时间戳

首页 > 技术文章 > squid搭建代理服务器,实现在外访问家里设备,web代理

squid搭建代理服务器,实现在外访问家里设备,web代理

yunmuq 2021-06-07 14:27 原文



一、背景

当存在一个网站W,电脑A可以访问,但你现在使用的电脑B不可访问时,可以在A上搭建一个web代理,这样B就能访问W了

如果想在外访问家里的设备,如路由器,可以先参考我的这篇文章:《NameSilo的DDNS动态域名解析脚本》

为什么选择squid ?

  • 安装相对简单

  • 支持访问控制,身份认证,限制能访问的域名,限制发起请求的IP等等

如果只是web需求,相比之下,搭建那V个P什N么、v2[emm]ray之类的就太麻烦了

五大开源 Web 代理服务器横评:Squid、Privoxy、Varnish、Polipo、Tinyproxy



二、安装

2.1 yum安装

  • 优点:方便快捷,安装后就是服务,可以用systemctl管理

  • 缺点:不安全,版本较低,centos7是3.5,这是很老的版本了。squid老版本存在缓冲区溢出命令执行、整数溢出等,具体可以去查CVE。开放公网的话还是编译安装最新版吧,这玩意你浏览器直接访问代理IP+端口,就能拿到版本...http头部也有

yum install squid

如后续需设置通过用户密码认证来连接代理,那么需要检查是否有 htpasswd

htpasswd

没有的话需要安装 yum install httpd-tools



2.2 编译安装

  • 优点:可以安装最新版本,相对安全

  • 缺点:编译慢,安装使用繁琐

# 官网下载 http://www.squid-cache.org/Versions/
wget http://www.squid-cache.org/Versions/v4/squid-4.15.tar.gz
tar -zxvf squid-4.15.tar.gz
cd squid-4.15
./configure
make -j4  # 根据CPU线程数而定,提高编译速度,为cpu核心数两倍
make install



三、配置

3.1 基本配置

编译安装的默认允许所有IP连接,yum安装似乎默认不开放公网,修改配置文件

vi /etc/squid/squid.conf

  • 找到http_access deny all,改为 allow all 即可允许所有IP使用代理

而编译安装的配置文件在 /usr/local/squid/etc/squid.conf

二者找到 port 可以更改服务监听代理的端口

3.2 高隐配置

squid 默认是透明代理,也就是说你通过 squid 访问一个服务器,服务器知道你使用了代理,知道你代理的IP和你真实的IP或局域网出口的IP

想要完全隐藏你的代理信息和真实信息,可以追加以下配置

#
# HTTP head X-Forwarded-For
# http://www.squid-cache.org/Doc/config/forwarded_for/
#
forwarded_for delete

#
# HTTP head Via
# http://www.squid-cache.org/Doc/config/via/
#
via off

XFF用于代理时记录原始IP和每个代理服务器IP;via用来记录每个代理服务器的信息。关闭这两个请求头,代理信息就能被隐藏了。

不过报文看起来还是和正常请求有区别的,那就是多了诸如 X-Cache 的缓存相关头,不过无太大影响

暴力隐藏这些头可以参考 request_header_access 或是 reply_header_access,但是不推荐这样做,会影响功能的正常使用。



3.3 密码认证

squid支持多种认证方式,这里选Ncsa

首先生成密码文件

如果没有htpasswd 命令,安装httpd

yum安装htpasswd -cb /etc/squid/passwd [用户名] [密码] ,一定要放在 /etc/squid/ ,博主最开始放在 /root/ 下,结果后来连接时怎么输用户名都不对,浏览器中反复要我输入账号密码

编译安装htpasswd -cb /usr/local/squid/etc/passwd [用户名] [密码]

然后配置 squid ,修改配置文件,还是 http_access 那行,改为

# yum安装:auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic program /usr/local/squid/libexec/basic_ncsa_auth /usr/local/squid/etc/passwd
auth_param basic children 5
auth_param basic credentialsttl 10 minute
acl auth proxy_auth REQUIRED

http_access deny !auth
http_access allow auth
http_access deny all

配置前需检查 basic_ncsa_auth 路径是否正确,也有可能在 /usr/lib/squid、lib64/squid3 之类的目录下,否则启动时报错:

/usr/lib/squid/basic_ncsa_auth: (2) No such file or directory

官方参数说明 鉴于centos默认安装是3.5



四、使用

4.1 服务端启动

yum安装:

