SSH端口转发&系统代理&Squid安装部署

一、SSH端口转发

ssh 端口转发可分为三种：本地端口转发、远程端口转发、动态端口转发

1.本地端口转发

本地端口转发的命令结构如下：

# 格式
ssh -L local-port:target-host:target-port tunnel-host -N

# -L是本地端口转发的标识符
# local-port 本地主机端口号
# target-host 目标主机IP或者网址
# target-port 目标主机端口号
# tunnel-host 隧道机（作为转发的服务器）
# -N 表示只作为转发，不登录进入服务器

以下情况可以使用本地端口转发：

（1）我在服务器的 9000 端口部署了一个网站，但是防火墙并没有开放这个端口，如果我想用本地主机访问这个 网站，就可以用下面的命令绕过防火墙通过 ssh 访问该网站。

ssh -L 8080:114.212.122.48:9000 wt@114.212.122.48 -N

（2）有一台本地主机和两台远程主机A、B，远程主机B不能被外界直接访问，但开放了一个端口可以被A访问，而本地主机可以直接访问远程主机A。此时就可以利用本地端口转发，将远程主机A当做“跳板机”，来访问远程主机B。

ssh -L 9010:219.219.117.164:22 wt@114.212.122.48 -N
ssh -p 9010 wt@localhost

2.远程端口转发

远程端口转发的命令结构如下：

# 格式
ssh -R remote-port:target-host:target-port tunnel-host -N

# -R 是远程端口转发的标识符
# remote-port 远程主机端口号
# target-host 目标主机IP或者网址
# target-port 目标主机端口号
# tunnel-host 隧道机（作为转发的服务器）
# -N 表示只作为转发，不登录进入服务器

以下情况可以使用远程端口转发：

假如本地主机在9010端口部署了一个服务器，如果远程主机想要访问本地的9010，就可以用以下命令：

ssh -R 8888:localhost:9010 wt@114.212.122.48 -N

此时远程访问114.212.122.48:8888就相当于本地访问localhost:9010

3.动态端口转发（SOCKS5）

动态端口转发的命令结构如下：

# 格式
ssh -D local-port tunnel-host -N

# -D是动态端口转发的标识符
# local-port 本地主机端口号
# tunnel-host 隧道机（作为转发的服务器）
# -N 表示只作为转发，不登录进入服务器

这种转发采用了 SOCKS5 协议，不能像本地/远程端口转发那样来直接访问。可以通过浏览器设置 socks5 代理绑定 local-port，此时浏览任何网站都会走向这个代理，然后再由这个代理询问远程机请求再把请求结果返回到 socks5 代理然后在返回到浏览器。

以下情况可以使用动态端口转发：

（1）当你要访问的网站在国外，而你没办法直接访问，但是你有一台可以访问外网的服务器，此时就可以使用动态端口转发。

（2）你的本地主机没有联网，但是你可以连上服务器且服务器已经联网，此时就可以通过动态端口转发的方式实现本地主机无网上网。

主要步骤如下：

①先在本地主机执行以下命令：

ssh -D 9000 wt@114.212.122.48

②windows操作系统的话打开设置 -> 网络和Internet -> 代理 -> 手动设置代理，然后进行如下设置，注意在设置代理 IP 地址时，前面加上: socks=，参考自Win10系统配置http、socks5代理ip教程

