Назад к блогу
RUENESZHARPTDEFRJAKOITTRIDVIFAHI

Настройка прокси для локальной сети: Корпоративное использование

Пример: Компания "Альфа" с 200 сотрудниками установила Squid прокси и снизила потребление интернет-канала на 35% за счет кэширования. Экономия: $450/месяц.

📅13 ноября 2025 г.

🌐 Что такое прокси-сервер для локальной сети

Прокси-сервер для локальной сети — это промежуточный сервер, который размещается внутри вашей корпоративной или домашней сети и обеспечивает доступ всех устройств в сети к интернету через единую точку контроля.

Как это работает:

  1. Пользователь (компьютер, смартфон, планшет) в локальной сети отправляет запрос
  2. Прокси-сервер (192.168.1.100:3128) принимает запрос и проверяет правила доступа
  3. Прокси отправляет запрос в интернет от своего имени
  4. Сервер в интернете отвечает прокси-серверу
  5. Прокси передает ответ обратно пользователю

💡 Простая аналогия

Представьте офис с одним секретарём. Все сотрудники передают запросы через секретаря, а не звонят напрямую. Секретарь контролирует, кому можно звонить, записывает все звонки в журнал, может заблокировать нежелательные номера. Прокси-сервер — это и есть такой "секретарь" для всей вашей локальной сети.

❓ Зачем нужен локальный прокси-сервер

🔒

Контроль доступа

Централизованное управление доступом к интернет-ресурсам. Блокировка соцсетей в рабочее время, запрет на торренты, фильтрация по категориям сайтов.

📊

Мониторинг трафика

Детальная статистика: кто, когда, какие сайты посещал, сколько трафика потратил. Отчеты по пользователям и отделам. Выявление утечек данных.

💾

Кэширование

Сохранение часто запрашиваемых файлов на прокси-сервере. Экономия интернет-канала до 40%, ускорение загрузки обновлений Windows, антивирусных баз.

🛡️

Безопасность

Защита от вредоносных сайтов, фишинга, вирусов. Сканирование загружаемых файлов. Блокировка рекламы и трекеров на уровне сети.

💰

Экономия

Снижение расходов на интернет за счет кэширования и контроля. Один канал вместо нескольких. Контроль лимитов для пользователей.

🌍

Обход блокировок

Доступ к заблокированным ресурсам через внешние прокси. Настройка цепочки прокси для обхода региональных ограничений.

🎯 Сценарии использования локального прокси

🏢 Корпоративная сеть (50-500 сотрудников)

  • Контроль продуктивности: Блокировка соцсетей, YouTube, игровых сайтов в рабочее время
  • Безопасность: Фильтрация вредоносных сайтов, проверка загружаемых файлов
  • Отчетность: Детальные логи для службы безопасности и IT-отдела
  • Экономия: Кэширование обновлений Windows, Office, антивирусов

Пример: Компания "Альфа" с 200 сотрудниками установила Squid прокси и снизила потребление интернет-канала на 35% за счет кэширования. Экономия: $450/месяц.

🏫 Образовательные учреждения

  • Защита детей: Блокировка контента 18+, насилия, азартных игр
  • Контроль доступа: Разные правила для преподавателей и учеников
  • Расписание: Доступ к YouTube только на уроках информатики
  • Отчеты для администрации: Мониторинг активности учащихся

🏠 Домашняя сеть

  • Родительский контроль: Ограничение доступа детей к определенным сайтам
  • Блокировка рекламы: Избавление от рекламы на всех устройствах в сети
  • Безопасность IoT: Контроль трафика умных устройств (камеры, TV, колонки)
  • Экономия трафика: Актуально для мобильного интернета с лимитами

🧪 Тестирование и разработка

  • Перехват трафика: Анализ API-запросов мобильных приложений
  • Замена ответов: Тестирование приложения с измененными данными от сервера
  • Имитация медленного интернета: Throttling для тестирования на 3G
  • SSL-инспекция: Анализ HTTPS-трафика для отладки

