риск логов | Можно выбрать (Швейцария, Исландия) |
| Цена | Бесплатно (публичные) или от 200 ₽/мес | От 300 ₽/мес |
Когда прокси — плохая идея в России
- Вы скачиваете торренты → провайдер видит peer-соединения, даже если веб-трафик идёт через прокси.
- Используете публичный Wi-Fi в ТЦ → прокси не защищает от ARP-спуфинга и сниффинга локального трафика.
- Обходите блокировки Роскомнадзора → большинство HTTP-прокси уже в чёрных списках DPI.
- Работаете с конфиденциальными данными → отсутствие perfect forward secrecy делает трафик уязвимым к расшифровке в будущем.
В этих случаях выбирайте VPN с аудитом независимой компанией (Cure53, Securitum) и поддержкой WireGuard.
Диагностика: проверьте, работает ли ваш прокси
-
IP-адрес:
bash curl -x http://proxy:port https://api.ipify.org -
DNS-утечка:
bash dig @8.8.8.8 example.com
Если запрос ушёл — DNS не через прокси. -
WebRTC:
Откройте browserleaks.com/webrtc в браузере. -
Трафик на уровне пакетов:
bash sudo tcpdump -i any port not 22
Смотрите, куда идут соединения.
FAQ
Прокси замедляет интернет на сколько реально?
Зависит от локации сервера. Если прокси в Москве — потеря 5–15 мс. Если в США — 150–300 мс. Пропускная способность падает на 5–20% из-за накладных расходов TCP и возможной перегрузки сервера.
Меня найдёт спецслужба при использовании прокси?
Если прокси находится в РФ или стране-участнице 14 Eyes — да, по запросу суда. Даже «анонимные» сервисы обязаны предоставлять логи. Истинная анонимность требует Tor + временных учётных записей + оплаты криптовалютой.
Можно ли использовать прокси вместо VPN для Telegram?
Telegram Desktop поддерживает только системные настройки или SOCKS5. Но если вы не отключили WebRTC и не настроили DNS — ваш IP всё равно может утечь через другие каналы. Лучше использовать официальный режим «Use proxy» в настройках Telegram с MTProto-прокси.
Чем отличается MTProto-прокси от обычного SOCKS?
MTProto — проприетарный протокол Telegram, оптимизированный под его трафик. Он быстрее, устойчивее к блокировкам и не требует шифрования на прикладном уровне. Но работает только с Telegram.
Как настроить прокси только для одного пользователя в Linux?
Добавьте переменные http_proxy в ~/.bashrc этого пользователя. Для GUI-приложений используйте gsettings (GNOME):gsettings set org.gnome.system.proxy.http host 'proxy.example.com'
Бесплатные прокси из Telegram-каналов — безопасны?
Нет. Большинство таких списков — сборники компрометированных серверов. Их используют для фишинга, внедрения троянов и сбора cookies. Проверено на практике: в 2024 году несколько российских каналов распространяли прокси с подменой банковских страниц.
Вывод
как настроить прокси на линукс — задача технически простая, но опасная без понимания её ограничений. Прокси не заменяет VPN, не защищает от DPI Роскомнадзора и не скрывает активность в торрент-сетях. Он полезен для узких задач: парсинг, тестирование гео или временный обход блокировки. Но если вы ищете реальную защиту — настраивайте полноценный VPN с аудитом, отключайте WebRTC, проверяйте DNS и используйте kill switch на уровне ядра. В условиях российской инфраструктуры это не опция, а необходимость.
Thanks for sharing this. Nice focus on practical details and risk control. This is a solid template for similar pages. Overall, very useful.