squid代理服务器隐藏ip

㈠ 代理服务器的主要功能有哪些

在不使用代理服务器的情况下，用户使用网络浏览器直接连接其他Internet站点取得网络信息时，须发出请求信号来得到回答，然后对方再把信息以数据流方式传送回来。

有了代理服务器之后，浏览器向代理服务器发出请求，当代理服务器接收请求信息号，再由代理服务器来取回浏览器所需要的信息并传送给终端用户的浏览器。代理服务器的作用如下。

1、共享网络

如通过Squid、sygate、wingate、isa、ccproxy以及NT系统自带的网络共享等代理服务器访问外部站点的信息。这些代理服务器也都能提供企业级的文件缓存、复制和地址过来等服务。

充分利用局域网出口的有限带宽，加快内网用户的访问速度，能解决仅仅有一条线路一个公有IP，在这种公有IP资源严重不足的情况下，满足局域网众多用户同时共享上网的需求。

2、访问代理

现在的网络环境中常常会出现网络拥挤或网络故障。用户通常都会通过代理服务器绕道访问目的站点；另外，代理服务器中通常会备份有相当数量的缓存文件。

如果当前所访问的数据在代理服务器的缓存文件中，则可直接读取，而无需再连接到远端Web服务器。这样可以达到加快访问网站速度，节约通信带宽的目的。

3、提高速度

提高下载速度，突破一个IP、一个下载线程的限制以敬含及电信和联通的用户互上对方的电影网站下载的限制。

4、突破限制

互联网上有许多开放的代理服务器，客户在访问权限受到限制时，而这些代理服务器的访问权限是不受限制的，刚好代理服务器在客户的访问范围之内。

那么客户通过代理服务器访问目标网站就成为可能。通过代理服务器，国内高校使用教育网就能实现访问因特网，这就是高校内代理服务器流向的原因所在。

5、防止攻击

通过代理服务器完成内部主机的访问使主机地址等信息不会发送到外部，隐藏了自己的真实地址信息，还可隐藏自己的IP。更有效地保护了内部主机。

6、充当防火墙

因为所有使用代理服务器的用户都必须通过代理服务器访问远程站点，因此在代理服务器上就可以设置相应的限制，以过滤或屏蔽某些信息。

7、方便对用户管理

通过代理服务器，管理员可以设置用户验证和记账功能，对用户进行登记，并对用户的访问时间、访问地点、信息浏览磨稿唤进行统计。没有登记的用户无权通过代理服务器访问Internet

8、隐藏身份

代理服务器使用内部用户访问Interner时受到保护，内部网的用户要对外发布信息就需要使用代理服务器的反向代瞎凯理功能。这样就不会影响到内部网络的安全性能，起到隐藏身份的目的。

(1)squid代理服务器隐藏ip扩展阅读：

代理服务器使用特点：

代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给浏览器。

而且，大部分代理服务器都具有缓冲的功能，就好像一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据。

而直接将存储器上的数据传送给用户的浏览器，这样就能显着提高浏览速度和效率（速度会随着代理服务器地理位置的不同以及网络传输情况而改变），而且国外的网络大部分都是没有限制访问网站或者所限制的不同，所以我们有很大的机会通过代理服务器去访问那些原本不能够去的网站。

更重要的是：Proxy Server （代理服务器）是Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联(OSI) 模型的对话层。

参考资料来源：网络-代理服务器

㈡ 代理服务器工作原理是什么

在HTTP通信链上，客户端和目标服务器之间通常存在某些中转代理服务器，它们提供对目标资源的中转访问。一个HTTP请求可能被多个代理服务器转发，后面的服务器称为前面服务器的上游服务器。代理服务器按照其使用方式和作用，分为正向代理服务器，反向代理服务器和透明代理服务器。

正向代理要求客户端自己设置代理服务器的地址。客户的每次请求都将直接发送到该代理服务器，并由代理服务器来请求目标资源。比如处于防火墙内的局域网机器要访问Internet，或者要访问一些被屏蔽掉的国外网站，就需要使用正向代理服务器。

反向代理则被设置在服务器端，因而客户端无需进行任何设置。反向代理是指用代理服务器来接收Internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从内部服务器上得到的结果返回给客户端。这种情况下，代理服务器对外就表现为一个真实的服务器。各大网站通常分区域设置了多个代理服务器，所以在不同的地方同一个域名可能得到不同的IP地址，因为这些IP地址实际上是代理服务器的IP地址。

HTTP代理服务器的工作原理

如图所示，正向代理服务器和客户端主机处于同一个逻辑网络中。该逻辑网络可以是一个本地LAN，也可以是一个更大的网络。反向代理服务器和真正的Web服务器也位于同一个逻辑网络中，这通常由提供网站的公司来配置和管理。

