Máy chủ proxy trên Synology NAS: hướng dẫn từng bước cấu hình Squid và Shadowsocks tại nhà

```html

Synology NAS đứng ở nhà hoặc văn phòng của bạn, hoạt động 24/7 và tiêu thụ ít điện hơn một bóng đèn. Tại sao không biến nó thành máy chủ proxy cá nhân? Trong bài viết này, chúng ta sẽ xem xét hai cách làm việc: thông qua Squid (HTTP/HTTPS) và thông qua Shadowsocks (SOCKS5), cũng như giải thích khi nào proxy tại nhà thực sự hữu ích và khi nào tốt hơn là sử dụng giải pháp có sẵn.

Tại sao cần thiết lập proxy trên Synology NAS

Synology NAS là một thiết bị với hệ điều hành hoàn chỉnh DSM (DiskStation Manager), dựa trên Linux. Bên trong, bạn có thể chạy các container Docker, cài đặt các gói từ danh mục chính thức và thậm chí triển khai các ứng dụng web. Điều này làm cho NAS trở thành nền tảng tuyệt vời để chạy một máy chủ proxy nhẹ.

Ai thực sự cần điều này? Dưới đây là một số kịch bản thực tế:

• Các chuyên gia SMM và người làm tiếp thị liên kết, những người làm việc từ xa và muốn có một IP ổn định từ nhà cung cấp dịch vụ internet của họ — IP như vậy được các nền tảng coi là người dùng "thực".
• Kiểm tra nội dung địa phương — kiểm tra cách trang web hoặc quảng cáo xuất hiện từ IP tại nhà mà không tốn thêm chi phí cho proxy.
• Truy cập từ xa vào mạng nội bộ thông qua proxy — tiện lợi cho những người thường xuyên đi du lịch và muốn "ra ngoài" qua địa chỉ nhà.
• Vượt qua các hạn chế khu vực cho mục đích cá nhân — nếu nhà bạn chỉ có một nhà cung cấp nhưng cần IP từ một thành phố cụ thể.
• Các nhà phát triển và người thử nghiệm, những người cần một điểm ra ổn định với IP đã biết để thử nghiệm API và webhook.

Lợi thế chính của proxy tại nhà trên NAS là IP thực của bạn từ nhà cung cấp dịch vụ internet. Những địa chỉ như vậy rất hiếm khi bị đưa vào danh sách đen, vì chúng thuộc về người dùng bình thường chứ không phải trung tâm dữ liệu. Về bản chất, đây cũng giống như proxy dân cư — IP của những người dùng thực tại nhà, rất khó để phân biệt với một người thật.

Tuy nhiên, proxy tại nhà cũng có những hạn chế: một IP, phụ thuộc vào internet tại nhà, cần có kiến thức kỹ thuật để cấu hình. Chúng ta sẽ đi sâu hơn về điều này trong phần hạn chế. Còn bây giờ, hãy xem những gì cần thiết để bắt đầu.

Những gì cần chuẩn bị trước khi bắt đầu cấu hình

Trước khi bắt đầu cài đặt, hãy đảm bảo rằng bạn có tất cả những gì cần thiết. Bỏ qua bất kỳ điểm nào trong số này sẽ dẫn đến việc proxy không hoạt động hoặc không an toàn.

Yêu cầu kỹ thuật:

• Synology NAS với DSM 7.x — hầu hết các mẫu hiện tại (DS220+, DS223, DS720+, DS920+ và các mẫu khác) đều phù hợp. Các mẫu cũ với DSM 6.x cũng hoạt động, nhưng giao diện có thể khác.
• Docker đã được cài đặt trên NAS — trong DSM 7.2+ là gói "Container Manager", trong các phiên bản trước đó là "Docker" từ Package Center.
• IP nội bộ tĩnh cho NAS — vào router và đặt IP cho địa chỉ MAC của NAS của bạn để nó không thay đổi sau khi khởi động lại.
• IP trắng từ nhà cung cấp hoặc DDNS — nếu bạn muốn kết nối đến proxy từ bên ngoài (không chỉ từ mạng nội bộ). Nhiều nhà cung cấp cung cấp IP trắng động — trong trường hợp này hãy cấu hình Synology DDNS.
• Cổng mở trên router — cần phải chuyển tiếp cổng (ví dụ, 3128 cho Squid hoặc 1080 cho Shadowsocks) qua cài đặt router.
• Truy cập SSH vào NAS — bật nó trong DSM: Bảng điều khiển → Terminal và SNMP → Bật dịch vụ SSH.