🔧 Типы локальных прокси-серверов

📡 HTTP/HTTPS прокси

Назначение: Проксирование веб-трафика (браузеры, приложения)

Примеры: Squid, Apache Traffic Server, nginx

Особенности:
✅ Кэширование контента
✅ Фильтрация по URL
✅ Модификация заголовков

🔌 SOCKS прокси

Назначение: Универсальное проксирование любого TCP/UDP трафика

Примеры: Dante, Shadowsocks, 3proxy

Особенности:
✅ Работает с любым протоколом
✅ Поддержка UDP (SOCKS5)
✅ Минимальная задержка

🪟 Transparent прокси

Назначение: Невидимое проксирование без настройки на клиентах

Примеры: Squid в transparent режиме + iptables

Особенности:
✅ Не нужна настройка клиентов
✅ Перехват на уровне маршрутизатора
⚠️ Сложнее с HTTPS

🔗 Reverse прокси

Назначение: Балансировка нагрузки и защита веб-серверов

Примеры: nginx, HAProxy, Apache mod_proxy

Особенности:
✅ Распределение нагрузки
✅ SSL termination
✅ Защита от DDoS

🏗️ Архитектура локальной сети с прокси-сервером

Типовая схема корпоративной сети

┌─────────────────────────────────────────────────┐
│           🌐 ИНТЕРНЕТ                           │
└────────────────┬────────────────────────────────┘
                 │
         ┌───────▼────────┐
         │  🛡️ Firewall   │  (Защита периметра)
         │  192.168.0.1   │
         └───────┬────────┘
                 │
         ┌───────▼────────┐
         │ 🔄 Router       │  (Маршрутизация)
         │ 192.168.1.1     │
         └───────┬────────┘
                 │
    ┌────────────┼────────────┐
    │            │            │
┌───▼────┐  ┌───▼────┐  ┌───▼────┐
│ 💻 PC1 │  │ 💻 PC2 │  │ 📱 Phone│
│.10     │  │.11     │  │.12      │
└────────┘  └────────┘  └─────────┘
    │            │            │
    └────────────┼────────────┘
                 │ (Все запросы идут через прокси)
         ┌───────▼────────┐
         │ 🔧 PROXY       │  (Squid/CCProxy)
         │ 192.168.1.100  │  Port: 3128
         │ + Кэш (500GB)  │
         │ + Логи         │
         │ + Фильтры      │
         └────────────────┘

Как работает схема:

  1. Пользователь (PC1) настраивает в браузере прокси: 192.168.1.100:3128
  2. Запрос идет на прокси-сервер, а не напрямую в интернет
  3. Прокси проверяет правила доступа (разрешен ли этот сайт)
  4. Прокси запрашивает контент от имени пользователя
  5. Прокси кэширует ответ и передает его пользователю
  6. При повторном запросе прокси отдает данные из кэша (мгновенно)

⚠️ Важные моменты архитектуры

  • Отказоустойчивость: Если прокси упал, доступ к интернету у всех пропадает (решение: резервный прокси)
  • Производительность: Прокси должен обрабатывать весь трафик сети (минимум 4 ядра CPU, 8GB RAM для 100 пользователей)
  • Хранилище: Для кэша нужен быстрый SSD диск (рекомендуется 500GB+ для 100-200 пользователей)
  • Bandwidth: Сетевая карта прокси должна быть не медленнее интернет-канала (Gigabit Ethernet минимум)

⚖️ Преимущества и недостатки локального прокси

✅ ПРЕИМУЩЕСТВА

🎯 Централизованный контроль

Одна точка управления для всей сети. Изменения применяются мгновенно ко всем пользователям без настройки каждого устройства.

📊 Детальная аналитика

Все запросы логируются. Вы видите: кто, когда, какой сайт посетил, сколько трафика потратил. Идеально для аудита и оптимизации.

💰 Экономия канала

Кэширование может снизить потребление интернета на 30-40%. Особенно эффективно для обновлений ОС, антивирусов, популярных сайтов.

