Два прокси на сервере или... (Настройка прокси сервера)
Модератор: SLEDopit
Два прокси на сервере или...
На сервере с debian стоит Tor и Polipo, использую для одного плагина от RemoteFork (чтобы смотреть видео с HDrezka и прочих заблокированных, прямо на телеке), в нем активен прокси -> polipo, все работает.
Хочу поставить прозрачный прокси (вроде так звать) на весь канал, для истории, блокировок нежелательных сайтов определенным клиентам (дети подрастают) и все в таком духе, думаю нужен squid (если есть что-то лучше посоветуйте).
А теперь вопрос, можно ли держать два прокси (и как они будут дружить)? или можно это все реализовать на одном?
Слышал про списки с роскомсвободы что согласно им можно будет запросы на эти сайты в Tor пустить и только их, чтобы на каждом браузере не ставить обходчик, да и рекламу подрезать....
Хочу поставить прозрачный прокси (вроде так звать) на весь канал, для истории, блокировок нежелательных сайтов определенным клиентам (дети подрастают) и все в таком духе, думаю нужен squid (если есть что-то лучше посоветуйте).
А теперь вопрос, можно ли держать два прокси (и как они будут дружить)? или можно это все реализовать на одном?
Слышал про списки с роскомсвободы что согласно им можно будет запросы на эти сайты в Tor пустить и только их, чтобы на каждом браузере не ставить обходчик, да и рекламу подрезать....
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Можно, если они будут слушать на разных портах (если не ошибаюсь, упомянутые морепродукты по умолчанию используют разные).
Думаю, можно. Хотя пусть лучше более сведущие люди выскажутся, я вообще прокси не люблю.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Два прокси на сервере или...
Вы ставите две как бы противоположные задачи: с одной стороны - обойти блокировки, с другой - создать блокировки.
Если говорить конкретно об обходе блокировок:
У меня обход блокировок организован без всяких прокси при помощи iptables на уровне роутера.
Аналогично можно сделать и на шлюзе (Ваш сервер с debian), поскольку iptables - он и есть iptables.
Плюсы:
Из всех вариантов обхода - это самый быстрый.
Не зависит от всяких прокси, впн и пр.
Всё полностью прозрачно для браузеров, торрентов и других программ - ничего дополнительно настраивать не нужно.
Минусы:
Возможность применения зависит от провайдера: разные провайдеры используют разные схемы, не в каждом случае данный способ пригоден.
Есть ненулевая вероятность, что на какие-то сайты попасть всё-таки не удастся. Но утверждать не могу, статистику не собирал.
Нужно уметь настраивать iptables.
По второй части (ограничить пользователям доступ к нежелательным сайтам).
Здесь опять-таки я бы попробовал обойтись без прокси, ибо всё решается тем же iptables.
Прокси вроде бы нужны для того, чтобы предоставить доступ, а не ограничить. Ну или там, собрать статистику.
А если нужно что-то большее, например, "умная" раздача интернета, возможностей прокси начинает не хватать.
А уж имея отдельный компьютер в качестве шлюза, да ещё с Linux на борту, наворачивать прокси для этой задачи вообще ни к чему.
Во всяком случае, столкнувшись с похожей задачей по работе, я на уровне прокси удовлетворяющего решения не нашёл. А при помощи linux-шлюза с iptables удалось сделать точно так, как хотелось.
Re: Два прокси на сервере или...
думал я над этим... но сколько не гуглил все сливается или в vpn или tor
Как раз и не появилось желания долго изучать iptables, чтобы быстро забыть после того как все заработает.
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
Re: Два прокси на сервере или...
Способы обойтись без tor/vpn существуют, но только для некоторых провайдеров. У моего раньше было возможно, теперь нет. Раньше он при подключении к заблокированному сайту тупо посылал пользователю RST-пакет, заставляя браузер думать, будто сайт разорвал соединение. Этот пакет можно было отличить от настоящего и заблокировать через iptables. Теперь он посылает RST-пакеты в обе стороны: и пользователю от имени сайта, и сайту от имени пользователя. Даже если пользователь отфильтрует направленный ему пакет, другой пакет всё равно будет получен сайтом, и соединение будет разорвано. Некоторые сайты, чтобы облегчить обход блокировки, тоже фильтруют подозрительные RST-пакеты на своей стороне, и для таких сайтов этот метод всё ещё работает, но их мало.
