Как сделать прокси который будет работать только на одном сайте?

Question

[seojuf]

Стоит задача, нужно чтобы прокси или впн работали только на одном сайте, а на остальных трафик клиента шел напрямую. Возможно ли организовать такое на самом сервере Ubuntu а не на ПК у клиента?
Например поставить какой то 3proxy и настроить правило чтобы на сайте работали прокси а на другом нет.

Comments

[Valentin Barbolin]

Чисто в теории, сам я такое не пробовал. Есть механизм автоматичкой настройки прокси WPAD (Web Proxy Auto-Discovery Protocol). Можно попробовать поднять OpenVPN с помою которого в DHCP options 252 передавать клиенту настройки прокси, весь трафик не надо загонять в VPN достаточно одного маршрута через который будет доступна прокся. В самом же файле wpad ты указваеш адрес прокси и для каких сайтов должен использоваться прокси.

[AlexVWill]

Если трафик ушел на сервер, то он уже на сервере, и сервер может его либо пропустить, либо заблокировать. Поэтому какой трафик пустить на сервер должен решать клиент.
Еще можно решить это на уровне DNS запросов, но для этого нужно отдельный DNS сервер поднимать, и подменивать IP для целевого сайта, а это сильно попахивает MITM и браузеры будут на это ругаться, и с сертификатами могут быть проблемы. Для своего сайта это теоретически можно сделать, а для стороннего - нет.

[Sergey В.]

Вам правильно написали - если запрос уже пришёл на прокси, то ответ будет от прокси (не напрямую). ПОэтому регулировать - куда направлять запрос нужно у пользователя.

Answer 1

[Vindicar]

Во-первых, нужно чётко описать цепочку трафика. Вот первый вариант:

[клиент] --> [решающий прокси] --> [реальный прокси] --> [целевой сайт]
                     \--> [другие сайты]

Т.е. клиент всегда ходит через решающий прокси (тот, который принимает решение, как обращаться к сайту), а далее трафик идёт по одной из двух веток.
Плюсы: у клиента фиксированная конфигурация, требуется только поддержка прокси, не требуется доп. ПО на кленте
Минусы: решающий прокси тащит на себе весь трафик клиента.

Если это недопустимо, т.е. тебе позарез нужно что-то такое:

[клиент] --> [решающий прокси] --> [реальный прокси] --> [целевой сайт]
    \--> [другие сайты]

То решение нужно принимать на стороне клиента. Тут есть два варианта.
Вариант А: решающий прокси разворачивается на клиенте. Так работает nekoray, например.

[клиент --> решающий прокси] --> [реальный прокси] --> [целевой сайт]
                     \--> [другие сайты]

Плюсы: ПО на клиенте всё ещё требует только поддержку прокси, и всё.
Минусы: на клиенте ставится доп. ПО, управление производится на машине клиента (неудобно если их несколько)

Вариант Б, которым я сам пользуюсь: использовать PAC-файл. Он выполняется в контексте браузера и содержит логику на JS, которая определяет, как посылать каждый запрос. Разумеется, генератор и прокси могут быть на одном узле.

[Генератор и хостинг для PAC-файла]
   ^
   |
[клиентский браузер] --> [реальный прокси] --> [целевой сайт]
    \--> [другие сайты]

Плюсы: на клиенте фиксированная конфигурация и нет доп. ПО. Все решения принимаются сервером, который периодиченки обновляет PAC-файл.
Минусы: работает ТОЛЬКО с браузером, если прокси недоступен, браузер может начать пытаться слать запросы напрямую. Трудно повлиять на то, как часто клиент будет перезагружать PAC-файл.

Вариант В: использовать маршрутизацию совместно VPN, чтобы завернуть все пакеты на целевые хосты в VPN, и только их.
Плюсы: работает с любым ПО, даже если оно не умеет прокси.
Минусы: Требует полноценный VPN с виртуальным сетевым адаптером, а не прокси. Определить подсети по имени сайта нетривиально, ибо CDN могут менять адреса без предупреждения. Раздавать 100500 маршрутов на клиенты тоже нетривиально.

Answer 2

[Drno]

например это умеет приложение Nekoray.. там можно задать домены которые должны идти обычно, и которые должны идти внутрь "впн"... там свои протоколы(по сути это прокси клиент)

но все зависит от настройки сети и от того какой ВПН используется. везде решение будет разное

Comments

[seojuf]

Знаю что можно это решить приложениями и расширениями в браузере. Но интересует именно решение на стороне VPS сервера, чтобы на нём было установлено правило которое фильтровало сайты и где то пропускало напрямую а где то через VPN / прокси

[Drno]

seojuf, Вы писали про 1 сайт…
Если про множество то это реализованно например в проекте Антизапрет. Его можно self hosted

spoiler

https://bitbucket.org/anticensority/antizapret-vpn...

Answer 3

[Александр]

NAT.
Не ругайте меня. ;) лет 10 назад так бы сделал.
iptables вроде устаревает, аналоги есть. Принцип аналогичен.
Есть основной интерфейс eth0.
Есть интерфейс клиента vpn (на маршрутизаторе устанавливаем клиент vpn).
Перенаправляем нужный поток на интерфейс c vpn. И почти всё.
Там при запуске vpn клиента может перезаписываться маршрут. Если цель находиться в vpn сети там все просто (в настройках пишется строчка). А если сайт на просторе интернет, ставим внешний vpn сервер.