Tự tạo Proxy Server trên VPS Ubuntu/CentOS với Squid

Bạn đang tìm cách kiểm soát hoàn toàn kết nối internet của mình? Việc tạo proxy server trên VPS cá nhân chính là giải pháp tối ưu, giúp bạn tăng cường bảo mật, ẩn danh và vượt qua nhiều rào cản trên không gian mạng.

Khác với việc chỉ cài đặt proxy trên trình duyệt, việc sở hữu một máy chủ proxy riêng cho phép bạn toàn quyền quyết định ai được truy cập, tốc độ ra sao và mức độ riêng tư như thế nào.

Trong bài viết chuyên sâu này, chúng ta sẽ cùng nhau đi qua từng bước chi tiết để cài đặt và cấu hình một proxy server mạnh mẽ, an toàn bằng Squid trên các VPS chạy hệ điều hành phổ biến nhất hiện nay.

Tóm tắt: Bài viết này hướng dẫn bạn cách tự tạo một proxy server riêng tư bằng cách cài đặt Squid trên VPS Ubuntu hoặc các hệ điều hành RHEL (AlmaLinux, Rocky Linux). Quá trình bao gồm các bước chính: cấu hình danh sách kiểm soát truy cập (ACL) để bảo mật, thiết lập xác thực người dùng, và mở cổng cần thiết trên tường lửa để cho phép kết nối.

Proxy Server là gì và tại sao nên tự tạo trên VPS?

Proxy server hoạt động như một trạm trung chuyển. Mọi yêu cầu từ máy tính của bạn sẽ đi qua proxy trước khi đến trang web đích. Trang web sẽ chỉ thấy địa chỉ IP của proxy, không phải IP thật của bạn.

Những lợi ích chính khi tự tạo proxy server trên VPS:

• Toàn quyền kiểm soát: Bạn là người duy nhất quản lý và sử dụng proxy, không lo bị theo dõi hay giới hạn bởi bên thứ ba.
• IP riêng và ổn định: VPS cung cấp cho bạn một địa chỉ IP tĩnh, không bị chia sẻ, đảm bảo hiệu suất và độ tin cậy cao.
• Bảo mật vượt trội: Bạn có thể cấu hình các lớp bảo mật vững chắc như danh sách IP cho phép (whitelist) hoặc yêu cầu mật khẩu.
• Ẩn danh hiệu quả: Che giấu địa chỉ IP gốc, giúp bạn ẩn danh khi lướt web, nghiên cứu thị trường hoặc thực hiện các tác vụ nhạy cảm.

Chuẩn bị những gì trước khi bắt đầu?

Để quá trình tạo proxy server trên VPS diễn ra suôn sẻ, bạn cần đảm bảo đã có sẵn các yếu tố sau đây.

• Một VPS đang hoạt động với hệ điều hành Ubuntu (20.04, 22.04) hoặc một bản phân phối dựa trên RHEL hiện đại.
  • Lưu ý: Do CentOS 8 đã kết thúc vòng đời, bạn nên sử dụng các hệ điều hành kế nhiệm như CentOS Stream, AlmaLinux, hoặc Rocky Linux. Các lệnh trong bài viết này hoàn toàn tương thích với chúng.
• Quyền truy cập cao nhất (root) hoặc một người dùng có đặc quyền sudo.
• Phần mềm SSH client (như PuTTY trên Windows hoặc Terminal trên macOS/Linux) để kết nối tới VPS.
• Kiến thức cơ bản về cách sử dụng dòng lệnh Linux.

Hướng dẫn cài đặt Squid Proxy Server

Squid là một phần mềm mã nguồn mở mạnh mẽ và được tin dùng rộng rãi để xây dựng proxy. Quy trình cài đặt ban đầu gồm 4 bước chính.

Bước 1: Cập nhật hệ thống

Đây là bước quan trọng để đảm bảo mọi gói phần mềm trên VPS đều là phiên bản mới nhất, tránh các xung đột không đáng có.

• Trên Ubuntu/Debian:

  sudo apt update && sudo apt upgrade -y

• Trên CentOS/RHEL/AlmaLinux/Rocky Linux:

  sudo dnf update -y

Bước 2: Cài đặt Squid

Sử dụng trình quản lý gói của hệ điều hành để cài đặt Squid.