Cấu hình Squid HTTP-proxy trên Synology

Squid là một máy chủ proxy HTTP/HTTPS cổ điển và đã được kiểm chứng. Nó được hỗ trợ bởi hầu hết tất cả các chương trình và trình duyệt, bao gồm cả các trình duyệt chống phát hiện Dolphin Anty, AdsPower, GoLogin và Multilogin. Chúng ta sẽ khởi chạy Squid qua Docker — điều này đơn giản và an toàn hơn so với việc cài đặt trực tiếp.

Bước 1: Tạo thư mục cấu hình

Mở File Station trên NAS của bạn và tạo một thư mục cho các tệp cấu hình. Ví dụ: /docker/squid/config. Bên trong, tạo một tệp squid.conf.

Bước 2: Cấu hình tối thiểu cho Squid

Kết nối đến NAS qua SSH và tạo tệp cấu hình. Dưới đây là cấu hình cơ bản với xác thực bằng tên đăng nhập và mật khẩu:

# Cổng mà Squid sẽ lắng nghe
http_port 3128

# Cho phép truy cập chỉ với xác thực
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic realm Squid Proxy
auth_param basic credentialsttl 2 hours

acl authenticated proxy_auth REQUIRED
http_access allow authenticated

# Cấm tất cả các truy cập khác
http_access deny all

# Ẩn thông tin về proxy
forwarded_for delete
via off
request_header_access X-Forwarded-For deny all

Bước 3: Tạo tệp chứa mật khẩu

Kết nối qua SSH và thực hiện lệnh để tạo người dùng (thay thế myuser bằng tên đăng nhập của bạn):

# Cài đặt htpasswd nếu chưa có (thông qua Docker, container sẽ tự làm điều này)
# Tạo tệp mật khẩu
docker run --rm httpd:2.4-alpine htpasswd -nbB myuser mypassword > /volume1/docker/squid/config/passwd

Bước 4: Khởi động container qua Container Manager

Mở Container Manager (hoặc Docker) trong DSM. Chuyển đến phần "Registry", tìm hình ảnh ubuntu/squid và tải xuống. Sau đó, tạo một container với các tham số sau:

• Tên container: squid-proxy
• Cổng: host 3128 → container 3128 (TCP)
• Volume: /volume1/docker/squid/config → /etc/squid
• Khởi động tự động: bật, để proxy khởi động sau khi NAS khởi động lại
• Mạng: bridge (mặc định)

Sau khi khởi động container, hãy kiểm tra xem proxy có hoạt động không: mở trình duyệt, nhập vào cài đặt proxy IP của NAS của bạn, cổng 3128, tên đăng nhập và mật khẩu. Vào 2ip.ru — IP tại nhà của bạn sẽ hiển thị.

Cấu hình Shadowsocks (SOCKS5) trên Synology

Shadowsocks là một giao thức hiện đại hơn, giúp ẩn lưu lượng truy cập dưới dạng HTTPS thông thường. Nó khó bị chặn hơn và hoạt động nhanh hơn Squid trong điều kiện kết nối không ổn định. Đối với những người làm tiếp thị liên kết và chuyên gia SMM, điều này có thể là lựa chọn ưu tiên hơn, vì các trình duyệt chống phát hiện hoạt động tốt với SOCKS5.

Bước 1: Chuẩn bị thư mục

Trong File Station, tạo thư mục /docker/shadowsocks. Bên trong, tạo tệp cấu hình config.json với nội dung sau:

{
  "server": "0.0.0.0",
  "server_port": 8388,
  "password": "MatKhauCuaBan2024",
  "timeout": 300,
  "method": "aes-256-gcm",
  "fast_open": false,
  "mode": "tcp_and_udp"
}

Thay thế MatKhauCuaBan2024 bằng một mật khẩu phức tạp. Phương pháp aes-256-gcm là hiện đại và nhanh chóng, chúng tôi khuyên bạn nên sử dụng nó.

