أساسيات البروكسيات الشفافة باستخدام 3proxy و iptables / netfilter أو كيفية "السماح لكل شيء عبر وكيل"

make [2]: دليل الخروج '/opt/proxy/3proxy-0.8.12/src/plugins/TransparentPlugin'
make [1]: دليل الخروج '/opt/proxy/3proxy-0.8.12/src'

الخفي
pidfile /home/joke/proxy/3proxy.pid
nserver 8.8.8.8
nscache 65536
اختبار المستخدمين: CL: 1234
مهلات 1 5 30 60 180 1800 16 60
log /home/joke/proxy/logs/3proxy.log D
logformat "- + _L٪ t.٪.٪ N.٪ p٪ E٪ U٪ C:٪ c٪ R:٪ r٪ O٪ I٪ h٪ T"
تدوير 3
مصادقة قوية
فورة
السماح للاختبار
الجوارب - MP3128
الوكيل -8080

اتصالات الإنترنت النشطة (الخوادم فقط)
Proto Recv-Q Send-Q العنوان المحلي ، العنوان الخارجي ، الدولة ، اسم البرنامج ، اسم البرنامج
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 504 / 3proxy
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 338 / sshd
tcp 0 0 0.0.0.0lla128 0.0.0.0:* LISTEN 504 / 3proxy
tcp6 0 0 ::: 22 ::: * الاستماع 338 / sshd
UDP 0 0 0.0.0.0:68 0.0.0.0:* 352 / dhclient

1542573996.018 PROXY.8080 00000 tester 192.168.23.10:50915 217.12.15.54ced43 1193 6939 0 CONNECT_ads.yahoo.com:443_HTTP/1.1
1542574289.634 SOCK5.3128 00000 tester 192.168.23.10/101193 54.192.13.69:443 0 0 0 CONNECT_normandy.cdn.mozilla.net:443

# يصف هذا الملف واجهات الشبكة المتوفرة على نظامك
# وكيفية تفعيلها. لمزيد من المعلومات ، انظر واجهات (5).

المصدر /etc/network/interfaces.d/*

# واجهة شبكة الاسترجاع
لو السيارات
iface لو آينت استرجاع

# واجهة الشبكة الأساسية
allow-hotplug enp0s3
iface enp0s3 inet dhcp

# واجهة الشبكة الثانوية
allow-hotplug enp0s8
iface enp0s8 inet ثابت
العنوان 192.168.201.254
قناع الشبكة 255.255.255.0

enp0s3: flags = 4163 <UP ، و BROADCAST ، RUNNING ، MULTICAST> mtu 1500
آينت 192.168.23.11 قناع الشبكة 255.255.255.0 البث 192.168.23.255
inet6 fe80 :: a00: 27ff: fec2: bae4 prefixlen 64 rangeid 0x20 ether 08: 00: 27: c2: ba: e4 txqueuelen 1000 (Ethernet)
حزم RX 61 بايت 7873 (7.6 كيلو بايت)
أخطاء RX 0 انخفضت 0 تجاوزات 0 إطار 0
حزم TX 65 بايت 10917 (10.6 كيلوبايت)
أخطاء TX 0 انخفضت 0 تجاوزات 0 ناقل 0 تصادم 0

enp0s8: flags = 4163 <UP ، و BROADCAST ، RUNNING ، MULTICAST> mtu 1500
آينت 192.168.201.254 قناع الشبكة 255.255.255.0 البث 192.168.201.255
inet6 fe80 :: a00: 27ff: fe79: a7e3 prefixlen 64 rangeid 0x20 ether 08: 00: 27: 79: a7: e3 txqueuelen 1000 (Ethernet)
رزم RX 0 بايت 0 (0.0 B)
أخطاء RX 0 انخفضت 0 تجاوزات 0 إطار 0
حزم TX 8 بايت 648 (648.0 B)
أخطاء TX 0 انخفضت 0 تجاوزات 0 ناقل 0 تصادم 0

lo: flags = 73 <UP ، LOOPBACK ، RUNNING> mtu 65536
آينت 127.0.0.1 netmask 255.0.0.0
inet6 :: 1 prefixlen 128 rangeid 0x10 loop txqueuelen 1 (Local Loopback)
رزم RX 0 بايت 0 (0.0 B)
أخطاء RX 0 انخفضت 0 تجاوزات 0 إطار 0
حزم TX 0 بايت 0 (0.0 B)
أخطاء TX 0 انخفضت 0 تجاوزات 0 ناقل 0 تصادم 0

