Trong bài viết này: Bạn sẽ tìm hiểu mọi thứ về các cổng (port) của proxy server (HTTP 8080, 3128, HTTPS 443, SOCKS 1080), cách chọn cổng phù hợp, thiết lập DNS để chống rò rỉ (leak), sử dụng DNS over HTTPS, cấu hình chuyển tiếp cổng (port forwarding) và tường lửa (firewall). Nội dung dựa trên dữ liệu cập nhật năm 2025 với tần suất tìm kiếm khoảng ~5.400 mỗi tháng.
📑 Mục lục Phần 1
🔌 Cổng proxy server là gì
Cổng proxy server là một mã định danh số (từ 1 đến 65535) xác định kênh giao tiếp cụ thể trên máy chủ. Khi bạn kết nối với proxy, bạn không chỉ chỉ định địa chỉ IP mà còn cả cổng, ví dụ: 192.168.1.1:8080
Tại sao cổng lại quan trọng đối với proxy
🎯 Các chức năng chính của cổng:
- Nhận dạng dịch vụ — các cổng khác nhau cho các giao thức khác nhau (HTTP, HTTPS, SOCKS)
- Nhiều dịch vụ — một IP có thể phục vụ nhiều proxy trên các cổng khác nhau
- Vượt qua chặn — một số mạng chặn các cổng tiêu chuẩn, các cổng không chuẩn giúp vượt qua bộ lọc
- Bảo mật — sử dụng cổng không chuẩn gây khó khăn cho việc phát hiện proxy
- Cân bằng tải (Load balancing) — phân phối tải qua các cổng
- Cấu hình tường lửa — kiểm soát truy cập ở cấp độ cổng
Ví dụ, nếu bạn thấy proxy.example.com:8080, số 8080 là cổng. Nếu không chỉ định cổng, kết nối sẽ không được thiết lập.
Các dải cổng
📊 Phân loại cổng:
| Dải | Tên gọi | Mô tả |
|---|---|---|
| 0-1023 | Cổng được biết đến (Well-known ports) | Dành riêng cho các dịch vụ hệ thống (HTTP:80, HTTPS:443) |
| 1024-49151 | Cổng đã đăng ký (Registered ports) | Được IANA đăng ký cho các ứng dụng (8080, 3128, 1080) |
| 49152-65535 | Cổng động/Riêng tư (Dynamic/Private ports) | Cổng động cho các kết nối tạm thời |
Các proxy server thường sử dụng các cổng trong dải 1024-49151, mặc dù cổng 80 và 443 cũng phổ biến.
🌐 Các cổng proxy server tiêu chuẩn
Trong năm 2025, có một số cổng được sử dụng rộng rãi cho proxy server. Việc lựa chọn cổng phụ thuộc vào giao thức (HTTP, HTTPS, SOCKS) và loại hình sử dụng.
Các cổng phổ biến theo giao thức
| Giao thức | Các cổng chính | Ứng dụng | Mức độ phổ biến |
|---|---|---|---|
| HTTP | 80, 8080, 3128, 8118 | Lưu lượng web, cào dữ liệu, trình duyệt | ⭐⭐⭐⭐⭐ |
| HTTPS | 443, 8443 | Lưu lượng được bảo vệ SSL/TLS | ⭐⭐⭐⭐⭐ |
| SOCKS4/5 | 1080, 1085 | Proxy đa năng, torrent, game | ⭐⭐⭐⭐ |
| Squid | 3128, 8080 | Proxy lưu trữ (caching proxy) | ⭐⭐⭐ |
| Transparent | 8080, 3128 | Mạng công ty | ⭐⭐⭐ |
🌍 Cổng HTTP: 80, 8080, 3128, 8118
🔵 Cổng 80
Cổng HTTP tiêu chuẩn — được sử dụng cho lưu lượng web không được mã hóa
✅ Ưu điểm:
- Được hỗ trợ phổ biến
- Ít gây nghi ngờ cho tường lửa
- Tương thích rộng rãi
❌ Nhược điểm:
- Thường bị chặn trên mạng công ty
- Thiếu mã hóa
- Cổng hệ thống (yêu cầu quyền root)
🟡 Cổng 8080
Cổng HTTP proxy phổ biến nhất — lựa chọn thay thế cho cổng 80
✅ Ưu điểm:
- Cổng được sử dụng nhiều nhất cho HTTP proxy
- Không yêu cầu quyền root
- Được tất cả các client hỗ trợ
- Khả năng tương thích tốt
❌ Nhược điểm:
- Có thể bị tường lửa chặn
- Thường xuyên bị bot quét
💡 Khuyến nghị: Sử dụng 8080 làm cổng mặc định cho HTTP proxy
🟢 Cổng 3128
Cổng Squid tiêu chuẩn — được sử dụng bởi các proxy server lưu trữ (caching)
Squid là phần mềm proxy server phổ biến nhất, do đó cổng 3128 đã trở thành tiêu chuẩn cho việc lưu trữ và chuyển tiếp.
Khi nào nên sử dụng:
- Mạng công ty
- Proxy lưu trữ
- Kiểm soát nội dung
- Các giải pháp dựa trên Squid
🟣 Cổng 8118
Cổng Privoxy — được sử dụng để lọc nội dung và ẩn danh
Privoxy là proxy có chức năng lọc quảng cáo, trình theo dõi và bảo vệ quyền riêng tư.
Đặc điểm:
- Lọc quảng cáo
- Chặn trình theo dõi
- Sửa đổi tiêu đề (header)
- Tích hợp với Tor
Ví dụ sử dụng cổng HTTP
Lệnh Curl cho các cổng khác nhau:
# Cổng 8080 (phổ biến nhất)
curl -x http://proxy.example.com:8080 https://example.com
# Cổng 3128 (Squid)
curl -x http://proxy.example.com:3128 https://example.com
# Cổng 80 (HTTP tiêu chuẩn)
curl -x http://proxy.example.com:80 https://example.com
# Với xác thực
curl -x http://username:password@proxy:8080 https://example.com
🔒 Cổng HTTPS: 443, 8443
Proxy HTTPS sử dụng mã hóa SSL/TLS để bảo vệ lưu lượng truy cập. Trong năm 2025, đây là tiêu chuẩn cho các kết nối an toàn.
🔴 Cổng 443
Cổng HTTPS tiêu chuẩn — được sử dụng cho các kết nối HTTPS được bảo vệ
🎯 Tại sao 443 là lựa chọn tốt nhất:
- Ngụy trang thành lưu lượng HTTPS thông thường — tường lửa hiếm khi chặn
- Tương thích tối đa — hoạt động trên mọi mạng
- Vượt qua DPI — khó phát hiện proxy hơn
- Mạng công ty — thường không bị chặn
- Mã hóa SSL/TLS — bảo mật dữ liệu
💡 Lời khuyên 2025: Sử dụng cổng 443 để có độ ẩn mình tối đa và vượt qua các lệnh chặn. Nó trông giống như lưu lượng HTTPS thông thường đến một trang web.
🟠 Cổng 8443
Cổng HTTPS thay thế — dành cho các dịch vụ SSL bổ sung
Khi nào sử dụng 8443:
- Cổng 443 đã bị chiếm dụng bởi dịch vụ khác
- Cần phân tách lưu lượng giữa các dịch vụ
- Lựa chọn thay thế khi 443 bị chặn
- Bảng điều khiển quản trị
- Môi trường thử nghiệm
⚠️ Lưu ý:
Cổng 8443 ít phổ biến hơn và có thể gây nghi ngờ cho hệ thống tường lửa. Hãy sử dụng 443 nếu có thể.
Phương thức HTTP CONNECT cho proxy HTTPS
Proxy HTTPS sử dụng phương thức CONNECT để thiết lập đường hầm giữa client và máy chủ đích. Điều này cho phép truyền tải lưu lượng SSL/TLS được mã hóa qua proxy.
Ví dụ về yêu cầu CONNECT:
CONNECT example.com:443 HTTP/1.1
Host: example.com:443
Proxy-Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=
# Proxy phản hồi:
HTTP/1.1 200 Connection Established
# Sau đó tất cả lưu lượng được mã hóa SSL/TLS
⚡ Cổng SOCKS: 1080, 1085
SOCKS (Socket Secure) là một giao thức proxy đa năng hoạt động ở mức thấp hơn HTTP. Nó hỗ trợ mọi loại lưu lượng: HTTP, HTTPS, FTP, SMTP, P2P, game.
🔵 Cổng 1080 — tiêu chuẩn SOCKS
Cổng 1080 được IANA (Internet Assigned Numbers Authority) dành riêng cho proxy SOCKS. Đây là cổng tiêu chuẩn chính thức.
✅ Ưu điểm của SOCKS5 trên cổng 1080:
- Tính đa năng — hoạt động với mọi giao thức (HTTP, FTP, SMTP, SSH, torrent)
- Hỗ trợ UDP — cho game, gọi video, streaming
- Xác thực — hỗ trợ username/password
- Hỗ trợ IPv6 — hoạt động với các mạng hiện đại
- Không sửa đổi dữ liệu — proxy chỉ chuyển tiếp gói tin
- Ít chi phí phát sinh hơn — tốc độ cao hơn proxy HTTP
Khi nào sử dụng SOCKS5:
| Kịch bản | Tại sao chọn SOCKS5 |
|---|---|
| Torrent | Các giao thức P2P không hoạt động qua proxy HTTP |
| Game online | Yêu cầu hỗ trợ UDP và độ trễ thấp |
| Ứng dụng Email | Hỗ trợ SMTP/IMAP/POP3 |
| FTP/SSH | Các giao thức ngoài HTTP |
| Streaming | UDP cho các luồng video/âm thanh |
SOCKS4 so với SOCKS5
| Tính năng | SOCKS4 | SOCKS5 |
|---|---|---|
| Xác thực | ❌ Không | ✅ Username/Password |
| Hỗ trợ UDP | ❌ Chỉ TCP | ✅ TCP và UDP |
| IPv6 | ❌ Chỉ IPv4 | ✅ IPv4 và IPv6 |
| Phân giải DNS | ❌ Client | ✅ Proxy (DNS từ xa) |
| Bảo mật | ⚠️ Thấp | ✅ Cao |
| Tốc độ | Nhanh hơn | Chậm hơn một chút |
| Khuyến nghị 2025 | ❌ Lỗi thời | ✅ Nên sử dụng |
Ví dụ cấu hình SOCKS5:
# Curl với SOCKS5
curl --socks5 proxy.example.com:1080 https://example.com
# Với xác thực
curl --socks5 username:password@proxy:1080 https://example.com
# SSH qua SOCKS5
ssh -o ProxyCommand='nc -x proxy:1080 %h %p' user@server
# Git qua SOCKS5
git config --global http.proxy 'socks5://proxy:1080'
🎯 Làm thế nào để chọn cổng phù hợp
Sơ đồ lựa chọn cổng
❓ Cần ẩn mình tối đa và vượt qua chặn?
→ Sử dụng cổng 443 (HTTPS)
Lý do: Lưu lượng truy cập trông giống như HTTPS thông thường, tường lửa không chặn, DPI khó phát hiện proxy.
❓ Chỉ cần lưu lượng HTTP (cào dữ liệu web, trình duyệt)?
→ Sử dụng cổng 8080 (HTTP)
Lý do: Tiêu chuẩn cho HTTP proxy, hỗ trợ rộng rãi, không yêu cầu root.
❓ Cần torrent, game, P2P, UDP?
→ Sử dụng cổng 1080 (SOCKS5)
Lý do: Giao thức đa năng, hỗ trợ UDP, hoạt động với mọi loại lưu lượng.
❓ Mạng công ty dùng Squid?
→ Sử dụng cổng 3128 (Squid)
Lý do: Tiêu chuẩn cho proxy Squid, lưu trữ, kiểm soát truy cập.
❓ Các cổng tiêu chuẩn bị chặn?
→ Sử dụng các cổng không chuẩn (8443, 9050, 9999, 10000+)
Lý do: Tường lửa thường chỉ chặn các cổng đã biết, các cổng không chuẩn thường được bỏ qua.
🔐 Bảo mật cổng proxy
Khuyến nghị bảo mật 2025
🚨 Các thực hành nguy hiểm:
- Proxy mở không có xác thực — có thể bị sử dụng cho các cuộc tấn công
- Chỉ sử dụng IP whitelist trên IP công khai — IP có thể bị giả mạo
- Proxy HTTP không có TLS — dữ liệu được truyền đi dưới dạng văn bản thuần túy
- Mật khẩu yếu — dễ dàng bị bot đoán ra
- Cổng có lỗ hổng đã biết — các phiên bản phần mềm cũ
✅ Các thực hành an toàn:
- Luôn sử dụng xác thực — username/password hoặc IP whitelist
- HTTPS trên cổng 443 — mã hóa lưu lượng SSL/TLS
- Quy tắc tường lửa — giới hạn truy cập ở cấp độ cổng
- Giới hạn tốc độ (Rate limiting) — bảo vệ chống lại DDoS và brute-force
- Giám sát nhật ký (logs) — theo dõi hoạt động đáng ngờ
- Cập nhật thường xuyên — vá các lỗ hổng
- Thay đổi cổng — sử dụng cổng không chuẩn để ẩn mình
Bảo vệ cổng bằng iptables
Cho phép truy cập chỉ từ một IP cụ thể:
# Cho phép truy cập cổng 8080 chỉ từ 192.168.1.100
iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
# Cho phép truy cập cổng SOCKS5 1080 từ mạng con
iptables -A INPUT -p tcp --dport 1080 -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 1080 -j DROP
Giới hạn tốc độ (bảo vệ chống brute-force):
# Giới hạn 10 kết nối mỗi phút trên cổng 8080
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
🚧 Cổng bị chặn và các phương pháp vượt qua
Tại sao cổng bị chặn
Nhiều mạng công ty, nhà cung cấp dịch vụ (ISP) và quốc gia chặn các cổng nhất định để kiểm soát lưu lượng truy cập, bảo mật hoặc kiểm duyệt.
Các cổng thường bị chặn:
| Cổng | Giao thức | Lý do bị chặn |
|---|---|---|
| 8080 | HTTP proxy | Được biết đến là cổng proxy, bị tường lửa chặn |
| 3128 | Squid | Cổng Squid tiêu chuẩn, dễ dàng xác định |
| 1080 | SOCKS | Được sử dụng để vượt qua chặn |
| 9050 | Tor | Cổng SOCKS của Tor, bị chặn ở các quốc gia kiểm duyệt |
| 25 | SMTP | Chống thư rác (spam) |
Các phương pháp vượt qua chặn cổng
1️⃣ Sử dụng cổng 443 (HTTPS)
Hiệu quả: 95% — Cổng 443 hiếm khi bị chặn vì nó là tiêu chuẩn cho HTTPS. Lưu lượng truy cập trông giống như lưu lượng web thông thường.
proxy.example.com:443
2️⃣ Các cổng cao không chuẩn (10000+)
Hiệu quả: 80% — Tường lửa thường chỉ chặn các cổng đã biết. Các cổng cao thường được bỏ qua.
proxy.example.com:12345
proxy.example.com:40000
3️⃣ Port hopping (thay đổi cổng)
Hiệu quả: 70% — Thường xuyên thay đổi cổng để tránh bị đưa vào danh sách đen (blacklist).
4️⃣ Đường hầm SSH (cổng 22)
Hiệu quả: 90% — Cổng SSH 22 thường được mở. Tạo đường hầm SOCKS qua SSH.
ssh -D 1080 -N user@proxy.example.com
🎁 ProxyCove: Cấu hình cổng linh hoạt
ProxyCove hỗ trợ tất cả các cổng phổ biến: HTTP (8080, 3128), HTTPS (443, 8443), SOCKS5 (1080). Hãy chọn cổng hoạt động tốt nhất trong mạng của bạn!
💰 Giá cước cập nhật 2025:
- Proxy Datacenter: $1.5/GB — cho cào dữ liệu và tự động hóa
- Proxy Residential: $2.7/GB — cho mạng xã hội và thương mại điện tử
- Proxy Mobile: $3.8/GB — cho ứng dụng di động và chống ban
🎉 Ưu đãi: Sử dụng mã khuyến mãi ARTHELLO khi đăng ký và nhận thêm +$1.3 vào tài khoản!
Bổ sung: Proxy Mobile | Proxy Residential | Proxy Datacenter
📖 Tiếp theo trong Phần 2: Chúng ta sẽ tìm hiểu về DNS cho proxy server, bảo vệ chống lại rò rỉ DNS (DNS leaks), cấu hình DNS over HTTPS và chọn nhà cung cấp DNS tốt nhất năm 2025 để có quyền riêng tư tối đa.
Phần 2: Chúng ta sẽ tìm hiểu DNS là gì và tại sao nó lại quan trọng đối với proxy, cách thức rò rỉ DNS (leaks) xảy ra, cách cấu hình DNS đúng cách cho proxy, sử dụng DNS over HTTPS (DoH) và chọn nhà cung cấp DNS tốt nhất năm 2025.
📑 Mục lục Phần 2
- DNS là gì và tại sao nó cần thiết cho proxy
- Rò rỉ DNS (DNS leaks): nguy hiểm và phát hiện
- DNS hoạt động với proxy server như thế nào
- Cấu hình DNS cho proxy (Windows, Linux, Mac)
- Các nhà cung cấp DNS tốt nhất năm 2025
- DNS over HTTPS (DoH) và DNS over TLS (DoT)
- Bảo vệ chống rò rỉ DNS
- Kiểm tra DNS và xác minh rò rỉ
🌐 DNS là gì và tại sao nó cần thiết cho proxy
DNS - Hệ thống tên miền
DNS (Domain Name System) là hệ thống chuyển đổi tên miền (ví dụ: google.com) thành địa chỉ IP (ví dụ: 142.250.185.46) mà máy tính sử dụng để giao tiếp với nhau.
🔍 Cách thức hoạt động của yêu cầu DNS:
- Bạn nhập
example.comvào trình duyệt - Trình duyệt hỏi máy chủ DNS: "IP của example.com là gì?"
- Máy chủ DNS trả lời: "93.184.216.34"
- Trình duyệt kết nối đến địa chỉ IP 93.184.216.34
- Bạn thấy trang web
Nếu không có DNS, bạn sẽ phải ghi nhớ địa chỉ IP của tất cả các trang web. DNS là "danh bạ điện thoại của internet".
Tại sao DNS lại quan trọng đối với proxy
🚨 Vấn đề nghiêm trọng:
Ngay cả khi bạn sử dụng proxy server, nhà cung cấp dịch vụ internet (ISP) của bạn vẫn có thể thấy những trang web bạn truy cập nếu các yêu cầu DNS được gửi qua máy chủ DNS của ISP, chứ không phải qua proxy!
Ví dụ: Bạn kết nối với proxy ở Hà Lan, lưu lượng của bạn đi qua proxy ✅, NHƯNG yêu cầu DNS lại đi qua DNS của ISP Việt Nam. ISP thấy tất cả các tên miền bạn truy cập, ngay cả khi lưu lượng đi qua proxy.
🎯 ISP biết gì khi cấu hình DNS sai:
- Tất cả các tên miền bạn truy cập
- Thời gian truy cập từng trang web
- Tần suất truy vấn của bạn
- Các dịch vụ bạn đang kết nối (nếu sử dụng công cụ tìm kiếm)
- Vị trí địa lý của các dịch vụ bạn kết nối
💧 Rò rỉ DNS (DNS leaks): nguy hiểm và phát hiện
DNS leak là gì
Rò rỉ DNS (DNS leak) là tình huống mà các yêu cầu DNS đi vòng qua đường hầm proxy/VPN và được gửi trực tiếp đến máy chủ DNS của ISP hoặc một DNS công cộng khác, làm lộ ý định và các trang web bạn truy cập.
⚠️ Tại sao điều này nguy hiểm:
| Mối đe dọa | Hậu quả |
|---|---|
| Tiết lộ hoạt động | ISP thấy tất cả các trang web bạn truy cập |
| Định vị địa lý | Yêu cầu DNS tiết lộ vị trí thực của bạn |
| Kiểm duyệt | ISP có thể chặn các yêu cầu đến các tên miền cụ thể |
| Giám sát | Cơ quan chính phủ có thể theo dõi các yêu cầu DNS |
| Nhắm mục tiêu | Quảng cáo dựa trên các truy vấn DNS của bạn |
🔴 Kịch bản rò rỉ DNS:
1. Bạn kết nối với proxy ở Hà Lan 2. Lưu lượng của bạn đi qua proxy ✅ 3. NHƯNG: Yêu cầu DNS đi thẳng đến DNS của ISP ❌ 4. ISP thấy: "Người dùng yêu cầu facebook.com" 5. Mặc dù lưu lượng đi qua proxy, ISP vẫn biết bạn truy cập Facebook 6. Nếu Facebook bị chặn, ISP có thể chặn kết nối
Nguyên nhân rò rỉ DNS
1. Cấu hình HĐH
Hệ điều hành sử dụng DNS hệ thống thay vì DNS của proxy
2. Rò rỉ IPv6
Yêu cầu DNS IPv6 đi vòng qua đường hầm proxy IPv4
3. Máy chủ DHCP
Bộ định tuyến tự động gán DNS của nhà cung cấp
4. Độ phân giải tên đa homed thông minh
Windows gửi yêu cầu DNS đến tất cả các DNS server khả dụng
5. Proxy DNS trong suốt
ISP chặn cổng 53 và chuyển hướng yêu cầu
6. Cấu hình proxy/VPN không đúng
Client proxy/VPN không được thiết lập để sử dụng DNS riêng của nó
⚙️ DNS hoạt động với proxy server như thế nào
Hai cách phân giải DNS
❌ DNS cục bộ (không an toàn)
Sơ đồ hoạt động:
1. Client yêu cầu DNS từ ISP "IP của example.com là gì?" 2. DNS ISP trả lời: "93.184.216.34" 3. Client kết nối với proxy 4. Proxy kết nối đến 93.184.216.34 ❌ VẤN ĐỀ: ISP thấy yêu cầu DNS!
Được sử dụng ở đâu: Proxy HTTP mặc định, một số proxy SOCKS4
✅ DNS từ xa (an toàn)
Sơ đồ hoạt động:
1. Client gửi tên miền đến proxy "Kết nối tôi đến example.com" 2. Proxy thực hiện yêu cầu DNS (proxy hỏi DNS của nó) 3. Proxy nhận IP và kết nối ✅ GIẢI PHÁP: ISP không thấy yêu cầu DNS!
Được sử dụng ở đâu: SOCKS5 với DNS từ xa, VPN chất lượng, ProxyCove
Phân giải DNS từ xa SOCKS5
SOCKS5 hỗ trợ phân giải DNS từ xa — các yêu cầu DNS được thực hiện trên phía máy chủ proxy, không phải trên thiết bị của bạn. Điều này ngăn chặn rò rỉ DNS.
Cấu hình trong curl với SOCKS5h (h = hostname resolution):
# SOCKS5h — DNS được phân giải qua proxy
curl --socks5-hostname proxy:1080 https://example.com
# Dạng viết tắt
curl -x socks5h://proxy:1080 https://example.com
# Với xác thực
curl -x socks5h://user:pass@proxy:1080 https://example.com
Quan trọng: Sử dụng socks5h:// thay vì socks5:// để phân giải DNS từ xa
🔧 Cấu hình DNS cho proxy (Windows, Linux, Mac)
Windows 10/11
Cách 1: Giao diện đồ họa
- Mở Settings → Network & Internet
- Chọn kết nối của bạn (Wi-Fi hoặc Ethernet)
- Nhấn Properties
- Cuộn xuống DNS server assignment
- Nhấn Edit
- Chọn Manual
- Bật IPv4
- Nhập DNS ưu tiên:
1.1.1.1 - Nhập DNS thay thế:
1.0.0.1 - Nhấn Save
Cách 2: PowerShell (nhanh)
# Đặt DNS Cloudflare
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("1.1.1.1","1.0.0.1")
# Thay thế "Ethernet" bằng "Wi-Fi" nếu dùng Wi-Fi
Set-DnsClientServerAddress -InterfaceAlias "Wi-Fi" -ServerAddresses ("1.1.1.1","1.0.0.1")
# Xóa bộ nhớ đệm DNS
ipconfig /flushdns
Linux (Ubuntu/Debian)
Cách 1: systemd-resolved (hiện đại)
# Chỉnh sửa cấu hình
sudo nano /etc/systemd/resolved.conf
# Thêm các dòng:
[Resolve]
DNS=1.1.1.1 1.0.0.1
FallbackDNS=8.8.8.8 8.8.4.4
# Khởi động lại dịch vụ
sudo systemctl restart systemd-resolved
# Kiểm tra
systemd-resolve --status
Cách 2: /etc/resolv.conf (cổ điển)
# Chỉnh sửa resolv.conf
sudo nano /etc/resolv.conf
# Thêm các máy chủ DNS
nameserver 1.1.1.1
nameserver 1.0.0.1
nameserver 8.8.8.8
# Bảo vệ khỏi bị ghi đè
sudo chattr +i /etc/resolv.conf
Cách 3: NetworkManager
# Đặt DNS qua nmcli
sudo nmcli con mod "Wired connection 1" ipv4.dns "1.1.1.1 1.0.0.1"
sudo nmcli con mod "Wired connection 1" ipv4.ignore-auto-dns yes
# Khởi động lại kết nối
sudo nmcli con down "Wired connection 1" && sudo nmcli con up "Wired connection 1"
macOS
Giao diện đồ họa:
- Mở System Preferences → Network
- Chọn kết nối đang hoạt động (Wi-Fi hoặc Ethernet)
- Nhấn Advanced
- Chuyển sang tab DNS
- Nhấn + và thêm các máy chủ DNS
- Thêm:
1.1.1.1và1.0.0.1 - Nhấn OK → Apply
Dòng lệnh:
# Đặt DNS cho Wi-Fi
networksetup -setdnsservers Wi-Fi 1.1.1.1 1.0.0.1
# Đặt DNS cho Ethernet
networksetup -setdnsservers Ethernet 1.1.1.1 1.0.0.1
# Xóa bộ nhớ đệm DNS
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
🏆 Các nhà cung cấp DNS tốt nhất năm 2025
Bảng so sánh các nhà cung cấp DNS
| Nhà cung cấp | DNS Chính | DNS Phụ | Đặc điểm | Tốc độ |
|---|---|---|---|---|
| Cloudflare | 1.1.1.1 |
1.0.0.1 |
Quyền riêng tư, DoH/DoT, nhanh nhất | 10-14ms |
| Google Public DNS | 8.8.8.8 |
8.8.4.4 |
Độ tin cậy, DoH/DoT, ghi nhật ký | 15-20ms |
| Quad9 | 9.9.9.9 |
149.112.112.112 |
Chặn tên miền độc hại, DoH/DoT | 20-25ms |
| OpenDNS | 208.67.222.222 |
208.67.220.220 |
Kiểm soát của phụ huynh, lọc nội dung | 25-30ms |
| AdGuard DNS | 94.140.14.14 |
94.140.15.15 |
Chặn quảng cáo và trình theo dõi | 30-40ms |
🥇 Cloudflare 1.1.1.1
Chính: 1.1.1.1
Phụ: 1.0.0.1
IPv6:
2606:4700:4700::1111
2606:4700:4700::1001
✅ Ưu điểm:
- Nhanh nhất — độ trễ 10-14ms
- Không ghi nhật ký truy vấn — nhật ký bị xóa sau 24 giờ
- Hỗ trợ DoH và DoT
- Xác thực DNSSEC
- Hoạt động tại hơn 275 thành phố
🎯 Khuyến nghị: Lựa chọn tốt nhất cho proxy trong năm 2025
🥈 Google Public DNS
Chính: 8.8.8.8
Phụ: 8.8.4.4
IPv6:
2001:4860:4860::8888
2001:4860:4860::8844
✅ Ưu điểm:
- Thời gian hoạt động 99.9% — độ tin cậy tối đa
- Hỗ trợ DoH và DoT
- Xác thực DNSSEC
- Mạng lưới toàn cầu
❌ Nhược điểm:
- Google ghi nhật ký truy vấn (liên kết với địa chỉ IP của bạn)
- Dữ liệu được sử dụng để cá nhân hóa quảng cáo
🥉 Quad9 DNS
Chính: 9.9.9.9
Phụ: 149.112.112.112
✅ Đặc điểm:
- Chặn tên miền độc hại — bảo vệ chống lừa đảo (phishing) và phần mềm độc hại
- Quyền riêng tư — không ghi nhật ký địa chỉ IP
- DNSSEC
- DoH/DoT
🛡️ AdGuard DNS
Chính: 94.140.14.14
Phụ: 94.140.15.15
✅ Đặc điểm:
- Chặn quảng cáo ở cấp độ DNS
- Chặn trình theo dõi
- Bảo vệ chống lừa đảo
- DoH/DoT
🔐 DNS over HTTPS (DoH) và DNS over TLS (DoT)
DoH và DoT là gì
DNS over HTTPS (DoH) và DNS over TLS (DoT) là các giao thức mã hóa các yêu cầu DNS, ngăn chặn việc chặn và sửa đổi lưu lượng DNS.
Vấn đề của DNS thông thường:
❌ Yêu cầu DNS được truyền đi dưới dạng văn bản thuần túy qua cổng UDP 53
❌ ISP có thể thấy tất cả các yêu cầu DNS của bạn
❌ Các cuộc tấn công Man-in-the-Middle có thể thay thế câu trả lời DNS
❌ DNS hijacking — ISP chuyển hướng đến máy chủ của họ
❌ Kiểm duyệt ở cấp độ DNS
Giải pháp DoH/DoT:
✅ Yêu cầu DNS được mã hóa bằng SSL/TLS
✅ ISP KHÔNG thấy yêu cầu DNS của bạn
✅ Bảo vệ chống lại các cuộc tấn công MITM
✅ Bảo vệ chống lại DNS hijacking
✅ Vượt qua kiểm duyệt DNS
So sánh DoH so với DoT
| Đặc điểm | DNS qua HTTPS (DoH) | DNS qua TLS (DoT) |
|---|---|---|
| Giao thức | HTTPS (cổng 443) | TLS (cổng 853) |
| Mã hóa | ✅ Hoàn toàn | ✅ Hoàn toàn |
| Phát hiện | ✅ Trông giống HTTPS | ⚠️ Cổng 853 có thể thấy |
| Chặn | ✅ Khó | ❌ Dễ (cổng 853) |
| Tốc độ | Chậm hơn một chút (do chi phí HTTP) | Nhanh hơn một chút |
| Hỗ trợ trình duyệt | ✅ Rộng rãi | ⚠️ Hạn chế |
| Khuyến nghị 2025 | ✅ Sử dụng | Tốt cho máy chủ |
Cấu hình DoH trong trình duyệt
Firefox:
- Mở
about:preferences#privacy - Cuộn xuống DNS over HTTPS
- Chọn Enable DNS over HTTPS
- Chọn nhà cung cấp: Cloudflare (khuyến nghị)
- Hoặc chỉ định tùy chỉnh:
https://cloudflare-dns.com/dns-query
Chrome/Edge:
- Mở Settings → Privacy and security → Security
- Tìm Use secure DNS
- Bật With Custom
- Chọn: Cloudflare (1.1.1.1)
- Hoặc nhập:
https://cloudflare-dns.com/dns-query
URL DoH của các nhà cung cấp:
# Cloudflare
https://cloudflare-dns.com/dns-query
# Google
https://dns.google/dns-query
# Quad9
https://dns.quad9.net/dns-query
# AdGuard
https://dns.adguard.com/dns-query
🛡️ Bảo vệ chống rò rỉ DNS
10 bước để bảo vệ hoàn toàn khỏi DNS leaks
- Sử dụng SOCKS5 với DNS từ xa — DNS được phân giải trên proxy
- Cấu hình DNS over HTTPS (DoH) trong trình duyệt — mã hóa yêu cầu DNS
- Tắt IPv6 — nếu proxy không hỗ trợ IPv6
- Sử dụng Cloudflare DNS (1.1.1.1) — ghi nhật ký tối thiểu
- Cấu hình DNS thủ công ở cấp độ hệ thống — không phụ thuộc vào DHCP
- Chặn cổng 53 — buộc sử dụng DoH
- Sử dụng Kill Switch — chặn lưu lượng khi proxy ngắt kết nối
- Tắt Độ phân giải tên đa homed thông minh — Windows
- Kiểm tra rò rỉ thường xuyên — dnsleaktest.com
- Sử dụng VPN/proxy chất lượng — có bảo vệ rò rỉ DNS tích hợp
🧪 Kiểm tra DNS và xác minh rò rỉ
Các dịch vụ kiểm tra rò rỉ DNS
🔵 dnsleaktest.com
Dịch vụ phổ biến nhất để kiểm tra rò rỉ DNS
✅ Kiểm tra Tiêu chuẩn
✅ Kiểm tra Mở rộng
✅ Hiển thị các máy chủ DNS
🟡 ipleak.net
Kiểm tra toàn diện: IP, DNS, WebRTC, định vị địa lý
✅ Kiểm tra DNS
✅ Kiểm tra IPv6
✅ Kiểm tra Rò rỉ WebRTC
✅ Kiểm tra IP Torrent
🟢 browserleaks.com/dns
Thông tin chi tiết về cấu hình DNS
✅ Máy chủ DNS
✅ Trạng thái DoH
✅ DNSSEC
✅ Thời gian phản hồi DNS
Kiểm tra DNS bằng dòng lệnh
Windows:
# Hiển thị các máy chủ DNS hiện tại
ipconfig /all | findstr "DNS"
# Xóa bộ nhớ đệm DNS
ipconfig /flushdns
# Kiểm tra nslookup
nslookup google.com
nslookup google.com 1.1.1.1
Linux/Mac:
# Hiển thị máy chủ DNS
cat /etc/resolv.conf
# Kiểm tra dig
dig google.com
dig @1.1.1.1 google.com
# Kiểm tra DoH
curl -H 'accept: application/dns-json' 'https://cloudflare-dns.com/dns-query?name=google.com&type=A'
🎁 ProxyCove: Bảo vệ chống rò rỉ DNS tích hợp
ProxyCove tự động bảo vệ chống rò rỉ DNS: Tất cả các yêu cầu DNS đều đi qua máy chủ proxy với hỗ trợ phân giải DNS từ xa. ISP của bạn KHÔNG thấy các trang web bạn truy cập!
💰 Giá cước 2025:
- Proxy Datacenter: $1.5/GB
- Proxy Residential: $2.7/GB
- Proxy Mobile: $3.8/GB
🎉 Mã khuyến mãi ARTHELLO: +$1.3 thưởng khi đăng ký
📖 Phần cuối: Chúng ta sẽ tìm hiểu về chuyển tiếp cổng (port forwarding) cho proxy server, cấu hình quy tắc tường lửa để bảo mật tối đa, cấu hình NAT, khắc phục sự cố điển hình với cổng và DNS, và tóm tắt toàn bộ hướng dẫn về cổng và DNS trong năm 2025.
Phần cuối: Chúng ta sẽ học cách cấu hình chuyển tiếp cổng (port forwarding) cho proxy server, cấu hình quy tắc tường lửa để bảo mật tối đa, cấu hình NAT, giải quyết các sự cố điển hình với cổng và DNS, và tóm tắt toàn bộ hướng dẫn về cổng và DNS trong năm 2025.
📑 Mục lục phần cuối
🔄 Chuyển tiếp cổng (Port Forwarding) cho proxy server
Port Forwarding là gì
Port Forwarding (chuyển tiếp cổng) là một kỹ thuật NAT (Network Address Translation) chuyển hướng lưu lượng mạng từ một cổng trên địa chỉ IP công cộng sang một địa chỉ IP và cổng nội bộ trong mạng cục bộ.
🎯 Tại sao cần cho proxy:
Kịch bản: Bạn có một proxy server trong mạng nội bộ đằng sau router có NAT. Bạn muốn khách hàng từ internet có thể kết nối đến proxy của mình.
Internet → Router (IP công cộng: 203.0.113.1)
↓ Chuyển tiếp cổng: 8080 → 192.168.1.100:8080
Mạng nội bộ → Máy chủ Proxy (192.168.1.100:8080)
Khách hàng kết nối đến 203.0.113.1:8080, router chuyển hướng lưu lượng đến 192.168.1.100:8080
Cấu hình Port Forwarding trên router
📋 Hướng dẫn từng bước:
- Mở giao diện web của router — thường là
192.168.1.1hoặc192.168.0.1 - Đăng nhập bằng tên người dùng và mật khẩu quản trị viên
- Tìm mục "Port Forwarding", "Virtual Server", hoặc "NAT"
- Tạo quy tắc mới:
- Tên dịch vụ: Proxy Server
- Cổng ngoài (External Port): 8080 (cổng từ internet)
- IP Nội bộ: 192.168.1.100 (IP của máy chủ proxy)
- Cổng Nội bộ (Internal Port): 8080 (cổng trên máy chủ proxy)
- Giao thức: TCP (cho HTTP/SOCKS)
- Áp dụng cài đặt và khởi động lại router
Ví dụ cho các cổng proxy phổ biến:
# Proxy HTTP trên cổng 8080
Ngoài: 8080/TCP → Trong: 192.168.1.100:8080
# Proxy HTTPS trên cổng 443
Ngoài: 443/TCP → Trong: 192.168.1.100:443
# SOCKS5 trên cổng 1080
Ngoài: 1080/TCP → Trong: 192.168.1.100:1080
# Squid trên cổng 3128
Ngoài: 3128/TCP → Trong: 192.168.1.100:3128
Chuyển tiếp cổng qua dòng lệnh
Linux (iptables):
# Bật chuyển tiếp IP
echo 1 > /proc/sys/net/ipv4/ip_forward
# Chuyển tiếp cổng 8080 đến máy chủ nội bộ 192.168.1.100:8080
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:8080
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 8080 -j MASQUERADE
# Lưu quy tắc
iptables-save > /etc/iptables/rules.v4
Windows (netsh):
# Chuyển tiếp cổng 8080 đến 192.168.1.100:8080
netsh interface portproxy add v4tov4 listenport=8080 listenaddress=0.0.0.0 connectport=8080 connectaddress=192.168.1.100
# Hiển thị tất cả các chuyển tiếp
netsh interface portproxy show all
# Xóa chuyển tiếp
netsh interface portproxy delete v4tov4 listenport=8080 listenaddress=0.0.0.0
⚠️ Rủi ro bảo mật của Port Forwarding:
- Cổng mở — kẻ tấn công có thể quét và khai thác lỗ hổng
- Tấn công DDoS — truy cập trực tiếp vào máy chủ từ internet
- Brute-force — đoán mật khẩu proxy
- Khai thác — sử dụng proxy của bạn cho hoạt động bất hợp pháp
Giải pháp: Luôn sử dụng xác thực, quy tắc tường lửa và giám sát lưu lượng truy cập!
🛡️ Cấu hình Quy tắc Tường lửa
Nguyên tắc cơ bản của Tường lửa cho Proxy
🎯 Nguyên tắc đặc quyền tối thiểu:
- Chặn tất cả theo mặc định (default deny)
- Chỉ cho phép các cổng cần thiết
- Giới hạn truy cập theo IP (whitelist)
- Ghi nhật ký tất cả các kết nối
- Kiểm tra quy tắc thường xuyên
Quy tắc iptables cho máy chủ proxy
Cấu hình cơ bản:
#!/bin/bash
# Xóa quy tắc hiện tại
iptables -F
iptables -X
# Chính sách mặc định: DROP tất cả
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Cho phép loopback
iptables -A INPUT -i lo -j ACCEPT
# Cho phép các kết nối đã thiết lập
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Cho phép SSH (quản lý máy chủ)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Cho phép cổng proxy HTTP 8080
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
# Cho phép cổng proxy HTTPS 443
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Cho phép cổng SOCKS5 1080
iptables -A INPUT -p tcp --dport 1080 -j ACCEPT
# Lưu quy tắc
iptables-save > /etc/iptables/rules.v4
Giới hạn truy cập theo IP (whitelist):
# Chỉ cho phép IP cụ thể truy cập cổng proxy 8080
iptables -A INPUT -p tcp --dport 8080 -s 203.0.113.50 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -s 198.51.100.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
# Cho phép nhiều IP
for ip in 203.0.113.50 198.51.100.25 192.0.2.100; do
iptables -A INPUT -p tcp --dport 8080 -s $ip -j ACCEPT
done
iptables -A INPUT -p tcp --dport 8080 -j DROP
Giới hạn tốc độ (bảo vệ chống DDoS):
# Giới hạn kết nối mới đến 10 mỗi phút mỗi IP
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
# Giới hạn 100 kết nối đồng thời
iptables -A INPUT -p tcp --dport 8080 -m connlimit --connlimit-above 100 -j REJECT --reject-with tcp-reset
# Bảo vệ SYN flood
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
Ghi nhật ký hoạt động đáng ngờ:
# Ghi nhật ký các gói tin bị DROP
iptables -A INPUT -j LOG --log-prefix "iptables-dropped: " --log-level 4
# Ghi nhật ký các nỗ lực truy cập proxy
iptables -A INPUT -p tcp --dport 8080 -j LOG --log-prefix "proxy-access: "
# Xem nhật ký
tail -f /var/log/syslog | grep iptables
Quy tắc Windows Firewall
Lệnh PowerShell:
# Cho phép lưu lượng vào trên cổng 8080
New-NetFirewallRule -DisplayName "Proxy HTTP" -Direction Inbound -LocalPort 8080 -Protocol TCP -Action Allow
# Cho phép lưu lượng vào trên cổng 443
New-NetFirewallRule -DisplayName "Proxy HTTPS" -Direction Inbound -LocalPort 443 -Protocol TCP -Action Allow
# Cho phép lưu lượng vào trên cổng 1080 (SOCKS5)
New-NetFirewallRule -DisplayName "Proxy SOCKS5" -Direction Inbound -LocalPort 1080 -Protocol TCP -Action Allow
# Chỉ cho phép IP cụ thể
New-NetFirewallRule -DisplayName "Proxy Restricted" -Direction Inbound -LocalPort 8080 -Protocol TCP -Action Allow -RemoteAddress 203.0.113.50
# Hiển thị tất cả các quy tắc
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*Proxy*"}
UFW (Uncomplicated Firewall) cho Ubuntu
Cấu hình đơn giản:
# Kích hoạt UFW
sudo ufw enable
# Chính sách mặc định
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Cho phép SSH (quan trọng!)
