Главная » Linux

Linux сервер windows прокси сервер

Содержание
  1. Настройка прокси-сервера на Windows и Linux
  2. Настройки прокси-сервера на компьютере
  3. Прокси-сервер для Windows
  4. Как настроить прокси-сервер на Windows
  5. Прокси-сервер на Linux
  6. Бесплатный прокси-сервер для предприятия с доменной аутентификацией
  7. Краткая предыстория
  8. Описание
  9. Подготовка к установке Squid
  10. Установка и предварительная настройка
  11. Настройка аутентификации Squid и списка доступа без аутентификации
  12. Настройка SquidGuard
  13. LightSquid и sqstat
  14. Завершение

Настройка прокси-сервера на Windows и Linux

Необходимость создания защищенного доступа чаще всего возникает у коммерческих организаций, но и рядовые пользователи нередко используют этот метод. Чтобы обеспечить анонимность или обезопасить ваш компьютер от посягательств, достаточно знать, как настроить прокси-сервер на Windows и Linux. Наша статья будет полностью посвящена данному вопросу: мы подготовили простую и понятную инструкцию, которая поможет продвинутым пользователям установить ключевые параметры соединения, используя возможности ОС и браузера.

Настройки прокси-сервера на компьютере

Перед тем, как приступать к установке и настройке, стоит разобраться, что такое proxy-server и для чего он нужен. Простыми словами: это рабочая станция, которая размещается на стороне пользователя и выполняет роль промежуточного звена — моста, который связывает его в внешним информационным пространством. В обычных условиях подключение к Интернет с домашнего или рабочего ПК идет напрямую, а после настройки — через прокси-сервер. Вы заходите на сайты, пользуетесь онлайн-сервисами, приложениями, соцсетями и другими веб-ресурсами, но система видит не реальное местоположение и IP-адрес вашего компьютера, а данные, которые ей предоставляет proxy. Таким образом сервер выполняет сразу три функции:

— регулирует доступу к интернету для двух и более ПК в рамках локальной сети;

— защищает ваш компьютер от внешних угроз и несанкционированного доступа;

— обеспечивает анонимность, может шифровать трафик, менять геолокацию.

Для того, чтобы исходящие и входящие запросы перенаправлялись и обрабатывались, необходимо прописать соответствующие настройки подключения, адрес и порт прокси-сервера. О том, где это сделать мы и расскажем в нашей статье.

Стоит сразу сказать, что использование обычного прокси-сервера не гарантирует абсолютную анонимность. Сегодня некоторые ресурсы в интернете оснащаются современными системами для определения IP-адреса, и отследить маршрут переадресации для них не составит труда. Однако на компьютер, который используется в качестве прокси-сервера, можно установить дополнительное специализированное ПО, которое обеспечивает продвинутые настройки анонимности.

Прокси-сервер для Windows

Пожалуй, это самая востребованная категория решений, поскольку поднять proxy-сервер для Windows способен любой рядовой пользователь. Зачем это может понадобиться? Вариантов применения множество, от создания собственного защищенного канала до обхода региональных ограничений на использование иностранных сервисов. Рассмотрим пару простых примеров, которые наглядно демонстрируют, как proxy-сервер для Windows помогает решить некоторые проблемы, если его правильно настроить.

Сегодня многие интернет-магазины цифровой дистрибуции, а также популярные игровые проекты используют принцип жесткой привязки по IP. Это означает, что в вашем распоряжении будет только тот функционал, который владельцы портала определили для вашего региона. Это относится не только к локализации, но также и к списку доступных товаров, платежных систем и видов валюты, а главное — акций и бонусов. Никто не хочет, чтобы ему диктовали условия, и прокси-сервер для Windows — лучший способ обойти эти ограничения.

Второй очевидный способ использования — подключение к собственному каналу удаленно с любого устройства. К примеру, на работе у вас могут заблокировать соцсети или развлекательные ресурсы. Не беда, если корпоративная сеть построена на базе Виндовс — заходите на свой домашний прокси-сервер и пользуйтесь его возможностями без ограничений. Сейчас мы подробно расскажем, как настроить соединение.