3. تحول كل شيء ، والآن تحتاج إلى تكوين 3proxy للوكيل شفافة.

root@debian9:~# cd /home/joke/proxy/
root@debian9:/home/joke/proxy# cat > 3proxytransp.conf


4. الآن قم بتشغيل 3proxy باستخدام التكوين الجديد
root@debian9:/home/joke/proxy# /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf

5. إضافة crontab مرة أخرى
root@debian9:/home/joke/proxy# crontab -e
@reboot /usr/local/bin/3proxy /home/joke/proxy/3proxytransp.conf

6. دعنا نرى ما يستمع إليه وكيلنا الآن
root@debian9:~# netstat -nlp



7. الآن الوكيل جاهز لقبول أي اتصالات TCP على المنفذ 888 ، DNS على المنفذ 53 ، بحيث يمكن بعد ذلك إعادة توجيههم إلى الجوارب عن بعد 5 - وكيل Google و DNS 8.8.8.8. يبقى لنا أن تكوين قواعد netfilter (iptables) و DHCP لإصدار عناوين.

8. قم بتثبيت الحزمة iptables-persistent و dhcpd

root@debian9:~# apt-get install iptables-persistent isc-dhcp-server

9. قم بتحرير ملف بدء تشغيل dhcpd
root@debian9:~# nano /etc/dhcp/dhcpd.conf


11. أعد تشغيل وتحقق من الخدمة على المنفذ 67
root@debian9:~# reboot
root@debian9:~# netstat -nlp


12. يبقى لإعادة توجيه جميع طلبات TCP إلى المنفذ 888 وحفظ القاعدة في iptables

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -p tcp -j REDIRECT --to-ports 888

root@debian9:~# iptables-save > /etc/iptables/rules.v4

13. لتوسيع عرض النطاق الترددي للقناة ، يمكنك استخدام عدة خوادم بروكسي في آن واحد. يجب أن يكون المبلغ الإجمالي 1000. يتم إنشاء اتصالات جديدة باحتمال 0.2 ، 0.2 ، 0.2 ، 0.2 ، 0.1 ، 0.1 للخوادم الوكيلة المحددة.

ملاحظة: إذا كان لدينا وكيل ويب ، فبدلاً من socks5 ، تحتاج إلى كتابة الاتصال ، إذا socks4 ، ثم socks4 (socks4 لا تدعم تسجيل الدخول / تخويل كلمة المرور!)

تكوين وتشغيل تكوين NAT + وكيل شفاف

في هذا التكوين ، سوف نستخدم آلية NAT المعتادة مع وكيل انتقائي أو كامل شفاف للعناوين الفردية أو الشبكات الفرعية. سيعمل مستخدمو الشبكة الداخلية مع بعض الخدمات / الشبكات الفرعية دون أن يدركوا أنهم يعملون من خلال وكيل. تعمل جميع اتصالات https بشكل جيد ، ولا يلزم إنشاء / استبدال شهادات.

أولاً ، نقرر الشبكات الفرعية / الخدمات التي نريد أن نوفرها. لنفترض أن الوكلاء الخارجيين موجودون حيث تعمل خدمة مثل pandora.com. الآن يبقى لتحديد الشبكة الفرعية / العنوان.

1. بينغ

root@debian9:~# ping pandora.com
PING pandora.com (208.85.40.20) 56 (84) بايت من البيانات.

