כיצד להתקין ולהגדיר פרוקסי דיונון על ליאב Debian 10

דיונון הוא פרוקסי מטמון מלאים הכולל תמיכה בפרוטוקולי רשת פופולריים כמו HTTP, HTTPS, FTP, ועוד. ניתן להשתמש בו לשיפור ביצועי שרת האינטרנט על ידי מטמון בקשות חוזרות ונשנות, סינון תנועת רשת וגישה לתוכן מוגבל גיאוגרפי.

במדריך זה נסביר כיצד להגדיר פרוקסי דיונון על דביאן באסטר. אנו נראה לך כיצד לקבוע את התצורה של דפדפני האינטרנט Firefox ו- Google Chrome להשתמש בהם.

התקנת דיונון על דביאן

חבילת דיונון כלולה בתקן במאגרי Debian 10. הפעל את הפקודות הבאות כמשתמש sudo להתקנת Squid:

sudo apt update

לאחר סיום ההתקנה, שירות הדיונון יתחיל אוטומטית.

ודא שההתקנה הצליחה ושירות הדיונון פועל על ידי בדיקת הסטטוס של שירות הדיונון:

sudo systemctl status squid

● squid.service - LSB: Squid HTTP Proxy version 3.x Loaded: loaded (/etc/init.d/squid; generated) Active: active (running) since Sat 2019-08-03 08:52:47 PDT; 3s ago…

הגדרת דיונון

ניתן להגדיר את /etc/squid/squid.conf על ידי עריכת קובץ התצורה /etc/squid/squid.conf . ניתן לכלול קבצי תצורה נפרדים באמצעות ההנחיה "כלול".

קובץ התצורה squid.conf כולל הערות המתארות מה עושה כל אפשרות לתצורה.

לפני ביצוע שינויים, כדאי תמיד לגבות את הקובץ המקורי:

sudo cp /etc/squid/squid.conf{,.orginal}

כדי לשנות את התצורה, פתח את הקובץ בעורך הטקסט שלך:

sudo nano /etc/squid/squid.conf

כברירת מחדל, דיונון מאזין ביציאה 3128 בכל ממשקי הרשת.

/etc/squid/squid.conf

# Squid normally listens to port 3128 http_port IP_ADDR:PORT

הפעלת דיונון על כל הממשקים ויציאת ברירת המחדל אמורה להיות בסדר עבור מרבית המשתמשים.

רשימות בקרת הגישה (ACL) מאפשרות לך לשלוט באופן בו הלקוחות יכולים לגשת למשאבי אינטרנט. כברירת מחדל, דיונון מאפשר גישה רק מה- localhost.

אם לכל הלקוחות שישתמשו בפרוקסי יש כתובת IP סטטית, האפשרות הפשוטה ביותר היא ליצור ACL שיכלול את ה- IP המותר.

במקום להוסיף את כתובות ה- IP בקובץ התצורה הראשי, ניצור קובץ כולל חדש אשר יאחסן את כתובות ה- IP:

/etc/squid/allowed_ips.txt

192.168.33.1 # All other allowed IPs

בסיום, פתח את קובץ התצורה הראשי וצור ACL חדש בשם allowed_ips (שורה מודגשת ראשונה) ולאפשר גישה לאותה ACL באמצעות הנחיית http_access (שורה מודגשת שנייה):

/etc/squid/squid.conf

#… acl allowed_ips src "/etc/squid/allowed_ips.txt" #… #http_access allow localnet http_access allow localhost http_access allow allowed_ips # And finally deny all other access to this proxy http_access deny all

חשיבות http_access כללי http_access . הקפד להוסיף את השורה לפני http_access deny all .

הנחיית http_access פועלת באופן דומה לחוקי חומת האש. דיונון קורא את הכללים מלמעלה למטה, וכאשר כלל תואם הכללים שלהלן אינם מעובדים.

בכל פעם שאתה מבצע שינויים בקובץ התצורה, עליך להפעיל מחדש את שירות הדיונון כדי שהשינויים ייכנסו לתוקף:

sudo systemctl restart squid

אימות דיונון

דיונון יכול להשתמש בקצוות אחוריים שונים, כולל סמבה, LDAP ו- HTTP הרשאה בסיסית למשתמשים מאומתים.