🛡️ Защита сети

Блокировка вредоносных сайтов, фишинга, вирусов на уровне прокси. Дополнительный уровень защиты помимо антивируса на компьютерах.

🔒 Скрытие внутренней структуры

Все запросы идут с IP прокси-сервера. Внешний мир не видит реальные IP-адреса рабочих станций.

❌ НЕДОСТАТКИ

⚠️ Единая точка отказа

Если прокси-сервер выходит из строя, вся сеть теряет доступ к интернету. Решение: резервный сервер или автоматический bypass.

🐌 Возможное снижение скорости

При недостаточной производительности сервера возможны задержки. Нужно правильно подбирать железо под количество пользователей.

🔧 Сложность настройки

Требуется квалифицированный системный администратор. Настройка Squid, правил фильтрации, SSL-инспекции — не для новичков.

💾 Требования к ресурсам

Нужен выделенный сервер с хорошим железом и большим диском для кэша. Для 200 пользователей: 8-16GB RAM, 500GB+ SSD.

👁️ Проблемы с HTTPS

Для инспекции HTTPS нужна установка корневого сертификата на все устройства. Некоторые приложения могут не работать.

💡 Вывод

Локальный прокси-сервер — must-have для корпоративных сетей от 20+ пользователей. Преимущества в виде контроля, безопасности и экономии значительно перевешивают сложности настройки и обслуживания. Для домашней сети целесообразно при наличии технических навыков и специфических задач (родительский контроль, блокировка рекламы).

Нужны готовые прокси для вашего бизнеса?

Вместо настройки собственного сервера используйте готовые решения от ProxyCove!
Зарегистрируйтесь с промокодом ARTHELLO и получите +$1.3 в подарок!

📖 Продолжение читайте в Части 2: Пошаговая установка и настройка Squid, CCProxy, 3proxy для Windows и Linux

Установка Squid прокси-сервера

Часть 2: Пошаговая настройка Squid для Ubuntu/Debian/CentOS. Аутентификация, фильтрация сайтов, кэширование, настройка клиентов.

Продолжение серии | Время чтения: 15 минут

📦 Установка Squid прокси-сервера

🐧 Установка на Ubuntu/Debian

# Обновляем систему
sudo apt update && sudo apt upgrade -y

# Устанавливаем Squid
sudo apt install squid -y

# Проверяем версию
squid -v
# Squid Cache: Version 5.2

# Проверяем статус службы
sudo systemctl status squid

# Включаем автозапуск
sudo systemctl enable squid

🎩 Установка на CentOS/RHEL/Rocky Linux

# Устанавливаем Squid
sudo dnf install squid -y

# Или для старых версий CentOS
sudo yum install squid -y

# Запускаем службу
sudo systemctl start squid

# Включаем автозапуск
sudo systemctl enable squid

# Открываем порт в firewall
sudo firewall-cmd --permanent --add-port=3128/tcp
sudo firewall-cmd --reload

📂 Важные файлы и директории

Файл/Директория Назначение
/etc/squid/squid.conf Основной файл конфигурации
/var/log/squid/access.log Логи доступа (все запросы)
/var/log/squid/cache.log Логи работы сервиса
/var/spool/squid/ Директория кэша
/etc/squid/blocked_sites.txt Список заблокированных сайтов (создаём вручную)

⚙️ Базовая конфигурация Squid

⚠️ Важно перед началом

Перед редактированием конфига всегда делайте резервную копию:
sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.backup

Минимальная рабочая конфигурация

# /etc/squid/squid.conf

# Порт прокси-сервера
http_port 3128

# Определяем локальную сеть
acl localnet src 192.168.1.0/24

# Разрешаем доступ из локальной сети
http_access allow localnet

# Запрещаем всё остальное
http_access deny all

# Размер кэша в памяти (256 MB)
cache_mem 256 MB

# Директория и размер кэша на диске (10 GB)
cache_dir ufs /var/spool/squid 10000 16 256

# Максимальный размер кэшируемого файла
maximum_object_size 100 MB

# Имя хоста для логов
visible_hostname proxy.company.local

# Формат логов (расширенный)
logformat combined %>a %[ui %[un [%tl] "%rm %ru HTTP/%rv" %>Hs %h" "%{User-Agent}>h"
access_log /var/log/squid/access.log combined