2. نكتب في جوجل BGP 208.85.40.20

انتقل إلى موقع الويب bgp.he.net/net/208.85.40.0/24#_netinfo
يمكنك أن ترى أنني أبحث عن الشبكة الفرعية وهي AS40428 Pandora Media، Inc

bgp.he.net/net/208.85.40.0/24#_netinfo

فتح بادئات v4

bgp.he.net/AS40428#_prefixes

فيما يلي الشبكات الفرعية المطلوبة!

199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
199.116.164.0/24
199.116.165.0/24
208.85.40.0/24
208.85.41.0/24
208.85.42.0/23
208.85.42.0/24
208.85.43.0/24
208.85.44.0/24
208.85.46.0/23
208.85.46.0/24
208.85.47.0/24

3. لتقليل عدد الشبكات الفرعية ، يجب إجراء التجميع. انتقل إلى ip-calculator.ru/aggregate وانسخ قائمتنا هناك. نتيجة لذلك - 6 شبكات فرعية بدلاً من 14.

199.116.161.0/24
199.116.162.0/24
199.116.164.0/23
208.85.40.0/22
208.85.44.0/24
208.85.46.0/23

4. قواعد iptables واضحة

root@debian9:~# iptables -F
root@debian9:~# iptables -X
root@debian9:~# iptables -t nat -F
root@debian9:~# iptables -t nat -X

تمكين الأمام و NAT

root@debian9:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@debian9:~# iptables -A FORWARD -i enp0s3 -o enp0s8 -j ACCEPT
root@debian9:~# iptables -A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT
root@debian9:~# iptables -t nat -A POSTROUTING -o enp0s3 -s 192.168.201.0/24 -j MASQUERADE

بحيث يكون للأمام دائمًا بعد إعادة التشغيل ، قم بتغيير الملف

root@debian9:~# nano /etc/sysctl.conf

و uncomment الخط

net.ipv4.ip_forward = 1

Ctrl + X لحفظ الملف

5. نحن التفاف الشبكة الفرعية pandora.com في الوكيل

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.201.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888

6. حفظ القواعد

root@debian9:~# iptables-save > /etc/iptables/rules.v4

تكوين وتشغيل وكيل شفاف عبر تكوين جهاز التوجيه

في هذا التكوين ، يمكن أن يكون الخادم الوكيل الشفاف جهاز كمبيوتر منفصلًا أو جهازًا افتراضيًا وراء جهاز توجيه الشركة / المنزل. يكفي تسجيل مسارات ثابتة على جهاز التوجيه أو الأجهزة وستستخدم الشبكة الفرعية بالكامل الوكلاء دون الحاجة إلى أي إعدادات إضافية.

! هام من الضروري أن تستقبل البوابة الخاصة بنا عنوان IP ثابتًا من جهاز التوجيه ، أو أن تتم تهيئته للاستاتيكي نفسه.

1. تكوين عنوان بوابة ثابت (محول enp0s3)

root@debian9:~# nano /etc/network/interfaces


2. اسمح للأجهزة من الشبكة الفرعية 192.168.23.0/24 باستخدام الوكيل

root@debian9:~# iptables -t nat -A PREROUTING -s 192.168.23.0/24 -d 199.116.161.0/24,199.116.162.0/24,199.116.164.0/23,208.85.40.0/22,208.85.44.0/24,208.85.46.0/23 -p tcp -j REDIRECT --to-ports 888

3. حفظ القواعد
root@debian9:~# iptables-save > /etc/iptables/rules.v4

4. سنقوم بتسجيل الشبكات الفرعية على جهاز التوجيه

المواد / الموارد المستخدمة

1. الموقع الرسمي لبرنامج 3proxy 3proxy.ru

2. تعليمات التثبيت ل 3proxy من المصدر www.ekzorchik.ru/2015/02/02/how-to-take-your-socks-proxy

3. فرع مطور 3proxy على github github.com/z3APA3A/3proxy/issues/274