Bước 2: Khởi động container Shadowsocks

Trong Container Manager, tìm hình ảnh shadowsocks/shadowsocks-libev và tải xuống. Tạo một container:

• Tên: shadowsocks-proxy
• Cổng: host 8388 → container 8388 (TCP và UDP)
• Volume: /volume1/docker/shadowsocks → /etc/shadowsocks-libev
• Lệnh khởi động: ss-server -c /etc/shadowsocks-libev/config.json
• Khởi động tự động: bật

Bước 3: Khách hàng trên máy tính của bạn

Shadowsocks không phải là một proxy thông thường mà có thể nhập trực tiếp vào trình duyệt. Bạn cần một khách hàng sẽ tạo một proxy SOCKS5 cục bộ và chuyển tiếp lưu lượng truy cập qua đó đến NAS của bạn. Tải xuống Shadowsocks-Windows hoặc Outline Client, chỉ định:

• Máy chủ: IP tại nhà của bạn (hoặc địa chỉ DDNS)
• Cổng: 8388
• Mật khẩu: mật khẩu mà bạn đã chỉ định trong config.json
• Phương pháp: aes-256-gcm

Sau khi kết nối, khách hàng sẽ tạo một proxy SOCKS5 cục bộ tại 127.0.0.1:1080. Địa chỉ này sẽ được nhập vào cài đặt của các trình duyệt chống phát hiện.

Kết nối proxy trong Dolphin Anty và AdsPower

Sau khi máy chủ proxy trên NAS được cấu hình và hoạt động, bạn cần kết nối đúng cách trong trình duyệt chống phát hiện. Chúng ta sẽ xem xét cấu hình trong hai công cụ phổ biến — Dolphin Anty và AdsPower.

Dolphin Anty: thêm proxy

Mở Dolphin Anty → chuyển đến phần "Proxy" → nhấn "Thêm proxy". Điền vào các trường:

• Loại: HTTP (cho Squid) hoặc SOCKS5 (cho khách hàng Shadowsocks)
• Host: IP của NAS của bạn (cho mạng nội bộ) hoặc IP tại nhà của bạn/DDNS (cho truy cập bên ngoài). Đối với Shadowsocks qua khách hàng — 127.0.0.1
• Cổng: 3128 (Squid) hoặc 1080 (SOCKS5 cục bộ từ khách hàng Shadowsocks)
• Tên đăng nhập và mật khẩu: những gì bạn đã chỉ định khi cấu hình

Nhấn "Kiểm tra proxy" — Dolphin sẽ hiển thị IP, quốc gia và nhà cung cấp. Nếu mọi thứ được cấu hình đúng, bạn sẽ thấy thông tin của nhà cung cấp dịch vụ internet tại nhà của bạn. Sau đó, hãy chỉ định proxy cho hồ sơ trình duyệt cần thiết.

AdsPower: cấu hình proxy trong hồ sơ

Trong AdsPower, mở "Tạo hồ sơ" hoặc chỉnh sửa hồ sơ hiện có. Trong phần "Cài đặt proxy", chọn loại và điền thông tin tương tự như trong Dolphin. AdsPower cũng hỗ trợ nhập proxy từ danh sách — tiện lợi nếu bạn có nhiều hồ sơ, mặc dù trong trường hợp NAS tại nhà, bạn sẽ chỉ có một IP.

GoLogin và Multilogin

Trong GoLogin, chuyển đến cài đặt hồ sơ → "Proxy" → nhập thông tin. Trong Multilogin cũng tương tự: khi tạo hồ sơ trong phần "Proxy", chọn loại HTTP hoặc SOCKS5 và nhập địa chỉ, cổng, tên đăng nhập, mật khẩu. Cả hai trình duyệt đều hỗ trợ kiểm tra proxy ngay trong giao diện.

Bảo mật: làm thế nào để không mở proxy cho toàn bộ internet

Đây là phần quan trọng nhất. Proxy mở mà không có bảo vệ — đó là thảm họa: người khác sẽ sử dụng IP của bạn cho spam, lừa đảo hoặc vượt qua các chặn, và trách nhiệm sẽ chính thức thuộc về bạn như là chủ sở hữu địa chỉ. Dưới đây là những gì bạn cần làm:

1. Xác thực — bắt buộc

Không bao giờ khởi động proxy mà không có tên đăng nhập và mật khẩu. Trong cấu hình Squid ở trên, xác thực đã được bật. Đối với Shadowsocks, mật khẩu thực hiện vai trò xác thực — không có nó, bạn sẽ không thể kết nối. Sử dụng mật khẩu phức tạp: tối thiểu 16 ký tự, bao gồm số và ký tự đặc biệt.

2. Giới hạn theo địa chỉ IP

Nếu bạn biết từ các IP nào bạn sẽ kết nối (ví dụ, từ máy tính làm việc với IP cố định), hãy thêm vào cấu hình Squid danh sách trắng:

# Chỉ cho phép từ IP cụ thể
acl allowed_ip src 203.0.113.45
http_access allow allowed_ip

# Cấm tất cả các truy cập khác
http_access deny all

3. Cổng không chuẩn

Không sử dụng các cổng chuẩn 3128 và 8080 cho Squid, 1080 cho SOCKS. Các bot liên tục quét internet để tìm các proxy mở trên những cổng này. Hãy chọn một cái gì đó không chuẩn: ví dụ, 47823 hoặc 39154.

4. Tường lửa trên router

Trong cài đặt router, hãy thiết lập quy tắc: cổng proxy chỉ mở cho các địa chỉ IP bên ngoài cụ thể. Hầu hết các router hiện đại (ASUS, Keenetic, MikroTik) hỗ trợ điều này thông qua phần "Tường lửa". Nếu router của bạn không hỗ trợ — ít nhất hãy bật xác thực.

5. Giám sát nhật ký

Squid ghi lại chi tiết trong /var/log/squid/access.log. Thỉnh thoảng hãy kiểm tra chúng: nếu bạn thấy các yêu cầu từ các địa chỉ không xác định hoặc đến các trang web nghi ngờ — hãy ngay lập tức đóng quyền truy cập và thay đổi mật khẩu. Trong Container Manager, bạn có thể xem nhật ký của container ngay trong giao diện DSM.

Hạn chế của proxy tại nhà và khi nào nó không giúp ích

Chúng tôi sẽ trung thực về những nơi mà proxy tại nhà trên Synology NAS không thể thực hiện nhiệm vụ. Điều này rất quan trọng để hiểu trước, để không lãng phí thời gian cấu hình ở nơi cần một giải pháp khác.

Kết luận chính: proxy NAS tại nhà — là công cụ cho việc sử dụng cá nhân hoặc phát triển, nhưng không cho công việc quy mô lớn với nhiều tài khoản. Ngay khi bạn cần nhiều hơn một IP, các vị trí địa lý khác nhau hoặc tốc độ cao — giải pháp tại nhà không còn phù hợp.

Một điểm quan trọng khác: IP tại nhà là địa chỉ thực của bạn. Nếu bạn sử dụng nó cho các nhiệm vụ mà các nền tảng coi là vi phạm quy tắc (nuôi tài khoản hàng loạt, lấy dữ liệu một cách hung hăng), IP này có thể bị chặn vĩnh viễn. Và việc thay đổi nó sẽ không dễ dàng — bạn sẽ phải gọi cho nhà cung cấp hoặc thay đổi gói cước. Trong proxy thương mại, việc thay đổi IP chỉ mất vài giây.

Để làm việc nghiêm túc với nhiều tài khoản hoặc lấy dữ liệu từ các thị trường, tốt hơn hết là xem xét proxy từ trung tâm dữ liệu — chúng nhanh chóng, rẻ và dễ dàng mở rộng cho bất kỳ khối lượng công việc nào.

Kết luận: proxy tại nhà vs giải pháp thương mại

Thiết lập máy chủ proxy trên Synology NAS là hoàn toàn khả thi và không khó như bạn nghĩ. Nếu bạn đã có NAS với Docker, toàn bộ cấu hình sẽ mất khoảng 30-60 phút. Bạn sẽ có một proxy với IP thực tại nhà, hoạt động 24/7 và không yêu cầu thanh toán hàng tháng.

Squid phù hợp cho các nhiệm vụ HTTP/HTTPS và hoạt động tốt với các trình duyệt chống phát hiện. Shadowsocks tốt hơn cho việc vượt qua các hạn chế và bền bỉ hơn với các chặn. Cả hai tùy chọn đều yêu cầu cấu hình bảo mật đúng cách — proxy mở mà không có mật khẩu là nguy hiểm.

Tuy nhiên, kết luận trung thực là: proxy NAS tại nhà là giải pháp cho một người với một IP. Ngay khi các nhiệm vụ tăng lên (nhiều tài khoản, vị trí địa lý khác nhau, tải cao), giải pháp tại nhà trở thành điểm nghẽn. Trong trường hợp này, lựa chọn đúng là proxy thương mại với nhóm địa chỉ và việc thay đổi.

Nếu bạn quản lý nhiều tài khoản trên Instagram, TikTok hoặc làm việc với Facebook Ads — chúng tôi khuyên bạn nên thử proxy dân cư: chúng cung cấp IP thực tại nhà từ các quốc gia và thành phố cần thiết, hỗ trợ việc thay đổi và hoạt động với bất kỳ trình duyệt chống phát hiện nào mà không cần cấu hình kỹ thuật phức tạp.