• Trên Ubuntu/Debian:

  sudo apt install squid -y

• Trên CentOS/RHEL/AlmaLinux/Rocky Linux:

  sudo dnf install squid -y

Bước 3: Khởi tạo thư mục Cache (Quan trọng)

Trước khi khởi động Squid lần đầu, hãy chạy lệnh khởi tạo các thư mục lưu trữ cache. Đây là một thông lệ tốt nhất (best practice) để đảm bảo Squid có môi trường hoạt động chuẩn xác ngay từ đầu.

sudo squid -z

Bước 4: Khởi động và kiểm tra dịch vụ Squid

Bây giờ, hãy khởi động dịch vụ Squid và thiết lập để nó tự chạy mỗi khi VPS khởi động lại.

sudo systemctl start squid
sudo systemctl enable squid
sudo systemctl status squid

Nếu bạn thấy dòng chữ active (running) màu xanh lá, xin chúc mừng, Squid đã được cài đặt và đang chạy trên VPS của bạn!

Cấu hình Squid – Trái tim của Proxy Server

Đây là phần quan trọng nhất, quyết định proxy của bạn sẽ hoạt động như thế nào và mức độ bảo mật ra sao. File cấu hình chính nằm tại /etc/squid/squid.conf.

Mẹo quản lý file: File squid.conf gốc rất dài. Để dễ dàng quản lý, bạn nên thêm tất cả các tùy chỉnh của mình vào cuối file, đặt trong một khối bình luận để dễ nhận biết.

Mở file để bắt đầu chỉnh sửa: sudo nano /etc/squid/squid.conf.

Bước 1: Thay đổi cổng mặc định

Squid mặc định chạy ở cổng 3128, một cổng rất dễ bị quét tự động. Hãy đổi nó sang một cổng khác để tăng cường bảo mật.

Tìm dòng http_port 3128 và thay đổi nó thành một cổng bạn muốn, ví dụ: http_port 8888.

Bước 2: Thiết lập quy tắc truy cập (ACL) cơ bản

ACL (Access Control List) là tập hợp các quy tắc để kiểm soát truy cập. Chúng ta sẽ bắt đầu bằng việc thiết lập các quy tắc an ninh nền tảng.

Áp dụng các ACL bảo mật mặc định:

Thêm các dòng sau vào ngay dưới dòng http_port để ngăn chặn các kết nối không an toàn:

# Block requests to non-standard ports
http_access deny !Safe_ports
# Allow CONNECT method only for standard SSL ports
http_access deny CONNECT !SSL_ports

Thiết lập quyền truy cập cho người dùng:

Bạn có hai phương pháp bảo mật phổ biến và an toàn để lựa chọn.

Phương pháp 1: Whitelist IP (Chỉ cho phép IP của bạn)

Đây là cách đơn giản và an toàn nếu bạn có một địa chỉ IP tĩnh. Thêm hai dòng sau vào file cấu hình:

acl my_ip src YOUR_STATIC_IP
http_access allow my_ip

Lưu ý: Thay YOUR_STATIC_IP bằng địa chỉ IP public của bạn.

Phương pháp 2: Xác thực bằng Tên người dùng & Mật khẩu

Phương pháp này linh hoạt hơn, phù hợp khi bạn có IP động hoặc muốn chia sẻ proxy.

1. Cài đặt công cụ tạo mật khẩu:
   • Trên Ubuntu/Debian: sudo apt install apache2-utils -y
   • Trên CentOS/RHEL: sudo dnf install httpd-tools -y
     Công cụ này cung cấp lệnh htpasswd để quản lý file mật khẩu.
2. Tạo file mật khẩu và người dùng:
   

   sudo htpasswd -c /etc/squid/passwd proxyuser1

   Bạn sẽ được yêu cầu nhập mật khẩu cho người dùng này.

3. Thêm quy tắc xác thực vào squid.conf:
   

   Lưu ý quan trọng: Đường dẫn tới file basic_ncsa_auth có thể khác nhau. Để tự tìm đường dẫn chính xác trên hệ thống của bạn, hãy chạy lệnh:

   1. Trên Ubuntu/Debian: dpkg -L squid | grep basic_ncsa_auth
   2. Trên CentOS/RHEL: rpm -ql squid | grep basic_ncsa_auth

   Sử dụng đường dẫn bạn tìm được để thêm vào cấu hình:

   auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
   acl authenticated proxy_auth REQUIRED
   http_access allow authenticated

Chặn tất cả các truy cập còn lại (Bắt buộc):

CẢNH BÁO AN NINH: Dòng http_access deny all bắt buộc phải nằm ở cuối cùng của tất cả các quy tắc http_access. Nếu thiếu dòng này hoặc đặt sai vị trí, proxy của bạn sẽ trở thành “open proxy”, cho phép bất kỳ ai trên internet lạm dụng.