# start stop restart status -l
systemctl start squid
# 开机自启
systemctl enable squid
# 日志
vi /var/log/squid/access.log

start失败就status -l,上面排了两个坑,再说我遇到过的其它情况

起因是我不小心直接执行了 squid 命令,然后就运行起来了但我不知道,当我再start时最开始是报:Could not send signal 15 to process 6527: (13) Permission denied

我发现后台有在跑一个 squid,stop没用就直接kill了,然后再start报:FATAL: Ipc::Mem::Segment::create failed to shm_open(/squid-cf__metadata.shm): (17) File exists

遇事不决就重启,我直接reboot,解决了,听说删除 dev/shm/ 下的文件也能成功

编译安装:

首先你需要新建这两个文件才能启动

touch /usr/local/squid/var/logs/cache.log
# squid总以nobody用户运行,不更改文件权限无法写入
chown nobody /usr/local/squid/var/logs/cache.log && chgrp nobody /usr/local/squid/var/logs/cache.log
touch /usr/local/squid/var/logs/access.log
chown nobody /usr/local/squid/var/logs/access.log && chgrp nobody /usr/local/squid/var/logs/access.log

使用方法:

# 后台启动
/usr/local/squid/sbin/squid -s
# 查看是否运行
ps -ef|grep squid|grep -v grep
# 关闭
ps -ef|grep squid|grep -v grep|cut -c 9-16|xargs kill -9

几个没用的命令:

-k check 听说能检查是否运行,实测无反应

-k parse 听说能检查配置文件是否正确,实测好像不是这个作用

-k shutdown 字面意思是停止服务,实测无用

-k kill 能杀掉进程,但是杀得不干净

最后可以使用我的脚本模板设置开机自启



4.2客户端使用

浏览器直接设置,推荐一个代理管理插件 SwitchyOmega

curl 验证代理情况可以使用

curl --proxy x.x.x.x:3128 --proxy-user admin:123456 http://mi.com

用了一万年的baidu.com测网通没通......现在再也不用了



五、传输安全

使用浏览器F12查看网络,我们可以看到使用代理后,我们的账号密码是base64编码后传输的

base64属于编码,不能称之为加密,解码就能出明文,这很不安全。如果你还访问加密做得不好的网站,那更不安全,容易被嗅探

网上看到有使用 stunnel+squid 加密的,stunnel负责加密传输中的数据,避免网络报文被嗅探,发生信息泄露等问题。缺点是stunnel是端到端传输,两端都需要安装应用,比较繁琐

博主想到用 nginx+squid 转发!

如果nginx在应用层转发的话,可以做https加密,还能自定义页面和http头部,这样别人甚至不知道你开放的是squid服务端口

想法很美好,事实是nginx转发http(s)只能转发正常的服务,他们的报文是GET /path

然而转发代理服务器的流量,报文是GET http://xxx,nginx无法正常转发,导致squid收到的全是GET /,squid无法正常代理

那就在传输层转发,使用stream_ssl_module,这是:nginx安装教程

这是nginx.conf中squid的配置,证书最好是域名的证书,自己生成一个应该也能用

# https://www.cnblogs.com/yunmuq
stream {
    # squid
    server {
        listen       8443 ssl;

        ssl_certificate cert.pem;
        ssl_certificate_key cert.key;
        # squid端口
        proxy_pass 127.0.0.1:8080;
    }
}

上面的例子中,我们把8443开放公网,把8080隐藏即可

客户端使用时用wireshark嗅探一下,就能发现代理TLS v1.2协议,不是明文的了

如果没法加密传输,我们可以这样查看squid被拦截访问的情况

# 查看squid端口被直接访问的次数
grep 'GET /' /usr/local/squid/var/logs/access.log -c
# 查看使用squid代理但用户名或密码错误的次数
grep TCP_DENIED /usr/local/squid/var/logs/access.log -c

access.log的开头是时间戳,需要解析一下数值才能知道这条日志的时间,而且时间戳是带小数点的,小数点后是毫秒,有时可能需要去掉小数点才能解析,也可以不用小数点后面的数值



六、客户端使用

推荐浏览器插件SwitchyOmega

在插件设置中,有一个默认的行,这代表着默认使用哪个协议的代理服务器

如果配置了nginx加密,那么默认就要选HTTPS



推荐阅读