# Email администратора (показывается при ошибках)
cache_mgr admin@company.local

Применение конфигурации

# Проверяем конфигурацию на ошибки
sudo squid -k parse

# Если ошибок нет, перезапускаем Squid
sudo systemctl restart squid

# Проверяем статус
sudo systemctl status squid

# Смотрим логи в реальном времени
sudo tail -f /var/log/squid/access.log

🔐 Аутентификация пользователей

Аутентификация позволяет контролировать доступ по логину/паролю и вести статистику по пользователям.

Создание файла с пользователями

# Устанавливаем утилиту htpasswd
sudo apt install apache2-utils -y

# Создаём файл паролей
sudo touch /etc/squid/passwords

# Добавляем пользователя ivan (будет запрошен пароль)
sudo htpasswd /etc/squid/passwords ivan

# Добавляем ещё пользователей
sudo htpasswd /etc/squid/passwords maria
sudo htpasswd /etc/squid/passwords admin

# Устанавливаем правильные права доступа
sudo chown proxy:proxy /etc/squid/passwords
sudo chmod 640 /etc/squid/passwords

# Проверяем содержимое
sudo cat /etc/squid/passwords
# ivan:$apr1$xyz...
# maria:$apr1$abc...
# admin:$apr1$def...

Настройка squid.conf для аутентификации

# Добавляем в /etc/squid/squid.conf

# Настройка Basic-аутентификации
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwords
auth_param basic realm Proxy Server Authentication
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on

# Создаём ACL для авторизованных пользователей
acl authenticated proxy_auth REQUIRED

# Разрешаем доступ только авторизованным
http_access allow authenticated

# Показываем имя пользователя в логах
logformat authenticated %{%Y-%m-%d %H:%M:%S}tl %>a %un "%rm %ru" %>Hs %

Применяем изменения:

sudo squid -k parse && sudo systemctl restart squid

✅ Проверка аутентификации

Теперь при попытке использовать прокси браузер запросит логин и пароль. Формат для настройки:

http://ivan:password123@192.168.1.100:3128

🚫 Фильтрация сайтов и контента

🔒 Блокировка сайтов по доменам

Шаг 1: Создаём файл со списком блокируемых доменов 

# Создаём файл
sudo nano /etc/squid/blocked_sites.txt

# Добавляем домены (по одному на строку)
.facebook.com
.vk.com
.instagram.com
.tiktok.com
.youtube.com
.reddit.com
casino
betting
porn
xxx

# Точка в начале означает блокировку всех поддоменов
# facebook.com, www.facebook.com, m.facebook.com — все заблокированы

Шаг 2: Добавляем правила в squid.conf 

# Определяем ACL с заблокированными сайтами
acl blocked_sites dstdomain "/etc/squid/blocked_sites.txt"

# Запрещаем доступ к этим сайтам
http_access deny blocked_sites

# Показываем красивую страницу ошибки
deny_info ERR_BLOCKED_SITE blocked_sites

⏰ Блокировка по расписанию

Блокировка соцсетей только в рабочие часы (9:00-18:00, пн-пт): 

# Определяем рабочее время
acl work_hours time MTWHF 09:00-18:00

# Список соцсетей
acl social_networks dstdomain .facebook.com .vk.com .instagram.com

# Блокируем соцсети только в рабочее время
http_access deny social_networks work_hours

# Вне рабочего времени — разрешаем
http_access allow social_networks

📊 Блокировка по типам файлов

# Блокируем торренты, видео, exe-файлы
acl blocked_files urlpath_regex -i \.torrent$ \.exe$ \.msi$ \.mp4$ \.mkv$ \.avi$

http_access deny blocked_files

# Блокируем по MIME-типам
acl video_content rep_mime_type video/mpeg video/x-msvideo video/mp4
http_reply_access deny video_content

💾 Настройка кэширования

Правильная настройка кэша может снизить потребление интернет-канала на 30-40%.