透明代理只能设置在网关上。用户访问Internet的数据报必然都经过网关，如果在网关上设置代理，则该代理对用户来说显然是透明的。透明代理可以看作正向代理的一种特殊情况。

代理服务器通常还提供缓存目标资源的功能，这样用户下次访问同一资源时速度将很快。优秀的开源软件squid，varnish都是提供了缓存能力的代理服务器软件，其中squid支持所有代理方式，而varnish仅能用作反向代理。

㈢ 正向代理和反向代理

代理主要用在网络连接方面，不同类型的代理用于不同类型的连接。有一些代理用于隐藏用户的身份，而另外一些代理用于隐藏服务器的信息。常见的代理类型有正向代理和反向代理。这两种代理的名字有些相近，不过差别却非常大。

正向代理也就是大家常说的“代理”。用户向代理服务器发送请求，代理服务器从网络中检索数据。正向代理最典型的应用场景就是绕过网络限制。比如你们学校或公司的网络限制访问抖音，可以通过设置一台代理服务器，然后不直接连接抖音的服务，而是走代理，让代理来访问抖音的服务。

目的服务收到的请求来源IP会是代理服务器的IP，而不是用户的IP。这使得代理服务器可以提供一定的匿名性。

与正向代理功能相近的是NAT，两者都可以通过私有IP地址提供互联网访问。不过这两种技术在TCP/IP协议栈中的位置不同。NAT工作在网络层，而代理工作在应用层。对使用者来说，NAT对各种应用程序都是透明的；而使用代理则必须在应用程序中指定代理服务器的主机地址。

比如，使用NAT访问网页，不需要在浏览器上进行任何配置；而要使用代理访问网页，必须要在浏览器中指定代理的IP地址，如果代理仅支持HTTP协议，则只能通过代理访问Web服务器，不能访问ftp服务器。

由于NAT并非针对应用程序，因此在访问互联网时，NAT提供了比代理更高的可伸缩性。不过，NAT无法提供基于用户名和密码的身份验证。而代理支持身份验证，可以配置代理服务器仅允许特定用户访问互联网。

Web代理是最常用的正向代理，用于代理HTTP请求。除了会把完整的url传递过去外，来自客户端的请求与常规HTTP请求几乎没有什么两样。下面是一个请求的例子：

代理服务器收到请求后，向目标服务器发起请求，并且返回响应，比如：

上面的例子只对HTTP协议生效。有一些Web代理允许通过HTTP CONNECT方法建立通信隧道，利用这个隧道，代理服务器可以转发任意TCP数据包。

通过CONNECT方法，客户端要求HTTP代理服务器将TCP连接转发到所需的目的地；然后，服务器代表客户端向目标服务器发起连接。服务器建立连接后，代理服务器将继续与客户端之间来回代理TCP数据流。在上面的过程中，只有初始的连接请求是HTTP，之后服务器仅代理建立的TCP连接。

客户端连接到代理服务器，在请求中指定主机和端口，例子如下：

如果代理服务器允许连接并且连接到指定的主机，返回2XX成功响应：

现在，客户端发送到代理服务器的所有数据都蒋被转发给远程主机。

流行的HTTP代理服务器软件有Haproxy、Apache、Squid等。

反向代理一般用于控制对专用网络上服务器的访问。它代表一个客户端从一个或多个服务器检索资源，然后将这些资源返回给客户端，好像资源源自代理服务器本身一样。

流行的Web服务器经常使用反向代理功能，从而屏蔽HTTP功能“较弱”的应用程序框架。这里的“较弱”主要指的是处理大量负载能力比较弱，以及处理不同形式的请求格式的能力比较弱，比如HTTP协议就有HTTP(S)1.x，HTTP(S) 2.x多个版本。反向代理可以将HTTPS请求转换为HTTP请求、暂时缓存请求以保护后端服务器、处理一些cookie和会话数据等等。

反向代理是非常有用的。常见用途如下：

与正向代理充当关联的客户端与任意服务器中介不同，反向代理是任意客户端与关联服务器的中介。换句话说，正向代理代表客户端，而反向代理代表服务器。

㈣ 搭建Squid3 密码账号IP代理

上文中，说明了 Squid3 IP Proxy 隐藏原IP ，这里就搭建Squid 3密码账号IP代理进行整理，涉及环境 Ubuntu 18.04。

htpasswd和htdigest工具是用于生成Squid密码的，直接安装命令

安装完成后，使用命令如下所示

创建的密码在/etc/squid/.squid_users里面存储，我们可以再增加一个用户

这里可以“查看”一下刚才创建的2个账号

验证账号密码用这个脚本–防止我们遗忘密码账号

basic_ncsa_auth 配置密码文件路径 /etc/squid/.squid_users
auth_param basic children 5 指明了这里最多开放5个账号
auth_param basic casesensitive off 大小写不明感
acl auth_users proxy_auth xifarm runwulink