בדוגמה זו, נקבע את קביעת התצורה של הדיונון לשימוש באישור בסיסי. זוהי שיטת אימות פשוטה המובנית בפרוטוקול

אנו נשתמש בכלי השירות openssl כדי ליצור את הסיסמאות ולהוסיף את username:password לקובץ /etc/squid/htpasswd עם הפקודה tee כמוצג להלן:

printf "USERNAME:$(openssl passwd -crypt PASSWORD)\n" | sudo tee -a /etc/squid/htpasswd

בואו ליצור משתמש בשם "באסטר" עם הסיסמה " Sz$Zdg69 ":

printf "buster:$(openssl passwd -crypt 'Sz$Zdg69')\n" | sudo tee -a /etc/squid/htpasswd

buster:RrvgO7NxY86VM

השלב הבא הוא לאפשר אימות בסיסי של HTTP. פתח את התצורה הראשית והוסף את הדברים הבאים:

/etc/squid/squid.conf

#… auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/htpasswd auth_param basic realm proxy acl authenticated proxy_auth REQUIRED #… #http_access allow localnet http_access allow localhost http_access allow authenticated # And finally deny all other access to this proxy http_access deny all

שלושת השורות המודגשות הראשונות יוצרות ACL חדש בשם authenticated והקו המודגש האחרון מאפשר גישה למשתמשים מאומתים.

הפעל מחדש את שירות הדיונון:

sudo systemctl restart squid

הגדרת תצורת חומת אש

משתמשי UFW יכולים לפתוח את היציאה 3128 ידי הפעלת פרופיל 'דיונון':

sudo ufw allow 'Squid'

sudo nft add rule inet filter input tcp dport 3128 ct state new, established counter accept אם דיונון פועל בנמל אחר שאינו ברירת מחדל, יהיה עליכם לאפשר תנועה בנמל זה.

הגדרת התצורה של הדפדפן שלך לשימוש ב- Proxy

בחלק זה מראה לך היטב כיצד להגדיר את הדפדפן שלך להשתמש בפרוקסי דיונון.

פיירפוקס

השלבים שלהלן זהים עבור Windows, macOS ו- Linux.

1. בפינה השמאלית העליונה, לחץ על סמל ההמבורגר ☰ כדי לפתוח את התפריט של פיירפוקס:

   לחץ על הקישור ⚙ Preferences .

   גלול מטה לקטע Network Settings ולחץ על כפתור Settings…

   ייפתח חלון חדש.

   • בחר בלחצן הבחירה Manual proxy configuration הזן את כתובת ה- IP של שרת הדיונון שלך בשדה HTTP Host ו- 3128 בשדה Port בתיבת הסימון Use this proxy server for all protocols על כפתור OK כדי לשמור את ההגדרות.

   

   

בשלב זה, ה- Firefox שלך מוגדר ותוכל לגלוש באינטרנט דרך פרוקסי הדיונון. כדי לאמת זאת, פתח את google.com , הקלד "מה ה- ip שלי" ועליך לראות את כתובת ה- IP של שרת הדיונון שלך.

כדי לחזור להגדרות ברירת המחדל עבור אל Network Settings , בחר בלחצן הבחירה Use system proxy settings ושמור את ההגדרות.

ישנם גם כמה תוספים שיכולים לעזור לך לקבוע את תצורת הגדרות ה- Proxy של Firefox, כגון FoxyProxy.

גוגל כרום

Google Chrome משתמש בהגדרות ברירת המחדל של שרת ה- proxy של המערכת. במקום לשנות את הגדרות ה- Proxy של מערכת ההפעלה, אתה יכול להשתמש בתוסף כגון SwitchyOmega או להפעיל את דפדפן האינטרנט של Chrome משורת הפקודה.

כדי להפעיל את Chrome באמצעות פרופיל חדש ולהתחבר לשרת הדיונון, השתמש בפקודה הבאה:

לינוקס:

/usr/bin/google-chrome \ --user-data-dir="$HOME/proxy-profile" \ --proxy-server="http://SQUID_IP:3128"

macOS:

"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" \ --user-data-dir="$HOME/proxy-profile" \ --proxy-server="http://SQUID_IP:3128"

חלונות:

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ^ --user-data-dir="%USERPROFILE%\proxy-profile" ^ --proxy-server="http://SQUID_IP:3128"

הפרופיל ייווצר אוטומטית אם הוא לא קיים. בדרך זו תוכלו להפעיל מספר מופעים של Chrome בו זמנית.

כדי לאשר ששרת ה- Proxy פועל כראוי, פתח את google.com והקלד "מה ה- ip שלי". ה- IP המוצג בדפדפן שלך אמור להיות כתובת ה- IP של השרת שלך.

סיכום

סקרנו את היסודות כיצד להתקין דיונון ב- Debian 10 ולהגדיר את הדפדפן שלך לשימוש בו.

דיונון הוא אחד משרתי המטמון של שרת proxy הפופולרי ביותר. זה משפר את מהירות שרת האינטרנט ויכול לעזור לך להגביל את הגישה למשתמשים לאינטרנט.

-