分享一款轻量级 HTTP(S) 代理 TinyProxy

概述

众所周知，我们常用的 Web 服务器 Nginx / Apache 都可以很方便的用来做为正向或反向代理服务器使用。但是它们都并不支持 HTTPS 的正向代理。

Nginx 做为正向代理不支持 HTTPS 的原因是因为 Nginx 没有实现 HTTP 1.1 Connect 方法。隧道的含义大约就是帮助无法完成 TLS 握手的代理服务器透传可以完成 TLS 握手的客户端请求，而不再解析流量中的内容。

TinyProxy 支持以下功能特性：

• 支持匿名模式。
• 支持 HTTPS，可以通过 CONNECT 请求来转发 HTTPS 连接。
• 远程监视：可远程查看日志和访问信息。
• 负载监视：可配置成当负载达到某个程度时，拒绝新的代理请求。
• 访问控制：可设置特定的 IP 地址或者 IP 段才可访问。
• 安全：不需要 root 权限。
• 轻量化：只需要极小的系统资源。
• 支持基于 URL 的过滤。
• 支持透明代理。
• 支持多级代理。

TinyProxy 项目地址：
https://github.com/tinyproxy/tinyproxy

安装 TinyProxy

1. 通过软件包安装

• CentOS / RHEL

# 需要 EPEL 仓库
$ yum install -y tinyproxy

配置 TinyProxy

TinyProxy 默认配置文件路径为
/etc/tinyproxy/tinyproxy.conf。如果你要自定义配置文件位置，可以在启动 TinyProxy 时 通过 -c 参数来指定。

下面我们来看下几个主要的配置参数：

• User

指定运行 TinyProxy 的用户，默认为 nobody。

User nobody

• Group

指定运行 TinyProxy 的用户组，默认为 nobody。

Group nobody

• Listen

指定 TinyProxy 绑定的网卡接口，默认是绑定到所有可用的网卡接口的。

#Listen 192.168.0.1

如需绑定到指定网卡接口，只需去掉对应的注释并指定网卡对应 IP 地址即可。

Listen 192.168.1.100

• Port

指定 TinyProxy 的监听端口, 默认为 8888。

Port 8888

• Allow

指定可访问 TinyProxy 设备的 IP 或网段，默认仅允许本机访问。

Allow 127.0.0.1

如果你想允许所有人使用该代理，注释 Allow 选项即可。

# Allow 127.0.0.1

如果你想增加多个可访问的网段，可以用多个 Allow 选项同时定义不同网段即可。

# 添加多段 IP 地址
Allow 10.10.6.0/24
Allow 192.168.8.0/24
Allow 172.16.1.13

• BindSame

在多网卡的情况下，设置出口 IP 是否与入口 IP 相同。默认情况下是关闭的。

例如：服务器上存在 IP 1.2.3.4，当你请求该 IP 对应的 Tinyproxy 代理时，Tinyproxy 也通过 1.2.3.4 做为出口访问目标网站。

#BindSame yes

• StartServers

指定 TinyProxy 初始启动的子进程数量， 默认是 10 个。

StartServers 10

• MaxClients

设置最大客户端链接数，默认为 100。

MaxClients 100

• Logfile

指定日志文件位置, 默认为
/var/log/tinyproxy/tinyproxy.log。

LogFile /var/log/tinyproxy/tinyproxy.log

• Syslog

指定 TinyProxy 是否开启 Syslog 来记录日志，默认为关闭的。

#Syslog On

注：Logfile 和 Syslog 只能同时启用一个。如果两个都不启用的话 TinyProxy 会将日志直接输出到终端的标准输出。

• PidFile

指定 Pid 文件位置, 默认为
/var/run/tinyproxy/tinyproxy.pid，在 PidFile 文件不存在时会运行失败。

PidFile "/var/run/tinyproxy/tinyproxy.pid"

• DisableViaHeader

指定是否在 Header 中显示 Tinyproxy 相关信息，默认是关闭的。如果开启将不会在 Header 中显示 Tinyproxy 相关信息，相当于 Tinyproxy 是隐身模式。

#DisableViaHeader Yes

• Filter

指定设置过滤内容文件的位置，默认为 /etc/tinyproxy/filter。

Filter "/etc/tinyproxy/filter"

• FilterURLs

设置使用 URL 或是域名方式进行过滤，默认是基于 URL 方式过滤的。域名过滤只检查域名段，URL 过滤则检查整个 URL。

FilterURLs On

• FilterExtended

设置使用 POSIX 基本或者扩展的正则表达式来匹配过滤规则，默认为使用基本的。

# FilterExtended On

• FilterCaseSensitive

设置是否使用区分大小写的正则表达式，默认为不区分大小写。

#FilterCaseSensitive On

• FilterDefaultDeny

设置默认过滤策略。如果将该指令注释掉或设为 No，过滤规则为禁止访问规则。该值默认为 Yes，过滤规则为只允许访问过滤文件中的地址。

FilterDefaultDeny Yes

过滤规则配置示例：

1. 在 /etc/tinyproxy/filter 文件中添加代理允许或拒绝的域名地址。

hi-linux.com

过滤文件中的域名地址也是支持正则表达式的。

\.google\.com$
^hi-linux\.com$

1. 仅允许代理请求 hi-linux.com 的内容，配置如下：

Filter "/etc/tinyproxy/filter"
FilterURLs On
FilterDefaultDeny Yes

1. 仅允许代理请求除 hi-linux.com 域名以外的内容，配置如下：

Filter "/etc/tinyproxy/filter"
FilterURLs On
FilterDefaultDeny No

运行 TinyProxy

• 运行 TinyProxy 非常简单，使用官方提供的脚本即可。

# 启动 TinyProxy
$ service tinyproxy start

# 停止 TinyProxy
$ service tinyproxy stop

# 重启 TinyProxy
$ service tinyproxy restart

• 如果服务器有启用防火墙，开放相应的 TinyProxy 端口

$ iptables -I INPUT -p tcp –dport 8888 -j ACCEPT

• 查看 TinyProxy 请求日志

$ tail -f /var/log/tinyproxy/tinyproxy.log

• 测试代理是否正常工作

$ curl --proxy 192.168.1.100:8888 -k https://www.hi-linux.com/

如果出现对应网页的源代码，则证明代理工作正常。