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Два прокси на сервере или...
Ну, уж ограничить детишкам доступ к нежелательным сайтам вполне можно без прокси, tor и vpn.
Так что хотя бы в этой части задачи iptables вполне подойдет.
Можно подумать, что прокси изучать не нужно.
Я их штук пять разных пересмотрел, когда по работе решал задачу раздать/ограничить интернет.
Ни один из вариантов меня полностью так и не устроил.
А может я не слишком глубоко их изучал? Может быть. Там вполне есть куда закопаться.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Это довольно грубое решение. Фактически можно оргинизовать только фильтрацию IP-адресов по чёрному или белому списку. Надеюсь, не надо объяснять, в чём недостатки этих подходов.Hephaestus писал: ↑19.05.2019 18:41Ну, уж ограничить детишкам доступ к нежелательным сайтам вполне можно без прокси, tor и vpn.
Так что хотя бы в этой части задачи iptables вполне подойдет.
Для «родительского контроля» скорее нужно что-то вроде e2guardian (или что там нынче в моде, я не в теме).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Ну строго говоря, к прокси-серверу с поддержкой ICAP, но да, на практике это squid.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Два прокси на сервере или...
Не более грубое, чем любое другое.
Ну что ж... Тогда нужно учесть и недостатки прокси.Bizdelnick писал: ↑19.05.2019 19:12Фактически можно оргинизовать только фильтрацию IP-адресов по чёрному или белому списку. Надеюсь, не надо объяснять, в чём недостатки этих подходов.
Стало быть, имеет смысл сравнить достоинства и недостатки разных способов и выбрать подходящий.
За себя могу сказать, что организовать ограничения с помощью прокси мне в своё время не удалось.
А с помощью iptables удалось. Это конечно был не родительский контроль, но всё-таки.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Фильтрация на сетевом уровне — по определению более грубое решение, чем фильтрация на уровне приложений, где можно использовать и проверку имени хоста, и проверку URL, и проверку содержимого. Конечно, для этого придётся вскрывать HTTPS, что усложняет задачу.
Впрочем, я ни за что не агитирую. Я вообще сомневаюсь в оправданности любых блокировок.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Два прокси на сервере или...
Когда я возился с прокси, я там столь широких возможностей не видел. Правда, это было лет десять назад, детали я уже не помню.Bizdelnick писал: ↑19.05.2019 21:16Фильтрация на сетевом уровне — по определению более грубое решение, чем фильтрация на уровне приложений, где можно использовать и проверку имени хоста, и проверку URL, и проверку содержимого.
У прокси, как ограничивающего инструмента, я вижу два существенных минуса:
1.Прокси - это отдельное приложение, со всеми вытекающими.
Например: ребенок подрос, научился менять настройки в браузере...
или сама прокси не запустилась по какой-то причине...
В общем, нужно обеспечить, чтобы машина, которую надо ограничить, ни под каким видом не выходила в Сеть мимо прокси. Сама прокси это обеспечить не может, значит, нужны дополнительные средства - одной только прокси здесь не обойтись.
2. Те прокси, которые я щупал, были кеширующими веб-прокси. Насколько мне известно, и squid относится к этой категории. Как быть со всякими торрентами и прочими "клиентами" - непонятно. Весь этот побочный трафик придётся контролировать отдельно.
Ну, хоть рекламу-то блокируете? (:
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Для этого можно прикрутить внешние фильтры, один пример я выше привёл.Hephaestus писал: ↑19.05.2019 21:53Когда я возился с прокси, я там столь широких возможностей не видел.