Оптимальная конфигурация кэша

# Размер кэша в оперативной памяти (512 MB)
cache_mem 512 MB

# Кэш на диске: 50GB, 32 директории первого уровня, 256 второго
cache_dir ufs /var/spool/squid 50000 32 256

# Минимальный и максимальный размер кэшируемого объекта
minimum_object_size 0 KB
maximum_object_size 500 MB

# Максимальный размер объекта в памяти
maximum_object_size_in_memory 512 KB

# Срок хранения кэша
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

# Кэшируем обновления Windows (экономия до 40% трафика!)
refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims

# Кэшируем популярные файлы дольше
refresh_pattern -i \.(jpg|jpeg|png|gif|bmp|webp)$ 1440 90% 10080
refresh_pattern -i \.(pdf|doc|docx|xls|xlsx)$ 1440 80% 10080
refresh_pattern -i \.(js|css)$ 720 50% 4320

Инициализация кэша после настройки:

sudo squid -z
sudo systemctl restart squid

📊 Статистика кэша

# Смотрим статистику кэша
squidclient -p 3128 mgr:info | grep "Hit Ratio"

# Очищаем весь кэш
sudo systemctl stop squid
sudo rm -rf /var/spool/squid/*
sudo squid -z
sudo systemctl start squid

💻 Настройка клиентов для работы с прокси

🪟 Windows

  1. Открываем Параметры → Сеть и Интернет → Прокси-сервер
  2. Включаем "Использовать прокси-сервер"
  3. Адрес: 192.168.1.100
  4. Порт: 3128
  5. Нажимаем "Сохранить"

🍎 macOS

  1. Открываем Настройки → Сеть
  2. Выбираем активное подключение (Wi-Fi/Ethernet)
  3. Нажимаем "Дополнительно" → вкладка "Прокси"
  4. Ставим галочку "Веб-прокси (HTTP)"
  5. Сервер: 192.168.1.100:3128
  6. Нажимаем "ОК" → "Применить"

🌐 Google Chrome / Edge

Chrome использует системные настройки прокси, но можно запустить с параметром: 

# Windows
"C:\Program Files\Google\Chrome\Application\chrome.exe" --proxy-server="192.168.1.100:3128"

# Linux
google-chrome --proxy-server="192.168.1.100:3128"

# С аутентификацией
--proxy-server="http://user:password@192.168.1.100:3128"

🦊 Firefox

  1. Открываем Настройки → Основные → Параметры сети
  2. Выбираем "Ручная настройка прокси"
  3. HTTP-прокси: 192.168.1.100 порт 3128
  4. ✅ Ставим галочку "Использовать этот прокси-сервер для всех протоколов"
  5. Нажимаем "ОК"

🐧 Linux (системный прокси)

# Добавляем в ~/.bashrc или /etc/environment
export http_proxy="http://192.168.1.100:3128"
export https_proxy="http://192.168.1.100:3128"
export ftp_proxy="http://192.168.1.100:3128"

# С аутентификацией
export http_proxy="http://user:password@192.168.1.100:3128"

# Применяем изменения
source ~/.bashrc

# Проверяем
curl -I http://google.com

Нужны готовые прокси без сложной настройки?

Забудьте про Squid, конфиги и администрирование — используйте ProxyCove!
Готовые прокси с панелью управления. Регистрация с промокодом ARTHELLO = +$1.3 бонус

📖 Продолжение в Части 3: CCProxy и 3proxy для Windows, SSL-инспекция, мониторинг и troubleshooting

Прокси для Windows и мониторинг

Часть 3: CCProxy и 3proxy для Windows Server. SSL-инспекция, мониторинг трафика, решение проблем.