Thêm dòng sau vào cuối cùng của khối http_access:
http_access deny all

Bước 3: Tăng cường ẩn danh (Cấp độ Elite Proxy)

Để proxy đạt mức độ ẩn danh cao nhất, hãy cấu hình Squid để che giấu mọi dấu vết.

via off
forwarded_for delete
request_header_access From deny all
request_header_access Server deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all
request_header_access Proxy-Connection deny all

Nội dung có thể hữu ích:

Proxy ẩn danh là gì? Các cấp độ ẩn danh và kỹ thuật kiểm tra

👤 Tác giả: Thảo Trần

Proxy ẩn danh là gì? Các cấp độ ẩn danh của proxy và kỹ thuật kiểm tra mức độ ẩn danh của proxy khi duyệt web trên trình duyệt.

Nội dung có thể hữu ích:

Dấu vân tay trình duyệt (Browser Fingerprint): “Sát thủ” thầm lặng khiến tài khoản của bạn bay màu?

👤 Tác giả: Thảo Trần

Bước 4: (Tùy chọn) Tinh chỉnh hiệu năng và định danh

• Đặt tên cho Proxy: Giúp các thông báo lỗi trông chuyên nghiệp hơn.
  visible_hostname proxy.yourdomain.com
• Phân bổ RAM cho Cache: Tăng tốc độ bằng cách cho phép Squid dùng nhiều RAM hơn để cache.
  cache_mem 256 MB

Bước 5: Lưu và khởi động lại Squid

Sau khi hoàn tất, lưu file cấu hình và khởi động lại dịch vụ Squid.
sudo systemctl restart squid

Mở cổng trên Firewall

Bạn cần mở cổng proxy (ví dụ: 8888) trên tường lửa của VPS.

• Với UFW (Ubuntu):
  UFW (Uncomplicated Firewall) là công cụ tường lửa mặc định trên Ubuntu.
  
  1. Kiểm tra trạng thái: sudo ufw status
  2. Nếu inactive, kích hoạt: sudo ufw enable
  3. Mở cổng: sudo ufw allow 8888/tcp
  4. Xác minh quy tắc: sudo ufw status verbose
• Với Firewalld (CentOS/RHEL):
  Firewalld là giải pháp tường lửa mặc định cho các hệ điều hành RHEL. Nó quản lý các quy tắc theo “zones” (vùng). Chúng ta sẽ thêm quy tắc vào zone public mặc định.
  1. Thêm cổng vĩnh viễn:
     sudo firewall-cmd --permanent --zone=public --add-port=8888/tcp
  2. Tải lại firewall: sudo firewall-cmd --reload
  3. Xác minh cổng đã mở:
     sudo firewall-cmd --permanent --zone=public --list-ports

Kiểm tra hoạt động của Proxy Server

Sử dụng lệnh curl từ máy tính cá nhân của bạn để kiểm tra.

• Nếu dùng Whitelist IP:
  curl -x http://IP_VPS:8888 https://api.ipify.org
• Nếu dùng Tên người dùng & Mật khẩu:
  curl -x http://proxyuser1:your_password@IP_VPS:8888 https://api.ipify.org

Nếu kết quả trả về là địa chỉ IP của VPS, proxy của bạn đang hoạt động hoàn hảo.

(Nâng cao) Chặn các trang web không mong muốn

Một tính năng mạnh mẽ của Squid là lọc nội dung.

1. Tạo file danh sách đen: sudo nano /etc/squid/blocked_sites.acl
   Thêm các domain bạn muốn chặn, mỗi domain một dòng (ví dụ: .facebook.com).
2. Khai báo ACL trong squid.conf:
   acl blocked_sites dstdomain "/etc/squid/blocked_sites.acl"
3. Áp dụng quy tắc chặn: Đặt dòng này trước các quy tắc allow của bạn.
   http_access deny blocked_sites
4. (Chuyên nghiệp) Tạo trang báo lỗi tùy chỉnh:
   Tạo file lỗi: sudo nano /usr/share/squid/errors/en/ERR_ACCESS_DENIED_CUSTOM
   Nội dung: HTTP/1.1 403 Forbidden\nContent-Type: text/html\n\n<html><head><title>Access Denied</title></head><body><h1>Access Denied</h1><p>This website is blocked by policy.</p></body></html>
   Thêm vào squid.conf:
   deny_info TCP_403:ERR_ACCESS_DENIED_CUSTOM blocked_sites
5. Khởi động lại Squid: sudo systemctl restart squid

Các loại Proxy khác bạn nên biết

• Tinyproxy: Siêu nhẹ, phù hợp cho các VPS cấu hình thấp.
• Dante: Chuyên dụng cho SOCKS proxy (SOCKS4/SOCKS5), linh hoạt hơn HTTP proxy.
• Reverse Proxy (Nginx/Apache): Hoạt động ngược lại, dùng để cân bằng tải và bảo vệ web server.