Как настроить прокси-сервер на Windows

Рассмотрим подробную инструкцию, составленную для пользователей ПК на базе Windows 7, для операционных систем 8, 8.1 и 10 настройка прокси практически не отличается.

Читайте также:  Cleaning third story windows

1. Нажмите на «Пуск» и перейдите в меню «Панель Управления», выберете категорию «Сеть и Интернет» (или вкладку «Центр управления сетями и общим доступом», если у вас отображаются значки).

2. В окне демонстрируется текущая схема подключение к интернету, нас интересует пункт «Изменение параметров адаптера».

3. В новом окне показаны все доступные сетевые подключения, нам нужна иконка «Интернет», через контекстное меню выбираем пункт «Свойства».

4. В появившемся окне есть несколько вкладок, сначала выбираем «Доступ» и ставим галочку на «Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера», соглашаемся на изменения.

5. Слева от «Доступа» есть вкладка «Сеть», выбираем на ней пункт «Протокол Интернета версии 4 (TCP/IP)» и жмем «Свойства».

6. Здесь нужно выбрать «Использовать следующий IP», указать адрес вашего прокси-сервера и выбранную маску сети, остальные пункты настройки оставить без изменений.

Как только вы подтвердите изменения, можно приступать к работе.

Прокси-сервер на Linux

Стандартных возможностей операционной системы от Microsoft не всегда достаточно для гибкой настройки соединения, поэтому прокси-сервер на Линукс чаще используют для организации корпоративных сетей. Специалисты сходятся во мнении, что для компании идеальным решением является отдельный компьютер и только на базе Unix системы. В этой статье мы не станем сравнивать и определять лучший вариант, а просто предоставим вам инструкцию по настройка прокси-сервера Linux. Она составлена для пользователей Squid — ПО под Ubuntu.

Откройте терминал и введите:

sudo apt-get download squid squid common.

Сделайте копию конфигурационного файла и защитите его от редактирования:

sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.original

sudo chmod a-w /etc/squid/squid.conf.original.

sudo vi /etc/squid/squid.conf.

Чтобы приступить к редактированию, наберите «ifconfig» и запишите номер рядом с «IP Address».

acl internal_network src 192.168.0.0/24

http_access allow internal_network (вместо указанного IP укажите ваш).

Выполните две последующие команды:

sudo chown -R proxy:proxy /var/log/squid/

sudo chown proxy:proxy /etc/squid/squid.conf.

Перезагрузите прокси-сервер Linux следующей командой:

sudo /etc/init.d/squid restart.

Чтобы завершить настройку, откройте браузер и укажите порт 3128. Можно приступать к работе, соединение защищено.

Более простой и удобный путь — работать через быстрые и удобные анонимные прокси-серверы. Для этого достаточно всего лишь выбрать на нашем сайте наиболее подходящий для вас пакет и оплатить его. Более подробную информацию можно получить у наших менеджеров.

Источник

Бесплатный прокси-сервер для предприятия с доменной аутентификацией

pfSense+Squid с фильтрацией https + Технология единого входа (SSO) с фильтрацией по группам Active Directory

Краткая предыстория

На предприятии возникла необходимость во внедрении прокси-сервера с возможностью фильтрации доступа к сайтам(в том числе https) по группам из AD, чтобы пользователи не вводили никаких дополнительных паролей, а администрировать можно было с веб интерфейса. Неплохая заявочка, не правда ли?

Правильным вариантом ответа было бы купить такие решения как Kerio Control или UserGate, но как всегда денег нет, а потребность есть.

Тут то к нам и приходит на выручку старый добрый Squid, но опять же — где взять веб интерфейс? SAMS2? Морально устарел. Тут то и приходит на выручку pfSense.

Описание

В данной статье будет описан способ настройки прокси-сервера Squid.
Для авторизации пользователей будет использоваться Kerberos.
Для фильтрации по доменным группам будет использоваться SquidGuard.