Финальная часть | Время чтения: 12 минут

🪟 CCProxy для Windows Server

CCProxy — популярное коммерческое решение для Windows с графическим интерфейсом. Идеально для администраторов, которые не хотят разбираться с командной строкой.

📥 Установка CCProxy

  1. Скачиваем с официального сайта: www.youngzsoft.net
  2. Запускаем установщик ccproxysetup.exe
  3. Выбираем директорию установки (по умолчанию C:\Program Files\CCProxy)
  4. После установки запускаем CCProxy от имени администратора
  5. При первом запуске выбираем сетевой адаптер для прокси

💰 Стоимость лицензий (2025):

  • Free: до 3 пользователей (для тестирования)
  • Standard: $199 (до 100 пользователей)
  • Enterprise: $399 (до 500 пользователей)
  • Unlimited: $799 (без ограничений)

⚙️ Базовая настройка CCProxy

1. Настройка портов

  • Меню Options → Advanced → Network
  • HTTP Port: 808 (или стандартный 3128)
  • SOCKS Port: 1080
  • ✅ Включаем нужные протоколы (HTTP, HTTPS, SOCKS, FTP)

2. Добавление пользователей

  • Меню Account → New
  • Указываем логин: ivan
  • Пароль: SecurePass123
  • Разрешенные IP (опционально): 192.168.1.50
  • Лимит скорости: 10 Mbps
  • Квота трафика: 50 GB/месяц

3. Фильтрация сайтов

  • Меню Options → Filter → Web Filter
  • Вкладка Banned Websites
  • Добавляем домены по одному или импортируем список
  • Примеры: *.facebook.com, *.gambling.*
  • ✅ Enable Web Filter

4. Кэширование

  • Меню Options → Advanced → Cache
  • ✅ Enable Cache
  • Cache Directory: D:\CCProxyCache
  • Max Cache Size: 50 GB
  • Cache Time: 7 days

✅ Преимущества CCProxy

  • ✅ Графический интерфейс — настройка за 5 минут
  • ✅ Встроенная статистика в реальном времени
  • ✅ Управление пользователями с квотами и лимитами
  • ✅ Фильтрация сайтов по категориям
  • ✅ Поддержка HTTP, HTTPS, SOCKS4/5, FTP, SMTP
  • ❌ Платная лицензия (от $199)
  • ❌ Только для Windows

🔧 3proxy — бесплатная альтернатива

3proxy — мощный бесплатный прокси-сервер с открытым исходным кодом. Работает на Windows и Linux.

📥 Установка 3proxy на Windows

  1. Скачиваем: github.com/3proxy/3proxy/releases
  2. Распаковываем в C:\3proxy
  3. Создаём конфигурационный файл 3proxy.cfg
  4. Устанавливаем как службу Windows

Пример конфигурации 3proxy.cfg:

# Демон режим
daemon

# Лог-файлы
log C:\3proxy\logs\3proxy.log D
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"

# Пользователи (username:password)
users ivan:CL:SecurePass123
users maria:CL:Pass456

# Разрешаем локальную сеть
allow * 192.168.1.0/24

# HTTP прокси на порту 3128
auth strong
proxy -p3128 -a

# SOCKS5 прокси на порту 1080
socks -p1080 -a

Установка как службы Windows:

cd C:\3proxy
3proxy.exe --install
net start 3proxy

🔐 Дополнительные настройки безопасности

# Ограничение скорости (1 MB/s на пользователя)
bandlimin 1024000

# Тайм-аут соединений
timeouts 10 30 30 60 180 1800 15 60

# Максимум соединений от одного IP
maxconn 50

# Блокировка доменов
deny * * *.facebook.com *
deny * * *.gambling.* *

# Разрешение только определенных портов
allow * * * 80,443,21,22

🔒 SSL-инспекция HTTPS трафика

⚠️ Что такое SSL-инспекция

По умолчанию прокси видит только домен HTTPS-запроса, но не его содержимое. SSL-инспекция позволяет прокси расшифровывать HTTPS-трафик для фильтрации и мониторинга. Для этого прокси выступает посредником с собственным SSL-сертификатом.