开启Squid测试

wget命令为例

这里会报407错误：密码账号没有设置原因。

㈤ 1000分！我想搞网站（下载类网站），请问怎样搭建服务器

Squid是Linux下最为流行的代理服务器软件，它功能强大，支持对HTTP、FTP、Gopher、SSL、WAIS等协议的代理; 设置简单，只需对配置文件稍稍改动就可使代理服务器运转起来。此外，Squid具有页面缓存功能，它接受用户的下载申请，并自动处理所下载的数据。

前期准备

Squid对硬件的要求是: 内存不应小于128M，硬盘转速越快越好，最好使用服务器专用SCSI硬盘，对CPU的要求不高，400MHz以上即可。笔者所管理的代理服务器是Inter2150，安装了Red Hat Linux 7.2，安装时就带有Squid。有两块网卡，一块eth0配外部地址（比如211.88.99.66），一块eth1配内网地址（比如192.168.5.1）。如果安装了Gnome或其他图形界面，就可以在netconfig中给两块网卡配置IP地址，不然的话，可在/etc/sysconfig/network-script路径下更改文件ifcfg-eth0和ifcfg-eth1。

首先编辑ifcfg-eht0，有以下几项：

DEVICE=eth0 (表示用哪块网卡)

IPADDR=211.88.99.66 (设置该网卡的IP地址)

NETMASK=255.255.255.252 (设置子网掩码)

同样编辑ifcfg-eth1，然后运行命令network restart就可以使配置生效了。对eth0、eth1进行配置后，可以用ifconfig命令来查看是不是配置成功。

如果服务器只有一张网卡，也不用担心，Linux可以在一块网卡上绑定多个IP地址。在图形界面下配置很简单，不赘述。如果在文本状态下配置，可以将ifcfg-eth0复制并命名为ifcfg-eth0:1，把它完全当成两块网卡来配就可以了。

Squid的安装

1. 安装Linux

安装Linux在硬盘分区时要注意，最好不要让系统自己分区，而是手动分区。通常，在Linux系统中有且仅有一个交换分区（在文件系统形式中选择Linux swap），它用做虚拟内存，建议将交换分区的大小设置为内存的两倍。当硬盘的大小超过了8G，要再建立一个128M（稍稍大一点，不会出错）的boot分区，这是为了避免将系统内核文件放到1024磁道以外，如果将boot作为root分区的一个子目录，内核文件就会安装在root分区的任何地方。因为要用做代理服务器，建议再分一个分区“var”，作为Squid的缓冲区，所以根据磁盘大小尽量分配大一点，最后将硬盘的剩余空间全部分给root分区。

2. 安装Squid

新手安装Squid，建议在安装Linux时就选中Squid，它并不是默认选中项，而且也不在选择的大类中，要在详细列表中查找。如果没有安装，又不想重装系统，可以从www.squid-cache.org下载Squid软件。

Squid代理服务器的设置

安装好Squid后几乎就可以用了，用编辑器打开/etc/squid/squid.conf文件（以root登录），Squid的配置文件共有125个配置项，但是一般来说，只要修改几个配置项即可。找到“http_access deny all”并改为“http_access allow all”令所有的电脑都能通过代理服务访问互联网资源。其实只要修改该项，Squid服务就可以启动了。

为了更好地控制代理服务器的行为，还有几个可配置项需要考虑:

1. cache_mem: 设置代理服务使用的内存大小，一般推荐为物理内存的三分之一。

2. cache_dir：设定缓存的位置、大小。一般格式如下：

cache_dir /var/spool/squid/cache 100 16 256

cache_dir指定cache目录的路径，默认为/var/spool/squid/cache。

/var/spool/squid/cache代表缓存的位置，使用squid -z指令会在这个目录下建立存储交换文件（swap files）的目录。100表示缓存最大为100M，16和256代表一级和二级目录数。实际使用时，100M是不够的，如果硬盘够大，可以增加存储空间，比如：cache_dir /var/spool/squid/cache 2000 16 256。

3. http_port：代理服务使用的端口号，默认为3128，可以使用其他的端口，注意将前面的注释符号“#”去掉。另外，使用端口不能和其他的服务重复，如果使用1024以下的端口，Squid必须以root身份运行。

4. maximum_object_size： 指定Squid可以接收的最大对象的大小。Squid缺省值为4M，可以根据自己的需要进行设定。

启动Squid

Squid可以设置为自动启动。运行命令setup，在System services选项中选中Squid。设置后每次重新开机，都会自动执行Squid。

如果是第一次启动，要建立/var/spool/squid下的暂存资料目录，先输入squid -z，再启动Squid（直接运行Squid即可）。

启动Squid后，在另一台Windows电脑上（以Internet Explorer 5.0为例）运行IE，单击“工具”，接着单击“Internet选项”，再单击“连接”选项卡，选择“局域网设置”。在“局域网设置”窗口中的“地址”处填上Squid服务器的IP地址，在“端口”处填上“3218”（Squid软件默认代理的端口号），确定后退出。接下来，随意浏览一些网站检查Squid的运行情况，也可以查看logs下的access.log和cache.log，看看代理是否运行正常。