Для мониторинга будет использован Lightsquid, sqstat и внутренние системы мониторинга pfSense.
Также будет решена частая проблема, связанная с внедрением технологии единого входа (SSO), а именно приложения, пытающиеся ходить в интернет под учеткой компа\своей системной учеткой.

Подготовка к установке Squid

За основу будет взят pfSense, Инструкция по установке.

Читайте также:  Mac os поиск больших файлов

Внутри которого мы организуем аутентификацию на сам межсетевой экран с помощью доменных учеток. Инструкция.

Перед началом установки Squid необходимо настроить DNS сервера в pfsense, сделать для него запись A и PTR записи на нашем DNS сервере и настроить NTP так, чтобы время не отличалось от времени на контроллере домена.

А в вашей сети предоставить возможность WAN интерфейсу pfSense ходить в интернет, а пользователям в локальной сети подключаться на LAN интерфейс, в том числе по порту 7445 и 3128 (в моем случае 8080).

Всё готово? С доменом связь по LDAP для авторизации на pfSense установлена и время синхронизировано? Отлично. Пора приступать к основному процессу.

Установка и предварительная настройка

Squid, SquidGuard и LightSquid установим из менеджера пакетов pfSense в разделе «Система/Менеджер пакетов».

После успешной установки переходим в «Сервисы/Squid Proxy server/» и в первую очередь во вкладке Local Cache настраиваем кеширование, я выставил все по 0, т.к. не вижу особого смысла кешировать сайты, с этим и браузеры прекрасно справляются. После настройки нажимаем клавишу «Сохранить» внизу экрана и это даст нам возможность производить основные настройки прокси.

Основные настройки приводим к следующему виду:

Порт по умолчанию 3128, но я предпочитаю использовать 8080.

Выбранные параметры во вкладке Proxy Interface определяют какие интерфейсы будет слушать наш прокси сервер. Так как этот межсетевой экран построен таким образом, что в интернет он смотрит WAN интерфейсом, даже при том что LAN и WAN могут быть в одной локальной подсети, рекомендую для прокси использовать именно LAN.

Лупбек нужен для работы sqstat.

Ниже вы найдете настройки Transparent (прозрачного) прокси, а также SSL Filter, но они нам не нужны, наш прокси будет не прозрачным, а для фильтрации https мы не будем заниматься подменой сертификата(у нас ведь документооборот, банк-клиенты и тд), а просто посмотрим на рукопожатие.

На этом этапе нам необходимо перейти в наш контроллер домена, создать в нем учетную запись для аутентификации(можно использовать и ту что настроили для аутентификации на сам pfSense). Здесь очень важный фактор — если вы намерены использовать шифрование AES128 или AES256 — проставьте соответствующие галочки в настройках учетной записи.

В случае если ваш домен представляет собой весьма сложный лес с большим количеством каталогов или ваш домен .local, то ВОЗМОЖНО, но не точно, вам придется использовать для этой учетной записи простой пароль, баг известный, но со сложный паролем может просто не работать, надо проверять на конкретном частном случае.

После этого всего формируем файл ключей для кербероса, на контроллере домена открываем командную строку с правами администратора и вводим:

Где указываем свой FQDN pfSense, обязательно соблюдая регистр, в параметр mapuser вводим нашу доменную учетную запись и её пароль, а в crypto выбираем способ шифрования, я использовал rc4 для работы и в поле -out выбираем куда отправим наш готовый файл ключей.
После успешного создания файла ключей отправим его на наш pfSense, я использовал для этого Far, но также можно сделать этот как командами, так и putty или через веб интерфейс pfSense в разделе «Диагностика\Командная строка».

Теперь мы можем отредактировать\создать /etc/krb5.conf

где /etc/krb5.keytab это созданный нами файл ключей.

Обязательно проверьте работу кербероса с помощью kinit, если не работает — дальше нет смысла читать.