Настройка SSL-инспекции в Squid

Шаг 1: Генерация CA-сертификата

# Создаём директорию для сертификатов
sudo mkdir -p /etc/squid/ssl_cert
cd /etc/squid/ssl_cert

# Генерируем приватный ключ
sudo openssl genrsa -out squid-ca-key.pem 4096

# Создаём корневой сертификат
sudo openssl req -new -x509 -days 3650 -key squid-ca-key.pem \
  -out squid-ca-cert.pem -utf8 \
  -subj "/CN=Squid Proxy CA/O=Company Name/C=RU"

# Объединяем в один файл
sudo cat squid-ca-cert.pem squid-ca-key.pem > squid-ca.pem

# Устанавливаем права
sudo chown -R proxy:proxy /etc/squid/ssl_cert
sudo chmod 400 squid-ca.pem

Шаг 2: Настройка squid.conf

# HTTPS порт с SSL Bump
https_port 3129 intercept ssl-bump \
  cert=/etc/squid/ssl_cert/squid-ca.pem \
  generate-host-certificates=on \
  dynamic_cert_mem_cache_size=16MB

# SSL Bump правила
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all

# Директория для динамических сертификатов
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 16MB

# Инициализация базы сертификатов
# sudo /usr/lib/squid/security_file_certgen -c -s /var/lib/ssl_db
# sudo chown -R proxy:proxy /var/lib/ssl_db

Шаг 3: Установка сертификата на клиентах

Копируем squid-ca-cert.pem на все компьютеры и устанавливаем в доверенные корневые ЦС:

  • Windows: Двойной клик → Установить сертификат → Доверенные корневые ЦС
  • macOS: Двойной клик → Связка ключей → Всегда доверять
  • Linux: sudo cp squid-ca-cert.pem /usr/local/share/ca-certificates/ && sudo update-ca-certificates

⚠️ Юридические аспекты

Важно: SSL-инспекция может нарушать конфиденциальность. Перед внедрением:
✅ Уведомите сотрудников о мониторинге (требование ТК РФ)
✅ Пропишите правила в локальных актах компании
✅ Не расшифровывайте банковские, медицинские сайты
✅ Храните логи в защищенном месте

📊 Мониторинг и анализ логов

Популярные инструменты мониторинга

SARG (Squid Analysis Report Generator)

Генерирует HTML-отчеты по логам Squid: топ сайтов, пользователей, использование трафика. 

sudo apt install sarg -y
sudo sarg
# Отчет в /var/www/html/squid-reports/

Lightsquid

Легкий Perl-скрипт для визуализации статистики Squid в реальном времени. 

sudo apt install lightsquid -y
# Веб-интерфейс:
# http://192.168.1.100/lightsquid

Полезные команды для анализа логов

# Топ-10 посещаемых сайтов
awk '{print $7}' /var/log/squid/access.log | sort | uniq -c | sort -rn | head -10

# Топ-10 пользователей по трафику
awk '{user[$8] += $5} END {for (u in user) print u, user[u]}' \
  /var/log/squid/access.log | sort -k2 -rn | head -10

# Количество запросов по часам
awk '{print $1}' /var/log/squid/access.log | cut -d: -f2 | sort | uniq -c

# Поиск запросов конкретного пользователя
grep "ivan" /var/log/squid/access.log | tail -50

# Статистика по кэшу (HIT/MISS)
awk '{print $4}' /var/log/squid/access.log | sort | uniq -c

# Мониторинг логов в реальном времени
tail -f /var/log/squid/access.log | grep --color "TCP_DENIED"

🔧 Решение типичных проблем

❌ Проблема: Прокси не запускается

Решение:

# Проверяем синтаксис конфигурации
sudo squid -k parse

# Смотрим логи ошибок
sudo tail -f /var/log/squid/cache.log

# Проверяем права на директории
sudo chown -R proxy:proxy /var/log/squid /var/spool/squid

❌ Проблема: Клиенты не могут подключиться

Решение:

