fproxy v83 — локальный прокси-сервер для фильтрации http(s)-трафика

В случае обновления с версии

С какой версии?

Написано же - старее чем 78. Может быть двусмысленно звучит, исправлю тогда.

А куда его надо ставить? На роутер? Или на свой комп? Ежели дефолтное поставлю, у меня весь онторнет пропадёт? Есть какие-то списки на манер адблока? Или каждый лепит свои неповторимые правила?

Ставишь куда хочешь, в браузере указываешь как прокси. Правила свои, да. На компе будет удобнее во всех аспектах - т.к. основная цель по возможности не пользоваться сетевым интерфейсом вообще и запросы отвечать локально из кеша (в т.ч. смотреть ранее посещённые сайты после отключения инета) либо блокировать если они ненужные.

Спасибо.

А выборочно чистить кэш можно? Ведь не всё мне перманентно нужно.

Блин. В манджарорепах и даже в ауре нету. Какэта??? Руками лень собирать сённи.

Утилиты для выборочной чистки нет. Но нужна, да.

Вот такой скрипт всё скачает и соберёт (если zlib-dev и openssl-dev установлены) за меньше минуты

wget https://dev.m1089.ru/fcl/files/fcl-20231219.tar.gz
tar xf fcl-20231219.tar.gz
wget https://dev.m1089.ru/fproxy/files/fproxy-v83.tgz
tar xf fproxy-v83.tgz
cd fcl-20231219/DEV
FCLPATH=`pwd`
cd src
./build.sh fcl
cd ../../../fproxy-v83
make FCLPATH=$FCLPATH
rm -Rf work/obj
mkdir ../RESULT
mv work ../RESULT/bin
mv share ../RESULT/share

Держи:

pkgname=fproxy
pkgver=83
_fclver=20231219
pkgrel=1
arch=('i686' 'x86_64' 'armv6h')
url="https://dev.m1089.ru/fproxy"
license=('BSD')
depends=('zlib' 'openssl')
source=("https://dev.m1089.ru/fproxy/files/fproxy-v$pkgver.tgz"
        "https://dev.m1089.ru/fcl/files/fcl-$_fclver.tar.gz")
sha256sums=('0d53b80de47c504fb32e5b1d9985e77cda53eaaa54a65e4792db01fa7ac21e4d'
            'a472449faba4754acf4ffeaf93df1989cfe5ec6fcf49c3978305ec0496211690')

build() {
  export PATH="$srcdir/fcl-$_fclver/DEV/src/scripts:$PATH"
  export FCLPATH="$srcdir/fcl-$_fclver/DEV"
  echo $PATH
  cd "$srcdir/fcl-$_fclver/DEV/src/fcl"
  sh build.sh
  cd "$srcdir/$pkgname-v$pkgver"
  make
}

package() {
  install -dm755 "$pkgdir/usr/bin"
  rm -rf "$srcdir/$pkgname-v$pkgver/work/obj"
  cp $srcdir/$pkgname-v$pkgver/work/* "$pkgdir/usr/bin"
  install -dm755 "$pkgdir/usr/share/$pkgname"
  cp -r $srcdir/$pkgname-v$pkgver/share/* "$pkgdir/usr/share/$pkgname"
}

sh build.sh

Оно так не запустится, надо "./build.sh fcl" из src/ запускать если первый раз.

УМВР 🤡

Там файла scripts/BUILD.CONF будет не хватать, без него ничего не соберётся. Его как раз src/build.sh создаёт при первом запуске. Возможно ты его как-то заранее создал.

Действительно.

--- PKGBUILD        2023-12-31 22:30:31.910288895 +0100
+++ PKGBUILD    2023-12-31 22:30:26.096316189 +0100
@@ -15,8 +15,8 @@
   export PATH="$srcdir/fcl-$_fclver/DEV/src/scripts:$PATH"
   export FCLPATH="$srcdir/fcl-$_fclver/DEV"
   echo $PATH
-  cd "$srcdir/fcl-$_fclver/DEV/src/fcl"
-  sh build.sh
+  cd "$srcdir/fcl-$_fclver/DEV/src"
+  sh build.sh fcl
   cd "$srcdir/$pkgname-v$pkgver"
   make
 }

Ну некогда мне, я в херо-варс играю :)

Как он кэширует https? Это вообще возможно?

Делает сам запросы и ретранслирует их браузеру уже со своим сертификатом, который надо в доверенные добавить. В целом это стандартный способ вмешательства в https. Т.к. браузер в итоге видит только проксевый сертификат и не видит настоящие сертификаты сайтов, прокси берёт их проверку на себя, заодно делая тут поддержку белых/чёрных списков сертификатов для сайтов.

Слегка вводит в ступор то, что репозитория по-прежнему нет, и исходники приходится качать тарболлом. С другой стороны, как я уже писал, если автор не надеется на появление пулл/мержреквестов и рассчитывает исключительно на свои силы – почему бы и нет…

А, ясно, подмена сертификата.

который надо в доверенные добавить

подробнее?!

В firefox это делается в about:preferences на вкладке «приватность и защита», там есть кнопка «просмотр сертификатов». Сам сертификат для добавления даёт (генерирует) установщик.

Сам сертификат для добавления даёт (генерирует) установщик.

каким образом? «выхлоп в консоль» или создается «где-то» данный сертификат в хомятнике/конфиге? (в 3х слова)

Слегка вводит в ступор то, что репозитория по-прежнему нет, и исходники приходится качать тарболлом

Ну вообще-то это разные штуки. Само по себе скачивание, что тарболлом, что какой-нить vcs, отличается не сильно - и там и там надо ввести какую-то команду с урлом. Но в целом да, интерактивности не хватает.

Для начала работы с проксей надо создать её рабочую директорию (аналог профиля в браузере), вот скрипт её создающий среди прочего генерирует сертификат и сообщает тебе о необходимости добавить его в браузер.

Мой коллега под винду что-то подобное искал. Соберется?

Нативно нет, и переделывать слишком много. Можно в виртуалке или в WSL если там новая винда. Или с cygwin наверно.

А что мешает использовать какой-нибудь codeberg, если сильно не хочется связываться с гитхабом?

Ну или self-hosted решение, например gitea.

Я выложу этот скрипт на страницу проекта?

Пожалуйста. Считай его лицензированным под WTFPL.

эта библиотека не имеет отношения к вашему проекту?

SQUID - что то подобное, отличия, +/-?

Не имеет. Из-за неё пришлось deb-пакеты переименовывать.

Squid это тоже прокси сервер, основная его направленность - это публичный прокси-сервис с контролем доступа и возможностью кеширования страниц в соответствии со спецификациями http (заголовками ответов).

Основная направленность fproxy - это личное использование для активного вмешательства в работу одного конкретного браузера и замены собой браузерного сетевого кода. Контроля доступа для пользователей нет (предполагается что пользователь ровно один), зато есть гибкий контроль доступа по разрешённым/запрещённым урлам и возможность их подменять на лету на другие (а так же подменять ответы от сайтов, но это надо кодить). Что касается кеширования, то оно поддерживается в соответствии с конфигом, настроенным пользователем (вплоть до зеркалирования вообще всего трафика на диск для последующего просмотра сайта оффлайн).

чем это лучше nginx?

Что значит «лучше»? nginx это веб-сервер. Сходства, конечно, имеются (потому что и то и то работает с http), но это совсем разное. Сравнение выше со squid-ом было более понятным.

Я конечно не настоящий сварщик, но в качестве разминки, заплывшего от оливье мозга, накатал PKGBUILD. В комментах видел другой PKGBUILD но там есть лишние действия и нет необходимых ну и совершенно недопустимый rm -fr, не нужно так.

Прогнал через namcap победил всё кроме: lacks FULL RELRO, check LDFLAGS. Добавление export DCFLAGS='-L-zrelro -L-znow' ничего не даёт, ну и ладно.

pkgname=fproxy
_fclname=fcl
pkgver=83
_fclver=20231219
pkgrel=1
pkgdesc="A multipurpose proxy-server with ssl/tls-intercepting"
arch=(i686 x86_64 armv7h aarch64)
url="https://dev.m1089.ru"
license=(CUSTOM)
#makedepends=()
depends=(bash glibc openssl zlib)
source=(${pkgname}-v${pkgver}.tgz::${url}/${pkgname}/files/${pkgname}-v${pkgver}.tgz
        ${_fclname}-${_fclver}.tar.gz::${url}/${_fclname}/files/${_fclname}-${_fclver}.tar.gz)
sha256sums=('0d53b80de47c504fb32e5b1d9985e77cda53eaaa54a65e4792db01fa7ac21e4d'
            'a472449faba4754acf4ffeaf93df1989cfe5ec6fcf49c3978305ec0496211690')
conflicts=(${_fclname})
#install=${pkgname}.install

prepare() {
  cd ${_fclname}-${_fclver}/DEV/src
  ./build.sh fcl
}

build() {
  cd ${pkgname}-v${pkgver}
  make FCLPATH=${srcdir}/${_fclname}-${_fclver}/DEV 
}

package() {
  install -Dm755 ${pkgname}-v${pkgver}/work/fproxy{,_r} -t ${pkgdir}/usr/bin/
  install -Dm755 ${pkgname}-v${pkgver}/work/fproxy-{cache_add,client-wrapper,dashboard,tun} -t ${pkgdir}/usr/bin/
  install -Dm755 ${pkgname}-v${pkgver}/work/ssl-{client,server}-wrapper -t ${pkgdir}/usr/bin/
  install -Dm755 ${pkgname}-v${pkgver}/share/prepare-dir.sh -t ${pkgdir}/usr/share/${pkgname}/
  install -Dm644 ${pkgname}-v${pkgver}/share/LICENSE.txt -t ${pkgdir}/usr/share/licenses/${pkgname}/
  install -Dm644 ${pkgname}-v${pkgver}/share/rules_example/*.{sh,conf,txt} -t ${pkgdir}/usr/share/${pkgname}/rules-example/
}

Еще замечания:

1. Ставится всё нужное, всё не нужное - не переносится в пакет. Вероятность, что кто-то полезет за инструкциями в share - нулевая, надо это переписывать в man или переносить в docs. С ходу непонятно, что именно нужно делать, даже если ты запустишь prepare-dir.sh
2. В AUR есть fcl, но видимо устаревший и вообще не собрается, поэтому тут собираем свой. В качестве конфликтного указал.
3. Можно также указать запуск prepare-dir.sh в файле fproxy.install но это уже прям надо ставить всю балалайку и разбираться дальше, что именно нужно для запусков. Пока закомментировал.
4. Так как это сервер, то имеет смысл написать systemd service, выделить его в отдельного пользователя и ограничить его своей домашней папкой. Пример есть здесь wireguard-ui.install и wireguard-ui.service Повторюсь, не ставил в систему, поэтому кому именно нужно будет, направление указал. Можно этот PKGBUILD выложить в AUR, лучше конечно когда это будет делать тот, кто этим пользуется, в идеале сам автор.

Спасибо, есть ответы и где-то замечания:

1) насчёт документации в share - я если честно вообще не знаю что с ней делать, написал по-быстрому какую-нить (часть писал ещё так же по-быстрому для старой версии), тут чтоб привести в порядок надо думать

2) fcl который есть в разных репах - это другая библиотека, я про неё узнал уже после того как много лет (в основном для себя, но не только) поддерживал свою, и переименовывать уже не хочется; а вот пакеты для дебиана переименовал, так же можно переименовать и пакеты в других репах если будут отдельные. А вот само имя файла вряд ли будет конфликтовать, там же libname.so.VER и вот это VER скорее всего будет разным. В случае сборки как тут вообще не о чем беспокоиться - если оно линкуется статически то никаких библиотечных файлов вообще не будет в итоге

3) не понял что за fproxy.install (если что я в Arch не разбираюсь)

4) насчёт сервиса - пояснено в самой новости - тут больше расчёт на организацию подобную профилям в браузере, которые создаются по мере надобности, а общесистемный сервис хоть и будет работать, но смысла в нём немного; когда будет менеджер профилей и конфигураций - вот его можно общесистемным сервисом сделать

lacks FULL RELRO, check LDFLAGS. Добавление export DCFLAGS='-L-zrelro -L-znow'

Я так понял это из-за того что LDFLAGS не учитываются, надо будет наверно учитывать их. Вроде сломать сборку ими нельзя.

не понял что за fproxy.install

Скрипт, который pacman исполняет после установки пакета и в некоторых других случаях.

совершенно недопустимыйrm -fr

Поясни, знание пригодится.

install -Dm755 install -Dm755 install -Dm755 install -Dm755 install -Dm644 install -Dm644

Вот этого хотелось избежать.

есть лишние действия и нет необходимых

???

Я конечно не настоящий сварщик

После всего этого - если ты не настоящий пакаджер, то кто я такой вообще? :’(

насчёт документации в share - я если честно вообще не знаю что с ней делать

Как минимум свести в один большой README, разделив текстовые конфиги от мануалов. Сейчас это по разным папкам раскидано и смешано.

fcl который есть в разных репах - это другая библиотека

Ну тогда нужно удалить строку conflicts=(${_fclname})

не понял что за fproxy.install

Тут можно прописать необходимые действия для инициализации установки, тот самый prepare-dir.sh чтобы pacman запустил их с нужными опциями.

насчёт сервиса - пояснено в самой новости - тут больше расчёт на организацию подобную профилям в браузере, которые создаются по мере надобности, а общесистемный сервис хоть и будет работать, но смысла в нём немного;

Читаю - «прокси-сервер», понимаю что это резидентная программа, которая обслуживает клиентские запросы. Или я вообще не понял как оно работает..

Да, резидентная, но персональная - привязанная к конкретному браузеру и даже его профилю в идеале, и выполняющая то что нужно конкретному пользователю. Если б было общесистемное то конфиги в /etc бы хранились.

В AUR есть fcl, но видимо устаревший

Есть и новее, но насколько подходит для данного проекта, вопрос.

fcl-git Last Updated: 2023-10-08

Поясни, знание пригодится.

Были случаи кривых PKGBUILD где тоже были rm -rf и люди не глядя ставили и оставались без системы. Я не знаю, вообще сейчас возможно загрузить в аур PKBUILD с rm Потом, зачем сначала копировать файлы а потом их удалять, нужно сперва отбросить ненужные и явно скопировать только нужные файлы с нужными правами запуска.

Вот этого хотелось избежать

Наоборот, когда речь идёт об исполняемых файлах лучше указать их все в файле, чтобы у стороннего человека было понимание какие именно файлы переносятся в /usr/bin а не гадать, сколько их там 10 или 2 и какие они именно. Если я правильно понимаю, это нужно для того, чтобы потом pacman смог их правильно удалить, когда пакет деинсталлируется.

???

Ну манипуляции c PATH и лицензия не BSD а значит надо её устанавливать явно.

После всего этого - если ты не настоящий пакаджер, то кто я такой вообще? :’(

Всегда найдётся сварщик покрупнее :)

Тогда я вообще не понимаю как оно работает…

Что непонятного то? Создаёшь «профиль» (prepare-dir.sh), запускаешь (от основного юзера или лучше от отдельного изолированного), пользуешься. Если нужен другой профиль браузера - создаёшь к нему второй профиль прокси (лучше от ещё одного отдельного юзера).

Например можно сделать отдельное прокси для бытового серфинга и развлечений где разрешёно всё кроме спама, отдельное прокси для, например, работы, где в белом списке только корпоративные сайты и их зависимости, и отдельное прокси для каких-нить банков и госуслуг где опять в белом списке только доверенные гос сайты (и кстати другой набор доверенных root ca). У каждого из профилей будут свои отдельные логи и отдельный набор закешированных урлов (в которых теоретически могут быть приватные данные и даже токены для авторизации), поэтому лучше доступ к ним максимально порезать.

Как сложно всё 2-го января))

Ну вот же:

запускаешь (от основного юзера или лучше от отдельного изолированного), пользуешься.

Значит можно написать system service файл и запускать его по мере необходимости от нужно пользователя. Я про это и написал. Ну чтоб окно терминала не висело, например

Ну чтоб окно терминала не висело, например

Оно и не висит если proxy.sh, идущий в комплекте, использовать.

Значит можно написать system service файл и запускать его по мере необходимости от нужно пользователя

Речь про user service может? Ну, может быть, но с systemd нет желания возиться.

Спасибо.

С его помощью можно будет использовать старые браузеры, не поддерживающие https? Есть такая надобность.

Вообще не поддерживающие или поддерживающие только старую версию? Если второе - то точно можно, просто разрешаешь SSLv3 на локальной стороне (если нужно SSLv2 то надо ещё древнюю версию openssl найти где он ещё не выкинут). Если первое - то тут зависит от сайта. Стоит попробовать настроить в rules_route подмену протокола http на https, вот так:

http://*
<------>set proto https
<------>set port 443
<------>set wrapper unix:internal/client-wrapper.sock

(последнюю строчку лучше перенести в .conf в виде client.wrapper_http= чтобы не таскать по всем правилам, точнее она зависит от способа установки и в .conf рядом должна быть правильная для https)

С некоторыми сайтами это, думаю, прокатит. Но есть две проблемы:

1) в коде сайта могут быть ссылки на урлы с https:// - и если браузер его вообще не поддерживает, то он посчитает что это битые урлы; тут можно вставить в прокси фильтр для автозамены всех https:// на http:// но это не в конфиге а надо на Си писать

2) если сайт с помощью джаваскриптов проверяет протокол и что-то по этому поводу предпринимает - аналогичная проблема, только тут сложнее автоматически что-то исправить. Кстати, у старых браузеров ещё и поддержка джаваскриптов устаревшая, проблемы будут не только с https.

Что значит «лучше»? nginx это веб-сервер. Сходства, конечно, имеются (потому что и то и то работает с http), но это совсем разное. Сравнение выше со squid-ом было более понятным.

Ээээ нет дядя. Nginx – это не веб-сервер. Nginx – это дичайший комбайн ада и кутежа, который может работать веб-сервером. А может работать проксёй, причём не только HTTP(S), но и вообще всего подряд, включая SSH и даже чёрта лысого.