③在必应中输入 what is my ip 查询，发现IP变成了 114.212.122.48

此时你在浏览器访问任何网站都是隧道机在代替你访问然后再发送回本地主机，所以你即使没有联网也可以访问外部网站，前提是隧道机得有网。

二、系统代理

所谓代理服务器，是一个“中间人”的角色，在你和服务器之间传递数据。相当大比例的代理服务器可以以网站的形式存在，你只需打开代理服务器的网站，然后输入你希望访问的链接，就可以像平时浏览网页一样操作了。代理的工作原理是：由代理服务器自己去访问你的目标网站，并加载它的内容，然后再把这些加载过的内容传递到你的窗口上。这样就相当于你在浏览目标网站了。因此代理经常被叫做“梯子”或者“桥”。使用代理的好处是，你不需要直接链接到目标网站，因此目标网站就无法获取你的IP地址，取而代之获取的是代理服务器的IP地址。这样你就可以隐藏你的位置信息了。 当你访问大多数代理服务的时候，他们通常会要求你选择一个代理服务器所在的国家。你可以通过对应国家的代理服务器访问目标网站，这样目标网站就会认为你是在对应国家进行访问的。 比如，如果你想要访问的网站屏蔽了你所在的国家，那么你可以用代理服务器换上其他国家的IP，只要代理服务器所在的位置不在屏蔽范围之内，你就可以通过代理服务器实现访问了。

三、Squid安装与部署

Squid 是一个功能全面的缓存代理服务器，它支持著名的网络协议像 HTTP，HTTPS，FTP 等等。将 Squid 放在网页服务器的前端，通过缓存重复请求，过滤网络流量等，可以极大地提高服务器的性能。

1.Squid安装

Squid 软件包包含在默认的 Ubuntu 18.04 源仓库中。想要安装它，以 sudo 用户身份运行下面的命令：

sudo apt update
sudo apt install squid

一旦安装完成，Squid 服务将会自动启动。

想要验证安装是否成功，输入下面的命令，将会打印出服务的状态：

sudo systemctl status squid

2.Squid配置

Squid 通过编辑 /etc/squid/squid.conf 文件进行配置。

在做任何修改之前，最好先备份以下原来的配置文件：

sudo cp /etc/squid/squid.conf{,.orginal}

默认情况下，Squid 被配置成在服务器所有网络接口上监听端口3128。

如果你想修改端口号，并且设置监听接口，定位到http_port处，并且指定接口 IP 地址和新端口。如果没有接口指定，Squid 将监听所有网络接口。

/etc/squid/squid.conf

# Squid normally listens to port 3128
http_port IP_ADDR:PORT

在所有接口上和默认端口上运行 Squid 对大部分用户都很适用。

你可以使用 Access Control Lists (ACLs)来控制 Squid 服务器的访问。

默认情况下，Squid 仅仅允许从本地主机和本地网络来的访问。

如果所有将要使用代理服务器的客户端都有一个固定 IP 地址，你可以创建一个 包含允许 IP 地址的 ACL。

不用在主要配置中添加 IP 地址，我们可以创建一个新配置文件，用来配置地址：

/etc/squid/allowed_ips.txt

114.212.117.173
# All other allowed IPs

一旦完成，打开主要配置文件，并且创建一个新的 ACL ，命名为 allowed_ips，并且使用 http_access 指令允许它访问：

/etc/squid/squid.conf

这个 http_access 规则的顺序很重要。确认你在 http_access deny all 之前添加了这一行。

 http_access 指令类似于防火墙规则。Squid 从上到下读取规则，并且后面匹配的规则不会被处理。

不管你对配置文件做了什么修改，你需要重新启动 Squid 服务器来使修改生效：

sudo systemctl restart squid

3.身份验证

参考：如何在 Ubuntu 18.04 上安装 Squid代理服务器

4.配置防火墙

假设你正在使用 UFW管理你的防火墙，你需要打开 Squid 端口。想要启用包含默认 Squid 端口的‘Squid’ profile：

sudo ufw allow 3128

想要验证状态，输入：

sudo ufw status

输出应该像下面这样：

5.配置浏览器使用代理服务器

和动态端口转发类似，可以打开设置 -> 网络和Internet -> 代理 -> 手动设置代理，然后进行如下设置：

或者从终端命令行启动 Chrome 网页服务器：

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --user-data-dir="%USERPROFILE%\proxy-profile" --proxy-server="http://114.212.122.48:3128"

 同样在必应中输入 what is my ip 查询，发现IP变成了 114.212.122.48