Настройка аутентификации Squid и списка доступа без аутентификации

Успешно настроив керберос прикрутим его к нашему Squid`у.

Для этого перейдите в Сервисы\Squid Proxy Server и в основных настройках опуститесь в самый низ, там найдем кнопочку «Расширенные настройки».

Читайте также:  Windows 10 virtualbox не работает двунаправленный буфер обмена

В поле Custom Options (Before Auth) введем:

uде auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth — выбирает необходимый нам хелпер керберос аутентификации.

Ключ -s с значением GSS_C_NO_NAME — определяет использование любой учетной записи из файла ключа.

Ключ -k с значением /usr/local/etc/squid/squid.keytab — определяет использовать именно этот кейтаб файл. В моем случае это тот же сформированный нами кейтаб файл, который я скопировал в директорию /usr/local/etc/squid/ и переименовал, потому что с той директорией сквид дружить не хотел, видимо прав не хватало.

Ключ -t с значением -t none — отключает цикличные запросы к контроллеру домена, что сильно снижает нагрузку на него если у вас больше 50 пользователей.
На время теста также можно добавить ключ -d — т.е диагностика, больше логов будет выводиться.
auth_param negotiate children 1000 — определяет сколько одновременных процессов авторизации может быть запущено
auth_param negotiate keep_alive on — не дает разорвать связь во время опроса цепочки авторизации
acl auth proxy_auth REQUIRED — создает и требует список контроля доступа, включающий в себя пользователей, прошедших авторизацию
acl nonauth dstdomain «/etc/squid/nonauth.txt» — сообщаем сквиду о списке доступа nonauth в котором содержатся домены назначения, к которым всегда будет разрешен доступ всем. Сам файл создаем, а внутрь него вписываем домены в формате

Whatsapp не зря используется как пример — он очень привередлив к прокси с аутентификацией и не будет работать если его не разрешить до аутентификации.
http_access allow nonauth — разрешаем доступ к данному списку всем
http_access deny !auth — запрещаем доступ неавторизованным пользователям к остальным сайтам
http_access allow auth — разрешаем доступ авторизированным пользователям.
Всё, сам сквид у вас настроен, теперь самое время приступить к фильтрации по группам.

Настройка SquidGuard

Переходим в Сервисы\SquidGuard Proxy Filter.

В LDAP Options вводим данные нашей учетной записи, используемой для керберос аутентификации, но в следующем формате:

Если есть пробелы и\или не латинские символы всю эту запись стоит заключить в одинарные или двойные кавычки:

Далее обязательно ставим эти галочки:

Чтобы отрезать ненужные DOMAIN\pfsense DOMAIN.LOCALк которым вся система очень чувствительна.

Теперь переходим в Group Acl и привязываем наши доменные группы доступа, я использую простые наименования в духе group_0, group_1 и тд до 3, где 3 — доступ только в белый список, а 0 — можно всё.

Привязываются группы следующим образом:

сохраняем нашу группу, переходим в Times, там я создал один промежуток означающий работать всегда, теперь переходим в Target Categories и создаем списки по своему усмотрению, после создания списков возвращаемся в наши группы и внутри группы кнопочками выбираем кто куда может, а кто куда — нет.

LightSquid и sqstat

Если в процессе настройки мы выбрали лупбек в настройках сквида и открыли возможность заходить на 7445 в фаерволле как в нашей сети, так и на самом pfSense, то при переходе в Диагностика\Squid Proxy Reports мы без проблем сможем открыть и sqstat и Lighsquid, для последнего нужно будет там же придумать логин и пароль, а также есть возможность выбрать оформление.

Завершение

pfSense очень мощный инструмент, который может очень много всего — и проксирование трафика, и контроль над доступом пользователей в интернет это лишь крупица всего функционала, тем не менее на предприятии с 500 машинами это решило проблему и позволило сэкономить на покупке прокси.

Надеюсь данная статья поможет кому-нибудь решить достаточно актуальную для средних и крупных предприятий задачу.

Источник

Оцените статью
© 2024 Советы по настройке компьютера