Не так давно жизнь заставила меня озадачиться поднятием прокси сервера. Выбор пал на Squid. Нужно было от него не много, а именно: Доступ к сайтам по http и https и доступ к серверу с одного единственного IP адреса. То ли из-за разности версий и, как следствие - отличий строк конфигурационных настроек, то ли из-за того, что большая часть копипастеров в и-нете не проверяет жизнеспособность решений, предлагаемых в их блогах - составление элементарного конфига привело к неожиданному результату: Доступ к прокси я получила, а вместе со мной и все, кто проходил мимо. И узнала я об этом только когда посыпались абузы по поводу спама и прочих неприятностей, связанных с такой щедростью.
Наверняка не одна я озадачилась таким вопросом, по этому делюсь реально работающим конфигом Сквида, стабильной версии 2.7
Итак, мы имеем внешний сервер на Debian с установленным на него Squid и домашний комп, с выделенным (белым) айпишником.
http_port 3128 #порт по умолчанию
visible_hostname example.com #имя хоста, которое будет видно из вне
acl all src all #определение всех пользователей
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl myComputer src ip-адрес #IP вашего домашнего компьютера
acl Safe_ports port 80
acl Safe_ports port 443
acl SSL_ports port 443
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports #закрыть выход на все порты, кроме указанных выше (acl Safe_ports)
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all !myComputer #запретить доступ к серверу всем, кроме ip-адреса домашней машиныВышеприведённый пример - это прозрачный прокси сервер, к которму есть доступ лишь с одного единственного адреса, который позволяет посещать сайты по протоколам http и https (порты 80 и 443).
"Прозрачный" прокси - это тот прокси, который не прячет информацию о себе. Вы посещаете сайты и при наличии там специальных инструментов виден IP вашего прокси, а так же информация о том, что используется именно прокси сервер, а так же ваш реальный IP. В принципе, этого вполне достаточно для доступа к таким сайтам, как last.fm, или pandora.com. Но адептам сетевой анонимности будут полезны следующие строки конфигурационного файла:
header_access x_forwarded_for deny all
header_access via deny allПервая скрывает ваш реальный IP, вторая прячет информацию о прокси. Таким образом в большинстве случаев вас будут определять, как обычного пользователя, с обычным IP адресом, не использующего прокси. Это совсем не значит, что теперь вы полностью недосягаемы. Если задаться целью, то всёравно можно вычислить, что используется прокси, а так же выудить ваш реальный IP адрес. Но в большинстве случаев этого не видно, а если вы не хулиганите, то и искать вас ни кто не будет.