  • Проверяем firewall: sudo ufw allow 3128/tcp
  • Проверяем что Squid слушает правильный интерфейс: netstat -tlnp | grep 3128
  • Проверяем ACL в squid.conf (правильно ли указана подсеть)

❌ Проблема: Медленная работа / высокая нагрузка

Решение:

  • Увеличиваем cache_mem (минимум 512MB)
  • Переносим кэш на быстрый SSD диск
  • Ограничиваем максимум соединений: http_access deny all maxconn 100
  • Увеличиваем количество потоков: workers 4

❌ Проблема: Некоторые сайты не открываются

Решение:

  • Проверяем логи: tail -f /var/log/squid/access.log | grep DENIED
  • Отключаем SSL Bump для проблемных сайтов (банки, медицина)
  • Добавляем исключения в ACL для белого списка

❌ Проблема: Кэш не работает

Решение:

# Проверяем статистику кэша
squidclient -p 3128 mgr:info | grep "Request Hit Ratios"

# Если видим 0% - проверяем права на директорию кэша
ls -la /var/spool/squid/

# Пересоздаём структуру кэша
sudo systemctl stop squid
sudo rm -rf /var/spool/squid/*
sudo squid -z
sudo systemctl start squid

🎯 Выводы и рекомендации

✅ Когда стоит внедрять локальный прокси

  • Офис от 20+ сотрудников — контроль доступа и мониторинг окупаются
  • Лимитированный интернет-канал — кэширование экономит до 40% трафика
  • Требования безопасности — фильтрация вредоносных сайтов, защита от утечек
  • Необходимость отчетности — логи для службы безопасности, HR, руководства
  • Образовательные учреждения — защита детей, контроль доступа учеников

❌ Когда локальный прокси избыточен

  • Малый офис (до 10 человек) — слишком высокие затраты на администрирование
  • Отсутствие IT-специалиста — некому обслуживать и мониторить систему
  • Безлимитный скоростной интернет — кэширование не даст существенной выгоды
  • Работа с конфиденциальными данными — SSL-инспекция может нарушать комплаенс

🔧 Рекомендации по выбору решения

Выбирайте Squid (Linux), если:

  • Есть Linux-администратор в штате
  • Нужна максимальная производительность
  • Бюджет ограничен (бесплатное решение)
  • Требуется гибкая настройка через конфиги

Выбирайте CCProxy (Windows), если:

  • Инфраструктура полностью на Windows Server
  • Нужен графический интерфейс без командной строки
  • Есть бюджет на лицензии ($199-$799)
  • Требуется быстрое развертывание (за 5-10 минут)

Выбирайте 3proxy, если:

  • Нужно легкое решение без излишеств
  • Работаете на Windows без бюджета
  • Требуется только базовая фильтрация
  • Не нужно кэширование и расширенная аналитика

💡 Главный совет

Локальный прокси-сервер — это инфраструктурное решение, которое требует постоянного администрирования. Если у вас нет выделенного IT-специалиста или задачи не требуют такого уровня контроля, рассмотрите облачные прокси-сервисы как альтернативу. Они избавят от необходимости обслуживать оборудование и настраивать сложные конфигурации.

Не хотите возиться с настройкой?

Используйте готовые прокси ProxyCove — без установки серверов, без конфигов, без головной боли!
Просто регистрируйтесь, получайте прокси и работайте. С промокодом ARTHELLO бонус +$1.3

📚 Полезные ресурсы

📖 Документация Squid:
wiki.squid-cache.org

🔧 CCProxy официальный сайт:
www.youngzsoft.net

⚙️ 3proxy GitHub:
github.com/3proxy/3proxy

✅ Статья завершена! Вы узнали всё о прокси-серверах для локальной сети

От теории и архитектуры до практической настройки Squid, CCProxy и 3proxy.
Мониторинг, SSL-инспекция, решение проблем — всё в одном месте.