Так речь, вроде бы, и шла о прозрачном прокси.Hephaestus писал: ↑19.05.2019 21:53нужно обеспечить, чтобы машина, которую надо ограничить, ни под каким видом не выходила в Сеть мимо прокси
Никак не быть. Какой смысл его контролировать? Хотя если очень хочется, тот же iptables никто не отменял. Только что им сделать можно? Полностью зарезать торренты, почту, какой-нибудь чатик? Может иметь смысл блокировать общение с определёнными личностями (от педофилов и вербовщиков ИГИЛ до хулигана Петьки из соседнего дома), но iptables тут бессилен, снова нужен какой-то фильтр уровня приложений. Может иметь смысл блокировать загрузку с торрентов определённых типов контента, и снова — iptables не сможет их распознать.Hephaestus писал: ↑19.05.2019 21:53Как быть со всякими торрентами и прочими "клиентами" - непонятно. Весь этот побочный трафик придётся контролировать отдельно.
Я имел в виду насильственные блокировки, а не добровольные. Одно дело, когда человек не хочет чего-то видеть, и совсем другое — когда хочет, но ему не дают.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Hephaestus
- Сообщения: 3729
- Статус: Многоуважаемый джинн...
- ОС: Slackware64-14.1/14.2
- Контактная информация:
Re: Два прокси на сервере или...
Гарантирует ли это отсутствие доступа в сеть без прокси?WIKI писал(а): Прозрачный прокси — схема связи, при которой трафик или его часть перенаправляется на прокси-сервер неявно (средствами маршрутизатора). При этом клиент может использовать все преимущества прокси-сервера без дополнительных настроек браузера (или другого приложения для работы с интернетом).
Предположим, прокси-сервис упал. Перестал работать. Что будет с трафиком?
Пойдет "другим маршрутом" или не пойдет никуда? Зависит от настроек этих самых маршрутов, надо полагать.
Я экспериментов не ставил, поэтому не знаю.
Насколько мне известно, для "прозрачности" нужно заворачивать трафик на прокси. Тем же iptables, например. Ну, то есть, опять - одной только прокси не обойтись.
Торренты, почту, соц. сети. Почему бы и нет?Bizdelnick писал: ↑19.05.2019 22:16Только что им сделать можно? Полностью зарезать торренты, почту, какой-нибудь чатик?
А иначе что толку ставить прокси от "нежелательного контента", если в каком-нибудь ВК этого контента - через край?
Это не к Вам вопрос, это так, мысли вслух, если что.
На мой взгляд, если уж устраивать дома филиал РКН,
то всякие ВК и прочие телеграмы резать к чертовой матери не дожидаясь перитонитов, чтоб на глаза не попадались лишний раз.
Впрочем, у ТС, вероятно, свои критерии "нежелательного контента".
Dotstal
Мой провайдер несколько лет назад в списке сервисов предлагал "детский интернет" - для совсем маленьких детей. Адрес прописывался в настройки прокси, после чего, весь сёрфинг крутился в пределах одного ресурса.
Это был вполне симпатичный проект - сказки, мультфильмы, оцифрованные диафильмы, игрушки, детское радио.
На данный момент ресурс вроде бы существует, но непонятно, в каком состоянии. Ни жив, ни мёртв.
Копирайт на сайте - 2006-2011 год.
Обновление белых списков - 2009 год.
При этом есть публикация за 2013 год.
Кроме того, имеет место несоответствие адресов: везде написано "tirnet", хотя по факту "tyrnet". В качестве прокси настроить не удалось.
Полюбопытствуйте, может, извлечете какую-то пользу.
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Прокси может отфильтровать страницы с определённым контентом. Я, правда, немного отстал от жизни, и не знаю, как в софременных фильтрах обстоит с динамически подгружаемым контентом, но полагаю, эту проблему тоже как-то решили.Hephaestus писал: ↑20.05.2019 08:06А иначе что толку ставить прокси от "нежелательного контента", если в каком-нибудь ВК этого контента - через край?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Два прокси на сервере или...
