Прокси-сервер на офшорном NVMe VPS

Squid - классический HTTP/HTTPS прокси-сервер, который кеширует контент и поддерживает ACL по IP, User-Agent, времени. Устанавливается через apt install squid на Ubuntu/Debian, конфигурируется в /etc/squid/squid.conf. Стандартная конфигурация: http_port 3128, acl localnet src 192.168.0.0/16, http_access allow localnet, http_access deny all.

Для прокси с аутентификацией по логину/паролю настраивается basic_auth через htpasswd: auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwords, далее в ACL прописывается acl authenticated proxy_auth REQUIRED. Это даёт защищённый прокси для команды - каждый пользователь имеет свой логин, можно ротировать пароли и audit логин-доступа.

На офшорном VPS Squid работает с пропускной способностью 100-200 Mbps на одного клиента - это перекрывает потребности большинства задач (просмотр сайтов, scraping, обход геоблоков для стриминговых сервисов). Для коммерческих сценариев с большим количеством одновременных пользователей рекомендуется VPS Medium с 4-8 GB RAM и быстрым каналом.

SOCKS5 - более универсальный протокол прокси, чем HTTP: поддерживает TCP и UDP, работает с любыми приложениями (не только браузерами), не модифицирует трафик. На офшорном VPS SOCKS5 поднимается через 3proxy (легковесный, всё в одном), Dante (более функциональный, корпоративного уровня), или Shadowsocks (с обфускацией трафика для обхода DPI).

3proxy ставится через сборку из исходников (apt install build-essential, git clone, make), что даёт самую свежую версию. Конфигурация в /etc/3proxy/3proxy.cfg: nserver 8.8.8.8 для DNS, users логин:CL:пароль для аутентификации, socks -p1080 -i0.0.0.0 -e0.0.0.0 для запуска SOCKS5 на 1080 порту со всеми интерфейсами.

Dante (dante-server) сложнее в настройке, но даёт более детальную конфигурацию ACL и логирования. Используется в корпоративных сценариях с интеграцией LDAP или PAM для аутентификации. На офшорном VPS Dante подходит для команд 50+ пользователей с разными permissions.

Юрисдикция Исландии не требует mandatory data retention для прокси-провайдеров (в отличие от ЕС, где Telecoms Data Retention Directive обязывает хранить metadata 6-24 месяца). Это значит, что вы сами решаете, логировать трафик или нет - можно настроить Squid и 3proxy с минимальным логированием (только uptime и ошибки) или полностью отключить логи.

Шифрование трафика между клиентом и прокси: для HTTP-прокси используется HTTPS-туннель через CONNECT-метод, для SOCKS5 - обёртка через Shadowsocks или V2Ray с TLS. Это защищает от перехвата трафика провайдером интернет-доступа клиента, что критично в странах с DPI и блокировками.

Прокси на офшорном VPS не должен использоваться для нелегальной активности - юрисдикция Исландии не означает иммунитет от запросов через MLAT (Mutual Legal Assistance Treaty) в случаях киберпреступлений, мошенничества, отмывания. Этичные сценарии (обход цензуры, защита приватности при работе в публичных сетях, scraping публичных данных) полностью покрыты исландским правом.