代理服务器的安全

代理服务器是一个单位对外的门户，安全至关重要。因此，应该采取必要的防护手段。

1. 防火墙的配置

为了保证代理服务器的安全，最好加上防火墙，可以用IPchains或IPtable。

要使用ftp代理，还必须载入相关模块。可以使用以下命令：

modprobe ip_comtrack_ftp

modprobe命令会自动载入指定模块及其相关模块。iptables_filter模块会在运行时自动载入。

下面用IPtables一步一步地来建立包过滤防火墙，需要说明的是，在这个例子中，主要是对内部的各种服务器提供保护。

给IPtables规则设置一个存储路径: iptables -restroe /etc/sysconfig/iptables。

现在开始考虑规则。在这里需要注意的是，服务器/客户机交互是双向的，所以不仅仅要设置数据包出去的规则，还要设置数据包返回的规则，下面先建立针对来自Internet数据包的过滤规则。

1. 首先禁止转发任何包，然后再一步步设置允许通过的包。

2. 先允许源为内网的所有端口的TCP包。

3. 再允许目的为内部网(192.168.5.0/24)的FTP数据包。

4. 允许目的为内网的来自Internet的非连接请求TCP包。

5. 最后一条接收所有UDP包，主要是针对oicq等使用UDP的服务。

6. icmp包通常用于网络测试等，故允许所有的icmp包通过。但是黑客常常采用icmp进行攻击，如“ping of death”等，所以我们采用limit匹配扩展加以限制。对不管来自哪里的icmp包都进行限制，允许每秒通过一个包，该限制触发的条件是10个包。

不需要允许WWW服务的包，所有WWW服务由Squid代理。

iptables -P FORWARD DROP

iptables -A FORWARD -p tcp -s 198.168.5.2 -i eth0 -j ACCEPT

iptables -A FORWARD -p tcp -s 0/0 --sport ftp-data -d 198.168.5.0/24 -i eth0 -j ACCEPT

iptables -A FORWARD -p tcp -d 198.168.80.0/24 ! -syn -i eth0 -j ACCEPT

iptables -A FORWARD -p udp -d 198.168.80.0/24 -i eth0 -j ACCEPT

iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

说明：

-A加入(append) 一个新规则到一个链 (-A)的最后。（用-I可以插入一条规则，插入位置序号写在Forward后，-D在链内某个位置删除(delete) 一条规则，-R在链内某个位置替换(replace) 一条规则 ）。

Forward链、Input链和Output链的区别如下：

1. 如果数据包的目的地址是本机，则系统将数据包送往Input链。如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

2. 如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往Forward链。如果通过规则检查，则该包被发给相应的本地进程处理; 如果没有通过规则检查，系统就会将这个包丢掉。

3. 如果数据包是由本地系统进程产生的，则系统将其送往Output链。如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。

-s指定源地址，-d指定目的地址。

-p 指定协议，比如-p tcp。

-i或-o指定网络接口。需要注意的是，对于Input链来说，只可能有-i，也即只会有进入的包；同理，对于Output链来说，只可能有-o，也即只会有出去的包。只有Forward链既可以有-i的网络接口，也可以有-o的网络接口。

Drop表示符合规则就丢弃包，Accept相反。

然后，执行命令IPtables -L，可以查看已经建立的规则，并用命令IPtables -save将规则写入文件。

通过以上步骤，我们建立了一个相对完整的防火墙，只对外开放了有限的几个端口，同时提供了客户对Internet的无缝访问。

2. 其他建议

为了安全，最好不要在一台机器上运行太多服务。为了方便调试，一般都会提供telnet和ftp服务，但这往往是安全隐患，可以在/etc/host.allow和/etc/host.deny中进行限制。比如：局域网的内网网段为: 192.168.0.0，可以在hosts.allow文件中加入一行: telnet:192.168.0.0/255.255.0.0。在hosts.deny中加入一行：all:all。因为是先执行host.allow，再执行host.deny。所以上面就只打开了内网网段的telnet服务，而对外关闭。如果想打开其他服务，可以再加。如果还想加上机器名，可以在IP后加上“@abc”（abc代表某机器名）。想关闭所有服务、所有IP、所有机器名，可以在host.deny中写上“all:all@all”。配置好了运行命令xinetd.d，配置就生效了。如果想远程访问代理服务器，最好用SSH(因为telnet是明码传送，所以很不安全，SSH可以理解为加密的telnet），它的配置和应用比较简单，不赘述