Squid+SSH Tunnel实现加密代理

rockswang

996.icu

工具和资料

前言

今天研究了一下如何在CentOS上部署Squid代理服务器并可加密访问,以前从来没接触过,这里记录一下。
具体需求如下:

  • 有两台CentOS服务器,设为A和B
  • 基本要求是在服务器A上部署代理服务器,A-B间建立隧道,达到客户端使用B的IP作为代理,最终却通过A代理上网的目的
  • 进一步要求,A上的代理仅允许B连接,避免被无处不在的扫描器弄到人家的代理池中
  • A-B间的数据传输应是加密的,即使客户端访问的是普通HTTP页面而非HTTPS页面

Squid部署和配置

  • A服务器上安装Squid:yum install squid
  • 为了达到绑定B的IP,需要修改配置文件,在/etc/squid/squid.conf,添加两行:

    acl server_b src <A的外网IP>
    ...
    http_access allow server_b
  • 注意!如果不需要A-B间的加密隧道,仅仅是绑定到B的IP,那么上面配置中acl行后面用B的外网IP即可,但若使用SSH隧道则实际是由本机SSHD转发的,因此这里需要设置成A的外网IP,至于为何不能直接用127.0.0.1,抱歉我也没搞明白(T_T)
  • 启动Squid:squid
  • 修改配置后重启Squid: squid -k reconfigure
  • 这时候可以curl验证一下本机代理是否生效:curl -x localhost:<代理端口> https://httpbin.org/get?showenv=1

SSH Tunnel配置

  • 在服务器B的shell下执行:

    ssh -C -N -f -L 0.0.0.0:<B的本地端口>:<服务器A的IP>:<A的代理端口> root@<A的主机名或IP>
  • 注意:执行此条命令需要输入服务器A的root密码
  • 命令成功执行后即可建立B到A的加密隧道,注意上面的0.0.0.0不能省略,否则这个隧道只能从B本机访问
  • 如果需要关闭隧道,直接杀掉ssh进程即可:

    • 首先用ps -ef | grep <本地端口>找到进程PID
    • 然后kill -9 <PID>即可关闭隧道
  • 用curl验证代理及隧道是否生效:

    • 在任意电脑上执行:curl -x <B的外网IP>:<B的本地端口> https://httpbin.org/get?showenv=1
    • 在上面httpbin的应答中可以看到,虽然指定代理IP为B,但目标站点看到的实际访问IP则是A

至此,已初步达到目的

SSH免登陆

  • 为了上面的整个流程可以脚本化,还需要实现B到A的SSH免登录
  • 首先在B上执行ssh-keygen -t rsa,在后面的交互式界面中不要设定密钥的密码
  • cat /root/.ssh/id_rsa.pub,复制公钥内容
  • 在A上编辑/root/.ssh/authorized_keys,把B的公钥文本粘贴到最后,确保独占一行,保存
  • 以后在B上执行ssh -L ...命令时,就不需要输入密码了
  • 另外,在首次ssh远程执行命令时应加上-o StrictHostKeyChecking=no参数,否则首次免密登录还是会被询问一次是否保存对方主机指纹
阅读 5.5k

玩儿编程
编程也是可以玩儿的!微信公众号“玩儿编程”

To play is Human

1.4k 声望
151 粉丝
0 条评论

To play is Human

1.4k 声望
151 粉丝
文章目录
宣传栏