Господа я вас услышал, весь трафик в squid, а дальше буду разбираться, когда будет время-желание, отпишусь о результатах
Re: Два прокси на сервере или...
А у меня какой-то странный провайдер, просто так пытаешься зайти на рутрекер - отлуп, а после удачного захода через TOR уже заходит и без него, если вызываешь адрес из истории, а когда вручную вводишь в адресную строку - опять отлуп. Тут же опять выбираешь из истории (или из speed-dila) - удачно. Это как может быть? В адресной строке в обоих случаях одно и то же...
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Два прокси на сервере или...
Не знаю даже, может ли такое кэш (или кеш-таки?), по-моему, нет. Если я правильно понимаю, новый логин подразумевает новые данные, причём тут кэш со старыми?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
За Firefox я неоднократно замечал такое, что можно закрыть вкладку, а потом восстановить её, и при этом она не перезагружается. Не знаю, сколько времени он её хранит, и как ещё кроме восстановления владки можно получить к ней доступ, но такое в нём есть. В других браузерах, думаю, тоже.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Два прокси на сервере или...
Так если вышел (разлогинился) с ресурса-форума, а потом по кэшированной вкладке оказываешься авторизованным - как к такому ресурс-форум отнесётся? Думаю, неблагосклонно :-)
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Точно так же, как если разлогиниться в одной вкладке, а потом перейти в другую, где открыт тот же форум.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Два прокси на сервере или...
Ну так если не трогать, то да, показывает авторизованным, но если перегрузить страницу, то увы, уже вылетемши. А тут можно туда-сюда, много раз, учитывая что первый раз, при вызове через вручную набранный адрес, не пускало. Вообще до страницы рутрекера не доходило, заглушка от провайдера была.
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
Re: Два прокси на сервере или...
yoricI, а останавливать tor совсем пробовали? Может, это "Connection: keep-alive" виноват?
Re: Два прокси на сервере или...
Естественно, весь разговор про случай, когда tor совсем остановлен. Уже несколько дней как остановлен, а я до сих пор без него захожу. Я его специально установил и запустил, потому что ни по http, ни по https не пускало.
А сейчас без tor по http не пускает, а по https запросто. Не должен же я был тогда ошибиться, потому что пришлось напрягаться с tor-ом... Хотя и мог, балуясь с его многочисленными зеркалами, может, я другое тогда пробовал...
https тоже должно быть заблокировано или нет?
Я, конечно, слегка переиграл первоначальные слова, но сейчас давай пробовать и вспомнил подробнее :-)
А сейчас без tor по http не пускает, а по https запросто. Не должен же я был тогда ошибиться, потому что пришлось напрягаться с tor-ом... Хотя и мог, балуясь с его многочисленными зеркалами, может, я другое тогда пробовал...
https тоже должно быть заблокировано или нет?
Я, конечно, слегка переиграл первоначальные слова, но сейчас давай пробовать и вспомнил подробнее :-)
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Это зависит от реализации блокировки у провайдера и от того, как ведёт себя браузер. Вроде бы все современные браузеры отправляют SNI. Вот только не знаю, появилась ли уже в каких-то из них поддержка шифрования SNI (ESNI). Если и браузер, и сервер поддерживают ESNI, а у провайдера блокировка HTTPS сделана по SNI, то сайт будет доступен.
Upd.
https://blog.mozilla.org/security/2018/10/18/encrypted-sni-comes-to-firefox-nightly/
https://bugs.chromium.org/p/chromium/issues/detail_ezt?id=908132
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Два прокси на сервере или...
Могу только сказать, что у меня palemoon, а рутрекер не знаю что за сервер. Ну что ж, на этом и постановим, простите за беспокойство :-)
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Два прокси на сервере или...
Хм, там вряд ли запилили ESNI. Хотя кто его знает…
В Firefox ESNI работает только при включённом DoH. В Pale Moon есть DoH? Вы его включали?
Добавлено (14:05):
Там вообще TLS 1.3 не поддерживается, так что тут какая-то другая магия.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |