في هذا المقال: ستتعرف على كل شيء عن منافذ خوادم الوكيل (بروكسي) (HTTP 8080، 3128، HTTPS 443، SOCKS 1080)، وكيفية اختيار المنفذ المناسب، وإعداد DNS للحماية من التسريبات، واستخدام DNS over HTTPS، وإعداد إعادة توجيه المنافذ (port forwarding) وجدار الحماية (firewall). تعتمد المادة على بيانات محدثة لعام 2025 مع تكرار بحث يبلغ حوالي 5,400 شهريًا.
📑 محتويات الجزء الأول
🔌 ما هي منافذ خوادم الوكيل
منفذ خادم الوكيل (البروكسي) هو مُعرّف رقمي (من 1 إلى 65535) يحدد قناة اتصال محددة على الخادم. عند الاتصال بوكيل، لا تحدد عنوان IP فحسب، بل تحدد المنفذ أيضًا، على سبيل المثال: 192.168.1.1:8080
لماذا المنافذ مهمة للبروكسي
🎯 الوظائف الأساسية للمنافذ:
- تحديد الخدمة — منافذ مختلفة لبروتوكولات مختلفة (HTTP، HTTPS، SOCKS)
- خدمات متعددة — يمكن لعنوان IP واحد خدمة عدة وكلاء على منافذ مختلفة
- تجاوز الحظر — تحظر بعض الشبكات المنافذ القياسية، وغير القياسية تساعد في تجاوز المرشحات
- الأمان — استخدام منافذ غير قياسية يجعل اكتشاف البروكسي أصعب
- توزيع الحمل (Load balancing) — توزيع الحمل عبر المنافذ
- إعداد جدار الحماية — التحكم في الوصول على مستوى المنفذ
على سبيل المثال، إذا رأيت proxy.example.com:8080، فإن الرقم 8080 هو المنفذ. بدون تحديد المنفذ، لن يتم إنشاء الاتصال.
نطاقات المنافذ
📊 تصنيف المنافذ:
| النطاق | الاسم | الوصف |
|---|---|---|
| 0-1023 | المنافذ المعروفة جيداً (Well-known ports) | محجوزة لخدمات النظام (HTTP:80، HTTPS:443) |
| 1024-49151 | المنافذ المسجلة (Registered ports) | مسجلة لدى IANA للتطبيقات (8080، 3128، 1080) |
| 49152-65535 | المنافذ الديناميكية/الخاصة (Dynamic/Private ports) | منافذ مؤقتة للاتصالات العابرة |
عادةً ما تستخدم خوادم الوكيل منافذ من النطاق 1024-49151، على الرغم من أن المنافذ 80 و 443 شائعة أيضًا.
🌐 المنافذ القياسية لخوادم الوكيل
في عام 2025، هناك عدد قليل من المنافذ المستخدمة على نطاق واسع لخوادم الوكيل. يعتمد اختيار المنفذ على البروتوكول (HTTP، HTTPS، SOCKS) ونوع الاستخدام.
المنافذ الشائعة حسب البروتوكول
| البروتوكول | المنافذ الرئيسية | الاستخدام | الشعبية |
|---|---|---|---|
| HTTP | 80، 8080، 3128، 8118 | حركة مرور الويب، الكشط (Parsing)، المتصفحات | ⭐⭐⭐⭐⭐ |
| HTTPS | 443، 8443 | حركة مرور SSL/TLS المحمية | ⭐⭐⭐⭐⭐ |
| SOCKS4/5 | 1080، 1085 | وكيل عالمي، تورنت، ألعاب | ⭐⭐⭐⭐ |
| Squid | 3128، 8080 | خوادم الوكيل المخزنة مؤقتًا (Caching proxies) | ⭐⭐⭐ |
| الشفاف (Transparent) | 8080، 3128 | الشبكات المؤسسية | ⭐⭐⭐ |
🌍 منافذ HTTP: 80، 8080، 3128، 8118
🔵 المنفذ 80
منفذ HTTP القياسي — يستخدم لحركة مرور الويب غير المشفرة
✅ المزايا:
- مدعوم عالميًا
- لا يثير شبهات جدران الحماية
- توافق واسع
❌ العيوب:
- يتم حظره غالبًا في الشبكات المؤسسية
- غياب التشفير
- منفذ نظام (يتطلب صلاحيات الجذر)
🟡 المنفذ 8080
منفذ البروكسي HTTP الأكثر شيوعًا — بديل للمنفذ 80
✅ المزايا:
- المنفذ الأكثر استخدامًا لوكيل HTTP
- لا يتطلب امتيازات الجذر (root)
- مدعوم من جميع العملاء
- توافق جيد
❌ العيوب:
- قد يتم حظره بواسطة جدار الحماية
- يتم مسحه (Scanned) بواسطة الروبوتات بشكل متكرر
💡 توصية: استخدم 8080 كمنفذ افتراضي لوكيل HTTP
🟢 المنفذ 3128
منفذ Squid القياسي — يستخدم بواسطة خوادم الوكيل التي تخزن البيانات مؤقتًا (Caching proxies)
Squid هو البرنامج الأكثر شيوعًا لخوادم الوكيل، لذا أصبح المنفذ 3128 معيارًا فعليًا للتخزين المؤقت وإعادة التوجيه.
متى تستخدمه:
- الشبكات المؤسسية
- خوادم الوكيل المخزنة مؤقتًا
- مراقبة المحتوى
- حلول تعتمد على Squid
🟣 المنفذ 8118
منفذ Privoxy — يستخدم لتصفية المحتوى وإخفاء الهوية
Privoxy هو وكيل مزود بوظائف تصفية الإعلانات، وأجهزة التتبع، وحماية الخصوصية.
الميزات:
- تصفية الإعلانات
- حظر أجهزة التتبع
- تعديل رؤوس HTTP
- التكامل مع Tor
أمثلة على استخدام منافذ HTTP
أوامر Curl لمنافذ مختلفة:
# المنفذ 8080 (الأكثر شيوعًا)
curl -x http://proxy.example.com:8080 https://example.com
# المنفذ 3128 (Squid)
curl -x http://proxy.example.com:3128 https://example.com
# المنفذ 80 (HTTP القياسي)
curl -x http://proxy.example.com:80 https://example.com
# مع المصادقة
curl -x http://username:password@proxy:8080 https://example.com
🔒 منافذ HTTPS: 443، 8443
تستخدم وكلاء HTTPS تشفير SSL/TLS لحماية حركة المرور. في عام 2025، هذا هو المعيار للاتصالات الآمنة.
🔴 المنفذ 443
منفذ HTTPS القياسي — يستخدم لاتصالات HTTPS الآمنة
🎯 لماذا 443 هو الخيار الأفضل:
- يتنكر كحركة مرور HTTPS عادية — نادرًا ما يتم حظره بواسطة جدار الحماية
- أقصى توافق — يعمل في جميع الشبكات
- تجاوز فحص الحزم العميق (DPI) — أصعب في اكتشاف البروكسي
- الشبكات المؤسسية — لا يتم حظره عادةً
- تشفير SSL/TLS — أمان البيانات
💡 نصيحة 2025: استخدم المنفذ 443 لأقصى قدر من التخفي وتجاوز الحظر. يبدو كحركة مرور HTTPS عادية إلى موقع ويب.
🟠 المنفذ 8443
منفذ HTTPS بديل — للخدمات الإضافية التي تستخدم SSL
متى تستخدم 8443:
- المنفذ 443 مشغول بالفعل بخدمة أخرى
- الحاجة إلى فصل حركة المرور بين الخدمات
- بديل عند حظر المنفذ 443
- لوحات الإدارة
- بيئات الاختبار
⚠️ انتبه:
المنفذ 8443 أقل شيوعًا وقد يثير شبهات أنظمة جدار الحماية. استخدم 443 إذا كان ذلك ممكنًا.
طريقة HTTP CONNECT لوكلاء HTTPS
يستخدم وكيل HTTPS طريقة CONNECT لإنشاء نفق بين العميل والخادم الهدف. يتيح ذلك نقل حركة مرور SSL/TLS المشفرة عبر الوكيل.
مثال لطلب CONNECT:
CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=
# يستجيب الوكيل:
HTTP/1.1 200 Connection Established
# بعد ذلك يتم تشفير جميع حركة المرور بـ SSL/TLS
⚡ منافذ SOCKS: 1080، 1085
SOCKS (Socket Secure) هو بروتوكول وكيل عالمي يعمل على مستوى أدنى من HTTP. يدعم أي نوع من حركة المرور: HTTP، HTTPS، FTP، SMTP، P2P، الألعاب.
🔵 المنفذ 1080 — معيار SOCKS
تم حجز المنفذ 1080 بواسطة IANA (هيئة أرقام الإنترنت المخصصة) خصيصًا لوكلاء SOCKS. هذا هو المنفذ القياسي الرسمي.
✅ مزايا SOCKS5 على المنفذ 1080:
- الشمولية — يعمل مع أي بروتوكول (HTTP، FTP، SMTP، SSH، تورنت)
- دعم UDP — للألعاب، ومكالمات الفيديو، والبث (Streaming)
- المصادقة — دعم اسم المستخدم/كلمة المرور
- دعم IPv6 — العمل مع الشبكات الحديثة
- لا تعديل للبيانات — الوكيل يقوم ببساطة بإعادة توجيه الحزم
- عبء إضافي أقل — سرعة أعلى من وكيل HTTP
متى تستخدم SOCKS5:
| السيناريو | لماذا SOCKS5 |
|---|---|
| التورنت (Torrents) | بروتوكولات P2P لا تعمل عبر وكيل HTTP |
| الألعاب عبر الإنترنت | يتطلب دعم UDP وزمن انتقال منخفض |
| عملاء البريد الإلكتروني | دعم SMTP/IMAP/POP3 |
| FTP/SSH | بروتوكولات خارج نطاق HTTP |
| البث (Streaming) | UDP لتدفقات الفيديو/الصوت |
SOCKS4 مقابل SOCKS5
| الميزة | SOCKS4 | SOCKS5 |
|---|---|---|
| المصادقة | ❌ لا | ✅ اسم المستخدم/كلمة المرور |
| دعم UDP | ❌ TCP فقط | ✅ TCP و UDP |
| IPv6 | ❌ IPv4 فقط | ✅ IPv4 و IPv6 |
| تحليل DNS | ❌ العميل | ✅ الوكيل (DNS عن بعد) |
| الأمان | ⚠️ منخفض | ✅ عالٍ |
| السرعة | أسرع | أبطأ قليلاً |
| توصية 2025 | ❌ قديم | ✅ استخدمه |
مثال لإعداد SOCKS5:
# Curl مع SOCKS5
curl --socks5 proxy.example.com:1080 https://example.com
# مع المصادقة
curl --socks5 username:password@proxy:1080 https://example.com
# SSH عبر SOCKS5
ssh -o ProxyCommand='nc -x proxy:1080 %h %p' user@server
# Git عبر SOCKS5
git config --global http.proxy 'socks5://proxy:1080'
🎯 كيفية اختيار المنفذ الصحيح
مخطط انسيابي لاختيار المنفذ
❓ هل تحتاج إلى أقصى قدر من التخفي وتجاوز الحظر؟
← استخدم المنفذ 443 (HTTPS)
السبب: تبدو حركة المرور كحركة مرور HTTPS عادية، ولا يقوم جدار الحماية بالحظر، ولا يكتشف فحص الحزم العميق (DPI) البروكسي.
❓ هل تحتاج فقط إلى حركة مرور HTTP (كشط الويب، المتصفحات)؟
← استخدم المنفذ 8080 (HTTP)
السبب: المعيار لوكلاء HTTP، دعم واسع، لا يتطلب صلاحيات الجذر.
❓ هل تحتاج إلى تورنت، ألعاب، P2P، UDP؟
← استخدم المنفذ 1080 (SOCKS5)
السبب: بروتوكول شامل، دعم UDP، يعمل مع أي حركة مرور.
❓ شبكة مؤسسية تستخدم Squid؟
← استخدم المنفذ 3128 (Squid)
السبب: معيار لوكلاء Squid، التخزين المؤقت، التحكم في الوصول.
❓ هل المنافذ القياسية محظورة؟
← استخدم منافذ غير قياسية (10000+)
السبب: عادةً ما تحظر جدران الحماية المنافذ المعروفة فقط، وغير القياسية تمر.
🔐 أمان منافذ الوكيل
توصيات الأمان لعام 2025
🚨 ممارسات خطيرة:
- وكلاء مفتوحون بدون مصادقة — يمكن استخدامهم في الهجمات
- استخدام قائمة IP البيضاء فقط على IP عام — قد يتم تزوير IP
- وكيل HTTP بدون TLS — يتم نقل البيانات بشكل مفتوح
- كلمات مرور ضعيفة — يسهل تخمينها بواسطة الروبوتات
- منافذ ذات ثغرات معروفة — إصدارات قديمة من البرامج
✅ ممارسات آمنة:
- استخدم المصادقة دائمًا — اسم المستخدم/كلمة المرور أو قائمة IP البيضاء
- HTTPS على المنفذ 443 — تشفير حركة المرور SSL/TLS
- قواعد جدار الحماية — تقييد الوصول إلى منافذ الوكيل
- تحديد المعدل (Rate limiting) — حماية ضد هجمات DDoS والتخمين
- مراقبة السجلات — تتبع النشاط المشبوه
- التحديثات المنتظمة — تصحيح الثغرات الأمنية
- تغيير المنافذ — استخدم منافذ غير قياسية للتخفي
حماية المنافذ باستخدام iptables
السماح بالوصول من IP محدد فقط:
# السماح بالوصول إلى المنفذ 8080 فقط من 192.168.1.100
iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
# السماح بالوصول إلى منفذ SOCKS5 1080 من الشبكة الفرعية
iptables -A INPUT -p tcp --dport 1080 -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 1080 -j DROP
تحديد المعدل (Rate limiting) (حماية من التخمين):
# تحديد 10 اتصالات في الدقيقة للمنفذ 8080
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
🚧 المنافذ المحظورة وطرق التحايل
لماذا يتم حظر المنافذ
تقوم العديد من الشبكات المؤسسية ومزودي الخدمة والدول بحظر منافذ معينة للتحكم في حركة المرور أو للأمان أو للرقابة.
المنافذ المحظورة بشكل متكرر:
| المنفذ | البروتوكول | سبب الحظر |
|---|---|---|
| 8080 | وكيل HTTP | معروف كمنفذ وكيل، يتم حظره بواسطة جدار الحماية |
| 3128 | Squid | منفذ Squid القياسي، يسهل اكتشافه |
| 1080 | SOCKS | يستخدم لتجاوز الحظر |
| 9050 | Tor | منفذ Tor SOCKS، محظور في الدول التي تفرض الرقابة |
| 25 | SMTP | الحماية من البريد العشوائي (Spam) |
طرق التحايل على حظر المنافذ
1️⃣ استخدام المنفذ 443 (HTTPS)
الفعالية: 95% — نادرًا ما يتم حظر المنفذ 443، حيث يبدو كحركة مرور HTTPS عادية.
proxy.example.com:443
2️⃣ المنافذ العالية غير القياسية (10000+)
الفعالية: 80% — عادةً ما تحظر جدران الحماية المنافذ المعروفة فقط. المنافذ العالية غالبًا ما يتم تمريرها.
proxy.example.com:12345
proxy.example.com:40000
3️⃣ التنقل بين المنافذ (Port hopping)
الفعالية: 70% — قم بتغيير المنفذ بشكل دوري لتجنب الإدراج في القائمة السوداء.
4️⃣ النفق عبر SSH (المنفذ 22)
الفعالية: 90% — منفذ SSH 22 مفتوح عادةً. قم بإنشاء نفق SOCKS عبر SSH.
ssh -D 1080 -N user@proxy.example.com
🔄 إعادة توجيه المنافذ (Port Forwarding) للوكلاء
ما هو إعادة توجيه المنافذ
إعادة توجيه المنافذ (Port Forwarding) هي تقنية NAT (ترجمة عناوين الشبكة) تعيد توجيه حركة مرور الشبكة من منفذ خارجي على عنوان IP عام إلى عنوان IP داخلي ومنفذ محدد في الشبكة المحلية.
🎯 لماذا هو ضروري للوكلاء:
السيناريو: لديك خادم وكيل في شبكتك المحلية خلف جهاز توجيه (راوتر) يستخدم NAT. تريد أن يتمكن العملاء من الإنترنت من الاتصال بالوكيل الخاص بك.
الإنترنت → جهاز التوجيه (IP عام: 203.0.113.1)
↓ إعادة توجيه المنفذ: 8080 → 192.168.1.100:8080
الشبكة المحلية → خادم الوكيل (192.168.1.100:8080)
يتصل العملاء بـ 203.0.113.1:8080، ويقوم جهاز التوجيه بإعادة توجيه حركة المرور إلى 192.168.1.100:8080
إعداد إعادة توجيه المنافذ على جهاز التوجيه
📋 تعليمات خطوة بخطوة:
- افتح واجهة الويب لجهاز التوجيه — عادةً
192.168.1.1أو192.168.0.1 - سجل الدخول باستخدام اسم المستخدم وكلمة المرور الخاصة بالمسؤول
- ابحث عن قسم "Port Forwarding" أو "Virtual Server" أو "NAT"
- أنشئ قاعدة جديدة:
- اسم الخدمة: Proxy Server
- المنفذ الخارجي (External Port): 8080 (المنفذ من الإنترنت)
- IP الداخلي: 192.168.1.100 (IP خادم الوكيل)
- المنفذ الداخلي (Internal Port): 8080 (المنفذ على خادم الوكيل)
- البروتوكول: TCP (لـ HTTP/SOCKS)
- طبق الإعدادات وأعد تشغيل جهاز التوجيه
أمثلة لمنافذ الوكيل الشائعة:
# وكيل HTTP على المنفذ 8080
الخارجي: 8080/TCP → الداخلي: 192.168.1.100:8080
# وكيل HTTPS على المنفذ 443
الخارجي: 443/TCP → الداخلي: 192.168.1.100:443
# SOCKS5 على المنفذ 1080
الخارجي: 1080/TCP → الداخلي: 192.168.1.100:1080
# Squid على المنفذ 3128
الخارجي: 3128/TCP → الداخلي: 192.168.1.100:3128
إعادة توجيه المنافذ عبر سطر الأوامر
Linux (iptables):
# تمكين إعادة توجيه IP
echo 1 > /proc/sys/net/ipv4/ip_forward
# إعادة توجيه المنفذ 8080 إلى الخادم الداخلي 192.168.1.100:8080
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:8080
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 8080 -j MASQUERADE
# حفظ القواعد
iptables-save > /etc/iptables/rules.v4
Windows (netsh):
# إعادة توجيه المنفذ 8080 إلى 192.168.1.100:8080
netsh interface portproxy add v4tov4 listenport=8080 listenaddress=0.0.0.0 connectport=8080 connectaddress=192.168.1.100
# عرض جميع عمليات إعادة التوجيه
netsh interface portproxy show all
# حذف إعادة التوجيه
netsh interface portproxy delete v4tov4 listenport=8080 listenaddress=0.0.0.0
⚠️ مخاطر أمان إعادة توجيه المنافذ:
- منافذ مفتوحة — يمكن للمهاجمين مسحها واستغلال الثغرات
- هجمات DDoS — وصول مباشر إلى الخادم من الإنترنت
- التخمين القسري (Bruteforce) — تخمين كلمات مرور الوكيل
- الاستغلال — استخدام الوكيل لأنشطة غير قانونية
الحل: استخدم دائمًا المصادقة، وقواعد جدار الحماية، ومراقبة حركة المرور!
🛡️ إعداد قواعد جدار الحماية
المبادئ الأساسية لجدار الحماية للوكلاء
🎯 مبدأ الامتيازات الأقل:
- إسقاط كل شيء افتراضيًا (default deny)
- السماح فقط بالمنافذ الضرورية
- تقييد الوصول حسب IP (قائمة بيضاء)
- تسجيل جميع الاتصالات
- مراجعة القواعد بانتظام
قواعد iptables لخادم الوكيل
الإعداد الأساسي:
#!/bin/bash
# مسح القواعد الحالية
iptables -F
iptables -X
# سياسات افتراضية: إسقاط كل شيء وارد
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# السماح بحلقة الإرجاع (loopback)
iptables -A INPUT -i lo -j ACCEPT
# السماح بالاتصالات المنشأة
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# السماح بـ SSH (إدارة الخادم)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# السماح بمنفذ وكيل HTTP 8080
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
# السماح بمنفذ وكيل HTTPS 443
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# السماح بمنفذ SOCKS5 1080
iptables -A INPUT -p tcp --dport 1080 -j ACCEPT
# حفظ القواعد
iptables-save > /etc/iptables/rules.v4
تقييد الوصول حسب IP (قائمة بيضاء):
# السماح فقط لـ IP محدد بالوصول إلى المنفذ 8080
iptables -A INPUT -p tcp --dport 8080 -s 203.0.113.50 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -s 198.51.100.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
# السماح بعناوين IP متعددة
for ip in 203.0.113.50 198.51.100.25 192.0.2.100; do
iptables -A INPUT -p tcp --dport 8080 -s $ip -j ACCEPT
done
iptables -A INPUT -p tcp --dport 8080 -j DROP
تحديد المعدل (Rate limiting) (حماية من DDoS):
# تحديد الاتصالات الجديدة بـ 10 في الدقيقة لكل IP
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
# تحديد إلى 100 اتصال متزامن
iptables -A INPUT -p tcp --dport 8080 -m connlimit --connlimit-above 100 -j REJECT --reject-with tcp-reset
# حماية من فيضان SYN
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
تسجيل محاولات الوصول المشبوهة:
# تسجيل الحزم المسقطة
iptables -A INPUT -j LOG --log-prefix "iptables-dropped: " --log-level 4
# تسجيل محاولات الوصول إلى الوكيل
iptables -A INPUT -p tcp --dport 8080 -j LOG --log-prefix "proxy-access: "
# عرض السجلات
tail -f /var/log/syslog | grep iptables
قواعد Windows Firewall
أوامر PowerShell:
# السماح بالدخول على المنفذ 8080
New-NetFirewallRule -DisplayName "Proxy HTTP" -Direction Inbound -LocalPort 8080 -Protocol TCP -Action Allow
# السماح بالدخول على المنفذ 443
New-NetFirewallRule -DisplayName "Proxy HTTPS" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow
# السماح بالدخول على المنفذ 1080 (SOCKS5)
New-NetFirewallRule -DisplayName "Proxy SOCKS5" -Direction Inbound -LocalPort 1080 -Protocol TCP -Action Allow
# السماح فقط لـ IP محدد
New-NetFirewallRule -DisplayName "Proxy Restricted" -Direction Inbound -LocalPort 8080 -Protocol TCP -Action Allow -RemoteAddress 203.0.113.50
# عرض جميع القواعد
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*Proxy*"}
قواعد UFW (جدار الحماية المبسط) لأوبونتو
إعداد بسيط:
# تفعيل UFW
sudo ufw enable
# سياسات افتراضية
sudo ufw default deny incoming
sudo ufw default allow outgoing
# السماح بـ SSH (مهم!)
sudo ufw allow 22/tcp
# السماح بمنافذ الوكيل
sudo ufw allow 8080/tcp comment 'HTTP Proxy'
sudo ufw allow 443/tcp comment 'HTTPS Proxy'
sudo ufw allow 1080/tcp comment 'SOCKS5'
# السماح من IP محدد فقط
sudo ufw allow from 203.0.113.50 to any port 8080 proto tcp
# السماح من شبكة فرعية
sudo ufw allow from 192.168.1.0/24 to any port 8080 proto tcp
# عرض الحالة
sudo ufw status verbose
🌐 تكوين NAT
أنواع NAT وتأثيرها على الوكيل
| نوع NAT | الوصف | للوكيل |
|---|---|---|
| Full Cone NAT | يمكن لأي مضيف خارجي إرسال حزم إلى IP الداخلي | ✅ ممتاز |
| Restricted Cone NAT | فقط المضيفون الذين أرسل إليهم المضيف الداخلي حزمًا | ✅ جيد |
| Port Restricted Cone NAT | يتحقق إضافيًا من منفذ المصدر | ⚠️ مقبول |
| Symmetric NAT | كل طلب إلى مضيف جديد يحصل على منفذ جديد | ❌ مشاكل |
تكوين SNAT و DNAT
SNAT (Source NAT) — تغيير عنوان المصدر:
# خادم الوكيل خلف NAT: نغير IP المصدر إلى IP الخارجي
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.1
# أو استخدم MASQUERADE لـ IP الديناميكي
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
DNAT (Destination NAT) — إعادة توجيه حركة المرور الواردة:
# إعادة توجيه حركة المرور الواردة إلى الوكيل الداخلي
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:8080
# لعدة منافذ
iptables -t nat -A PREROUTING -p tcp --dport 8080:8089 -j DNAT --to-destination 192.168.1.100
🔧 استكشاف أخطاء المنافذ وإصلاحها
المشكلات الشائعة والحلول
❌ المشكلة 1: لا يمكنني الاتصال بالوكيل
الأسباب المحتملة:
- المنفذ مغلق بواسطة جدار الحماية
- خادم الوكيل لا يعمل
- عنوان IP أو منفذ غير صحيح
- إعادة توجيه المنافذ غير مهيأة
- مزود الخدمة يحظر المنفذ
✅ الحلول:
# 1. التحقق مما إذا كان الوكيل يستمع على المنفذ
netstat -tulpn | grep 8080
ss -tulpn | grep 8080
# 2. التحقق من جدار الحماية
sudo iptables -L -n | grep 8080
sudo ufw status
# 3. التحقق من إمكانية الوصول إلى المنفذ من الخارج
telnet your-server-ip 8080
nc -zv your-server-ip 8080
# 4. التحقق من سجلات الوكيل
tail -f /var/log/squid/access.log
❌ المشكلة 2: المنفذ مشغول بالفعل (Address already in use)
✅ الحل:
# العثور على العملية التي تشغل المنفذ
sudo lsof -i :8080
sudo netstat -tulpn | grep :8080
# إنهاء العملية
sudo kill -9 PID
# أو تغيير منفذ الوكيل إلى منفذ متاح
sudo nano /etc/squid/squid.conf
# تغيير: http_port 8080 → http_port 8081
❌ المشكلة 3: بطء السرعة عبر الوكيل
الأسباب المحتملة:
- تحميل عالٍ على الخادم
- عرض نطاق ترددي غير كافٍ
- العديد من الاتصالات المتزامنة
- بطء في تحليل DNS
✅ الحلول:
- زيادة حدود الاتصال في إعدادات الوكيل
- تحسين معلمات TCP:
tcp_window_size - تمكين ذاكرة التخزين المؤقت لـ DNS
- تمكين اتصالات keep-alive
- توزيع الحمل على منافذ/خوادم متعددة
أوامر التشخيص
التحقق من المنافذ المفتوحة:
# Linux
sudo netstat -tulpn | grep LISTEN
sudo ss -tulpn | grep LISTEN
sudo lsof -i -P -n | grep LISTEN
# التحقق من منفذ محدد
sudo lsof -i :8080
# مسح المنافذ من الخارج
nmap -p 8080,443,1080 your-server-ip
# التحقق من اتصال TCP
telnet your-server-ip 8080
nc -zv your-server-ip 8080
Windows:
# عرض جميع المنافذ المستمعة
netstat -ano | findstr LISTENING
# التحقق من منفذ محدد
netstat -ano | findstr :8080
# Test-NetConnection
Test-NetConnection -ComputerName your-server -Port 8080
🔍 استكشاف أخطاء DNS وإصلاحها
مشاكل DNS الشائعة
❌ فشل تحليل DNS
التحقق:
# اختبار تحليل DNS
nslookup google.com
dig google.com
host google.com
# اختبار خادم DNS محدد
nslookup google.com 1.1.1.1
dig @1.1.1.1 google.com
الحلول:
- التحقق من /etc/resolv.conf
- مسح ذاكرة التخزين المؤقت لـ DNS
- تغيير DNS إلى 1.1.1.1
- التحقق من جدار الحماية (المنفذ 53)
❌ DNS بطيء
التحقق من السرعة:
# وقت طلب DNS
time dig google.com
# اختبار خوادم DNS
for dns in 1.1.1.1 8.8.8.8 9.9.9.9; do
echo "Testing $dns"
time dig @$dns google.com
done
الحلول:
- استخدام Cloudflare 1.1.1.1
- تمكين ذاكرة التخزين المؤقت لـ DNS (dnsmasq، unbound)
- إعداد DoH
- اختيار أقرب خادم DNS
❌ تم اكتشاف تسرب DNS
التحقق:
افتح dnsleaktest.com وقم بتشغيل الاختبار الموسع
الحلول:
- استخدام SOCKS5 مع تحليل DNS عن بعد (
socks5h://) - إعداد DNS يدويًا على 1.1.1.1
- تمكين DoH في المتصفح
- تعطيل IPv6 (إذا كان الوكيل لا يدعمه)
- حظر المنفذ 53 في جدار الحماية
- استخدام VPN مع حماية من تسرب DNS
✅ قائمة التحقق الأمني لعام 2025
قائمة التحقق الكاملة لخادم الوكيل
🔐 المنافذ:
- ☑️ استخدم المنافذ القياسية (8080، 443، 1080)
- ☑️ أو استخدم منافذ عالية غير قياسية (10000+) لتجاوز الحظر
- ☑️ إعداد قواعد جدار الحماية (السماح فقط بالمنافذ الضرورية)
- ☑️ تمكين تحديد المعدل (للحماية من DDoS)
- ☑️ تسجيل جميع الاتصالات
- ☑️ مسح المنافذ المفتوحة بانتظام
🌐 DNS:
- ☑️ استخدم Cloudflare DNS (1.1.1.1) أو Google DNS (8.8.8.8)
- ☑️ قم بتمكين DNS over HTTPS (DoH) في المتصفح
- ☑️ استخدم SOCKS5 مع تحليل DNS عن بعد
- ☑️ تعطيل IPv6 أو إعداد DNS لـ IPv6
- ☑️ اختبر بانتظام بحثًا عن تسرب DNS
- ☑️ تمكين التحقق من صحة DNSSEC
🛡️ المصادقة:
- ☑️ استخدم المصادقة دائمًا (اسم المستخدم/كلمة المرور أو قائمة IP البيضاء)
- ☑️ إعداد جدار الحماية — مبدأ الامتيازات الأقل
- ☑️ تحديد المعدل — حماية ضد DDoS والتخمين
- ☑️ المراقبة والتسجيل — تتبع النشاط المشبوه
- ☑️ التحديثات المنتظمة — تصحيح الثغرات الأمنية
🔒 التشفير:
- ☑️ استخدم وكيل HTTPS على المنفذ 443
- ☑️ شهادات SSL/TLS (Let's Encrypt)
- ☑️ تعطيل البروتوكولات القديمة (TLS 1.0، 1.1)
- ☑️ استخدام مجموعات تشفير حديثة
📊 المراقبة:
- ☑️ تسجيل جميع الاتصالات
- ☑️ مراقبة استخدام النطاق الترددي
- ☑️ تنبيهات حول النشاط المشبوه
- ☑️ تحليل السجلات بانتظام
- ☑️ مقاييس الأداء
🎯 أفضل الممارسات لعام 2025
توصيات الخبراء
💎 لأقصى درجات الأمان:
- استخدم HTTPS على المنفذ 443 — يتنكر كحركة مرور ويب عادية
- إعداد DNS over HTTPS — حماية من تسرب DNS
- تضمين قائمة IP البيضاء — IP الموثوق به فقط
- استخدام مصادقة قوية
- تحديث البرامج بانتظام وتصحيح الثغرات الأمنية
⚡ لأقصى سرعة:
- استخدم SOCKS5 على المنفذ 1080 — الحد الأدنى من العبء الإضافي
- إعداد ذاكرة تخزين مؤقت لـ DNS (dnsmasq، unbound)
- تمكين اتصالات keep-alive
- تحسين معلمات TCP
- استخدام HTTP/2 أو HTTP/3
🌍 لتجاوز الحظر:
- استخدم المنفذ 443 — نادرًا ما يتم حظره
- أو منافذ غير قياسية (10000+)
- إعداد DoH/DoT — تجاوز الرقابة على DNS
- تغيير المنافذ بشكل دوري (port hopping)
- استخدام تقنيات التعتيم (obfuscation)
🎮 للألعاب و P2P:
- استخدم SOCKS5 على المنفذ 1080 — دعم UDP
- تمكين تحليل DNS عن بعد — حماية الخصوصية
- إعداد إعادة توجيه المنافذ للاتصالات الواردة
- تحسين زمن الانتقال (latency) — اختيار أقرب خادم
- استخدام Full Cone NAT
🎓 الاستنتاجات والتوصيات
الاستنتاجات الرئيسية
📊 اختيار المنفذ:
- للتخفي: المنفذ 443 (HTTPS) — يبدو كحركة مرور ويب عادية
- لـ HTTP: المنفذ 8080 — معيار وكيل HTTP
- للشمولية: المنفذ 1080 (SOCKS5) — دعم أي حركة مرور
- للشبكات المؤسسية: المنفذ 3128 (Squid)
- عند الحظر: منافذ غير قياسية (10000+)
🌐 إعداد DNS:
- استخدم Cloudflare 1.1.1.1 — الأسرع والأكثر خصوصية
- قم بتمكين DNS over HTTPS — تشفير طلبات DNS
- SOCKS5 مع تحليل DNS عن بعد — يمنع تسرب DNS
- اختبر بانتظام — dnsleaktest.com
- تعطيل IPv6 — إذا كان الوكيل لا يدعمه
🛡️ الأمان:
- استخدم المصادقة دائمًا — اسم المستخدم/كلمة المرور أو قائمة IP البيضاء
- إعداد جدار الحماية — مبدأ الامتيازات الأقل
- تحديد المعدل — حماية ضد DDoS والتخمين
- المراقبة والتسجيل — تتبع النشاط المشبوه
- التحديثات المنتظمة — تصحيح الثغرات الأمنية
ما الجديد في عام 2025؟
- أصبح DNS over HTTPS معيارًا — جميع المتصفحات الحديثة تدعمه
- أصبح IPv6 إلزاميًا — يجب أن يدعم الوكلاء IPv6
- تشديد الحظر — يقوم مزودو الخدمة بنشاط بحظر منافذ الوكيل القياسية
- هجمات DDoS القائمة على الذكاء الاصطناعي — تتطلب حماية متقدمة
- بنية الثقة الصفرية (Zero Trust) — المصادقة على كل طلب
- HTTP/3 و QUIC — بروتوكولات جديدة لسرعة عالية
🎁 ProxyCove: وكلاء حديثون بمنافذ و DNS صحيحة
لماذا ProxyCove هو الخيار الأفضل في عام 2025:
- ✅ جميع المنافذ الشائعة: HTTP (8080، 3128)، HTTPS (443، 8443)، SOCKS5 (1080)
- ✅ الحماية من تسرب DNS: تحليل DNS عن بعد، دعم DoH
- ✅ مصادقة مرنة: اسم المستخدم/كلمة المرور أو قائمة IP البيضاء
- ✅ سرعة عالية: خوادم مُحسَّنة في أكثر من 50 دولة
- ✅ دعم IPv6: بروتوكولات حديثة
- ✅ مراقبة 24/7: ضمان وقت تشغيل 99.9%
- ✅ حماية من DDoS: أمان على مستوى الشركات (Enterprise-level)
💰 أسعار شفافة لعام 2025:
| نوع الوكيل | السعر لكل جيجابايت | الأفضل لـ |
|---|---|---|
| Datacenter | $1.5/GB | الكشط، تحسين محركات البحث، الأتمتة |
| Residential | $2.7/GB | الشبكات الاجتماعية، التجارة الإلكترونية |
| Mobile | $3.8/GB | تطبيقات الهاتف المحمول، الحماية من الحظر |
🎉 مكافأة حصرية للقراء!
استخدم رمز الترويج ARTHELLO واحصل على رصيد إضافي بقيمة $1.3 عند التسجيل!
📚 ملخص: 3 نصائح رئيسية لعام 2025
- استخدم المنفذ 443 (HTTPS) لأقصى قدر من التخفي وتجاوز الحظر — يتنكر كحركة مرور ويب عادية
- قم بإعداد DNS over HTTPS باستخدام Cloudflare 1.1.1.1 — حماية من تسرب DNS والرقابة على مستوى DNS
- استخدم المصادقة وجدار الحماية دائمًا — الأمان أولاً، بدون تنازلات
شكرًا للقراءة! أنت الآن تعرف كل شيء عن المنافذ و DNS لخوادم الوكيل في عام 2025. طبق هذه المعرفة عمليًا واستمتع بإنترنت آمن وسريع عبر الوكيل! 🚀