Câu hỏi thường gặp (FAQ)

1. VPS cấu hình tối thiểu bao nhiêu để chạy Squid proxy?

Squid rất nhẹ và không đòi hỏi nhiều tài nguyên. Đối với nhu cầu cá nhân hoặc nhóm nhỏ (dưới 10 người dùng), một VPS có cấu hình 1 CPU, 1GB RAM, và 10GB SSD là hoàn toàn đủ để hoạt động mượt mà. Nếu bạn có lượng truy cập lớn hơn, hãy cân nhắc nâng cấp RAM và CPU tương ứng.

2. Sử dụng proxy tự tạo có an toàn hơn proxy miễn phí không?

Chắc chắn là có, và an toàn hơn rất nhiều. Với proxy tự tạo, bạn có toàn quyền kiểm soát máy chủ, không ai có thể xem hay ghi lại lịch sử truy cập của bạn. Ngược lại, các proxy miễn phí thường không rõ nguồn gốc, có thể bán dữ liệu người dùng, chèn quảng cáo, hoặc thậm chí chứa mã độc.

3. Proxy tạo trên VPS và Proxy dân cư khác nhau như thế nào?

Proxy bạn tạo trên VPS được gọi là proxy datacenter, sử dụng IP từ các trung tâm dữ liệu. Proxy dân cư sử dụng địa chỉ IP từ các nhà cung cấp dịch vụ Internet dân dụng (ISP), giúp tăng độ tin cậy và khó bị phát hiện hơn khi thực hiện các tác vụ như thu thập dữ liệu web.

4. Proxy và VPN khác nhau ở điểm nào?

Proxy hoạt động ở cấp ứng dụng, chỉ định tuyến lưu lượng truy cập từ một chương trình cụ thể (như trình duyệt). VPN hoạt động ở cấp hệ điều hành, mã hóa và định tuyến toàn bộ lưu lượng truy cập internet của thiết bị bạn. Việc kết hợp cả hai có thể tăng cường bảo mật tối đa.

5. Sự khác biệt chính giữa Squid và Tinyproxy là gì?

Cả hai đều là máy chủ proxy HTTP, nhưng Squid mạnh mẽ hơn, có rất nhiều tính năng nâng cao như caching hiệu suất cao, lọc nội dung phức tạp và phù hợp với môi trường doanh nghiệp. Tinyproxy thì ngược lại, cực kỳ nhẹ, tối giản và lý tưởng cho các VPS có tài nguyên thấp hoặc khi bạn chỉ cần một proxy đơn giản.

6. Proxy Squid có hỗ trợ SOCKS5 không?

Không. Squid là một máy chủ proxy chuyên dụng cho giao thức HTTP/HTTPS và FTP. Để tạo một proxy SOCKS5, bạn cần sử dụng các phần mềm khác như Dante.

7. Làm thế nào để thêm nhiều người dùng và mật khẩu?

Rất đơn giản. Sau khi tạo người dùng đầu tiên với lệnh htpasswd -c, bạn chỉ cần bỏ tùy chọn -c cho những người dùng tiếp theo. Lệnh sẽ trông như sau:
sudo htpasswd /etc/squid/passwd ten_nguoi_dung_moi

8. Làm thế nào để xem nhật ký (log) hoạt động của Squid?

Nhật ký truy cập của Squid thường được lưu tại /var/log/squid/access.log. Bạn có thể dùng lệnh sudo tail -f /var/log/squid/access.log để theo dõi các kết nối trong thời gian thực, rất hữu ích cho việc gỡ lỗi.

Kết luận

Chúc mừng bạn đã hoàn thành việc tạo proxy server trên VPS của riêng mình! Bằng cách tự xây dựng một máy chủ proxy với Squid, bạn đã nắm trong tay một công cụ mạnh mẽ để bảo vệ quyền riêng tư, tăng cường bảo mật và chủ động hơn khi hoạt động trên internet. Nếu có bất kỳ câu hỏi nào, đừng ngần ngại để lại bình luận bên dưới!

Tài liệu tham khảo

• squid : Optimising Web Delivery
• How to Set Up Squid Proxy for Private Connections on Ubuntu 20.04 | DigitalOcean
• How to Create an HTTP Proxy Using Squid on CentOS 7/8
• Documentation | firewalld