(Notes) Notes (2016 год)

Minimal proxy config (special Linux distribution from Artica).

У мене на сайті викладена безліч налаштувань різноманітних Linux-серверів, наприклад Простые сервисы связи с сервером OpenSuse - SSH, SFTP, TFTP, SMB, VNC, VPN, Webmin, Избавляемся от Team Foundation Server - ставим Subversion, Установка и начальное конфигурирование OpenSuse Linux, Настройка Samba File Server в OpenSuse, Elastix - сервер VOIP-телефонии, Поднимаем на хостинге MySQL и PostgreSQL сервера.

Час от часу я виконую якись проєкти у Linux-овому середовише, наприклад Полная копия системы командой DD. Чи, наприклад Проєкт Desen.bg


Стосовно Проксі-серверів, я також багато разів описував на своєму сайті різноманітні конфигурации Proxy-серверу від Мікрософта, наприклад Настройка ISA Server 2006., а також засоби уникання інсталяції мікрософтовського софта, зокрема їх Проксі-сервера http://vb-net.com/ngins/index.htm. Нажаль, щодо Proxy-серверів все це вже трошки застаріла інфа, якої вже більше 10-ти років. І тому я вирішим поновити Інфу щодо Проксі-серверів і викласти нову інструкцію мінімального налаштування Squid для роботи у якісті Proxy-server. Цього разу для інсталяції Proxy я взяв готовий дістрібутів проксі-серверу з інтегрованної сістемою керування Aptica-Proxy. Взагалі це мені дуже нагадало пакет Elastic над OpenSource Asterisk. Таким же чином компания Artica зробила непогану графічну надбудову над OpenSource-пакетом Squid і запакувала все це в окремий дістрібутів на базі Debian Linux.


Для того, щоб зрозуміти технологію налаштування моєї версії Proxy-Server'у, потрібно спочатку зрозуміти середовище, у якому я роблю налаштування у цьому прикладі. Головне, що потрібно зрозуміти, я роблю все це за фаерволом, ось його два головних правила NAT, 14-те правило я буду використовувати у якості внутрішнього айпішніка, а 15-те правило у якісті зовнішнього айпішніка мойого проксі-серверу.




Все налаштування і буду далі виконувати у VmWare, це теж моє улюблене середовище, яке я теж використовую багато років Основы работы с VmWare. Отже все починається з утворення віртуальної машини з одним сетьовим інтерфейсом (який дивиться в Інет і буде далі моїм звонішним айпішніком), діском 20 GB та 4 GB пам'яті.



Все, пішла загрузка Linux. По закінченні вона напише URL, по якому ми будемо робити всі подальші налаштування.



Едине що корисне на цієї консолі - це адмінский пароль та запуск серверу SSH. Поки проксі-сервер працює і не зависає про цю консоль можна назавжди забути.



Отже, ми отримали адресу Web-інтерфейсу, по якої ми будемо далі робити всі налаштування. Їх буде небагато - потрібно вибрати тип сервісів фільрації та звітів, адмінский пароль вєб-інтерфейсу, ім'я серверу, підтвердити айпішник, поставити VmWare tools та вибрати режим оптімізації, тобто швидкий доступ до віртуальних дісків VmWare.



Тепер додаємо другий інтерфейс, який я буду використовувати у якості внутрішнього. Взагалі, коли проксі стоїть за фаерволом, можна мабуть побудувати сістему і з одним айпишніком, та різними портами, але так всі налаштування більш прозорі.



І далі власно налаштування пробросу трафика з внутрішнього інтерфейсу на зовнішний. Головне що тут потрубно зе забути - це побудувати сертіфікат і вмикнути режим SSL.



Все, головне зроблено. Якщо ви з цього моменту почнете ходити зі свого браузера через проксі, то ви побачите, що ніякими засобами неможливо зрозуміти ваш дійсний айпішнік та вашу дійсну геолокацію. Ось наприклад я ніколи не був у Пітербурзі, але для усього інтернету мій айпішнік тепер буде саме російский-пітерський. Зверніть увагу що для цього потрібен лише (бескоштовний?) юніксовий хостинг, безкоштовний дістрібутів, п'ять хвилин та мабуть десятка два кліків мишкою.



Зрозуміло, що це не дуже корисний приклад використання проксі, бо на Росії Хуйло дозволяє своїм росіянчикам дивитися лише ті сайти, які прославляють його самого, мумію їхнього фараона Леніна та Гулаг з КГБ - тому більшисть звичних нам сайтів буде там заборонена.



Але тут я описав найголовне, що потрібно було зробити, щоб налаштувати проксі. Далі непогано додати ще підтримку SOCK5, це необхідно для іграшок, чи взагалі для будь-якого середовища, по типу Skype.



Після цього ви можете зробити контрольну точку VmWare і починати самостійно робити власні єксперіменти з фаєрволом, аутентіфікацією, фільрацією, звітами, зворотнім проксі, DNS та іншими багатьма-багатьма можливостями проксі, та цього дістрібутива.



Роутінг пакетів у моєму налаштуванні потрібен виглядати ось так.



Коли ви не розумієте, що робить та чи інша крапка у веб-інтерфейсі - корисно користуватися WinSCP - за допомогою його ви можете побачити будь власними очима будь-які зміни, які вносить веб-інтерфейс у конфіги всіх добре знайомих сервісів, наприклад SQUID, який є головною діючою особою цієї сторінки.



Поточне обслуговування будь-якого проксі неважке, це звичайний рестарт сервісів через Web-інтерфейс (якщо він працює), або вже з консолі.



Я описав тут спеціфічний варіант налашткувань, у мене тут зараз і WAN і LAN це зовнішні білі айпішники, зрозуміло, якщо ви ставите проксі для офіса, то потрібно для роботи проксі щонайменьше додати локальні мережі та аутентіфікацію.

У цьому дістрібутіві дуже багато цікавих можливостей, наприклад я мав дуже цікаві бізнес-пропозиції щодо налаштування CAPTIVE-порталів на цьому проксі (з прокруткою там комерційної реклами). Але опис таких серьозних налаштувань виходить за межі двадцяти кліков мишкої за п'яьб хвилин.

Щоб заглибитись далі у тему проксі, я пропоную вам подивитися взагалі на теми, які існують у проксі:

Також зверніть увагу на різницю між анонімними проксями та VPN, які теж багато разів я описував на своеєиу сайті, наприклад ось тут VPN-клиенты.





Comments ( )
<00>  <01>  <02>  <03>  <04>  <05>  <06>  <07>  <08>  <09>  <10>  <11>  <12>  <13>  <14>  <15>  <16>  <17
Link to this page: http://www.vb-net.com/Artica-proxy/index.htm
<SITEMAP>  <MVC>  <ASP>  <NET>  <DATA>  <KIOSK>  <FLEX>  <SQL>  <NOTES>  <LINUX>  <MONO>  <FREEWARE>  <DOCS>  <ENG>  <MAIL ME>  <ABOUT ME>  < THANKS ME>