sudo ufw allow 22/tcp
# Cho phép cổng proxy
sudo ufw allow 8080/tcp comment 'HTTP Proxy'
sudo ufw allow 443/tcp comment 'HTTPS Proxy'
sudo ufw allow 1080/tcp comment 'SOCKS5'
# Cho phép từ IP cụ thể
sudo ufw allow from 203.0.113.50 to any port 8080 proto tcp
# Cho phép từ mạng con
sudo ufw allow from 192.168.1.0/24 to any port 8080 proto tcp
# Xem trạng thái
sudo ufw status verbose
🌐 Cấu hình NAT
Các loại NAT và ảnh hưởng đến Proxy
| Loại NAT | Mô tả | Đối với Proxy |
|---|---|---|
| Full Cone NAT | Bất kỳ máy chủ bên ngoài nào cũng có thể gửi gói tin đến IP nội bộ | ✅ Tuyệt vời |
| Restricted Cone NAT | Chỉ các máy chủ mà máy nội bộ đã gửi gói tin mới có thể gửi lại | ✅ Tốt |
| Port Restricted Cone NAT | Thêm kiểm tra cổng nguồn | ⚠️ Chấp nhận được |
| Symmetric NAT | Mỗi yêu cầu đến máy chủ mới sẽ có một cổng mới | ❌ Gây sự cố |
Cấu hình SNAT và DNAT
SNAT (Source NAT) — thay đổi địa chỉ nguồn:
# Máy chủ Proxy đằng sau NAT: thay đổi IP nguồn thành IP công cộng
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.1
# Hoặc sử dụng MASQUERADE cho IP động
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
DNAT (Destination NAT) — chuyển tiếp lưu lượng đến:
# Chuyển hướng lưu lượng đến cổng 8080 đến proxy nội bộ
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:8080
# Cho nhiều cổng
iptables -t nat -A PREROUTING -p tcp --dport 8080:8089 -j DNAT --to-destination 192.168.1.100
🔧 Khắc phục sự cố cổng
Các vấn đề và giải pháp điển hình
❌ Vấn đề 1: Không thể kết nối với proxy
Nguyên nhân có thể:
- Cổng bị tường lửa chặn
- Máy chủ proxy chưa chạy
- IP hoặc cổng không chính xác
- Chuyển tiếp cổng chưa được cấu hình
- Cổng bị ISP chặn
✅ Giải pháp:
# 1. Kiểm tra xem proxy có đang lắng nghe trên cổng không
netstat -tulpn | grep 8080
ss -tulpn | grep 8080
# 2. Kiểm tra tường lửa
sudo iptables -L -n | grep 8080
sudo ufw status
# 3. Kiểm tra khả năng truy cập cổng từ bên ngoài
telnet your-server-ip 8080
nc -zv your-server-ip 8080
# 4. Kiểm tra nhật ký proxy
tail -f /var/log/squid/access.log
❌ Vấn đề 2: Cổng đã bị chiếm dụng (Address already in use)
✅ Giải pháp:
# Tìm tiến trình chiếm cổng
sudo lsof -i :8080
sudo netstat -tulpn | grep :8080
# Kết thúc tiến trình
sudo kill -9 PID
# Hoặc thay đổi cổng proxy
sudo nano /etc/squid/squid.conf
# Thay đổi: http_port 8080 → http_port 8081
❌ Vấn đề 3: Tốc độ chậm qua proxy
Nguyên nhân có thể:
- Tải cao trên máy chủ
- Băng thông không đủ
- Nhiều kết nối đồng thời
- DNS phân giải chậm
✅ Giải pháp:
- Tăng giới hạn kết nối trong cấu hình proxy
- Tối ưu hóa tham số TCP:
tcp_window_size - Sử dụng bộ nhớ đệm DNS
- Bật kết nối keep-alive
- Phân phối tải trên nhiều cổng/máy chủ
Lệnh chẩn đoán
Kiểm tra các cổng đang mở:
# Linux
sudo netstat -tulpn | grep LISTEN
sudo ss -tulpn | grep LISTEN
sudo lsof -i -P -n | grep LISTEN
# Kiểm tra cổng cụ thể
sudo lsof -i :8080
# Quét cổng từ bên ngoài
nmap -p 8080,443,1080 your-server-ip
# Kiểm tra kết nối TCP
telnet your-server-ip 8080
nc -zv your-server-ip 8080
Windows:
# Hiển thị tất cả các cổng đang lắng nghe
netstat -ano | findstr LISTENING
# Kiểm tra cổng cụ thể
netstat -ano | findstr :8080
# Test-NetConnection
Test-NetConnection -ComputerName your-server -Port 8080
🔍 Khắc phục sự cố DNS
Các vấn đề DNS điển hình
❌ DNS không phân giải được
Kiểm tra:
# Kiểm tra phân giải DNS
nslookup google.com
dig google.com
host google.com
# Kiểm tra máy chủ DNS cụ thể
nslookup google.com 1.1.1.1
dig @1.1.1.1 google.com
Giải pháp:
- Kiểm tra /etc/resolv.conf
- Xóa bộ nhớ đệm DNS
- Đổi DNS thành 1.1.1.1
- Kiểm tra tường lửa (cổng 53)
❌ DNS chậm
Kiểm tra tốc độ:
# Thời gian yêu cầu DNS
time dig google.com
# Benchmark các máy chủ DNS
for dns in 1.1.1.1 8.8.8.8 9.9.9.9; do
echo "Testing $dns"
time dig @$dns google.com
done
Giải pháp:
- Sử dụng Cloudflare 1.1.1.1
- Bật bộ nhớ đệm DNS (dnsmasq, unbound)
- Cấu hình DoH
- Chọn máy chủ DNS gần nhất
❌ Phát hiện rò rỉ DNS
Kiểm tra:
Truy cập dnsleaktest.com và chạy Kiểm tra Mở rộng
Giải pháp:
- Sử dụng SOCKS5 với DNS từ xa (
socks5h://) - Cấu hình DNS thủ công thành 1.1.1.1
- Bật DoH trong trình duyệt
- Tắt IPv6 (nếu proxy không hỗ trợ)
- Chặn cổng 53 trong tường lửa
- Sử dụng VPN/proxy có bảo vệ rò rỉ DNS
✅ Danh sách kiểm tra bảo mật 2025
Danh sách kiểm tra đầy đủ cho máy chủ proxy
🔐 Cổng:
- ☑️ Sử dụng các cổng tiêu chuẩn (8080, 443, 1080)
- ☑️ Hoặc các cổng cao không chuẩn (10000+) để vượt qua chặn
- ☑️ Cấu hình quy tắc tường lửa (chỉ cho phép các cổng cần thiết)
- ☑️ Bật giới hạn tốc độ (chống DDoS)
- ☑️ Ghi nhật ký tất cả các kết nối
- ☑️ Quét cổng mở thường xuyên
🌐 DNS:
- ☑️ Sử dụng Cloudflare DNS (1.1.1.1) hoặc Google DNS (8.8.8.8)
- ☑️ Bật DNS over HTTPS (DoH) trong trình duyệt
- ☑️ Sử dụng SOCKS5 với phân giải DNS từ xa
- ☑️ Tắt IPv6 hoặc cấu hình DNS IPv6
- ☑️ Kiểm tra rò rỉ DNS thường xuyên
- ☑️ Bật xác thực DNSSEC
🛡️ Xác thực:
- ☑️ LUÔN sử dụng xác thực (username/password hoặc IP whitelist)
- ☑️ Mật khẩu mạnh (tối thiểu 16 ký tự)
- ☑️ Thay đổi mật khẩu thường xuyên
- ☑️ Giới hạn theo IP (whitelist)
- ☑️ 2FA cho quyền truy cập quản trị
🔒 Mã hóa:
- ☑️ Sử dụng proxy HTTPS trên cổng 443
- ☑️ Chứng chỉ SSL/TLS (Let's Encrypt)
- ☑️ Tắt các giao thức cũ (TLS 1.0, 1.1)
- ☑️ Sử dụng các bộ mã hóa (cipher suites) hiện đại
📊 Giám sát:
- ☑️ Ghi nhật ký tất cả các kết nối
- ☑️ Giám sát việc sử dụng băng thông
- ☑️ Cảnh báo về hoạt động đáng ngờ
- ☑️ Phân tích nhật ký thường xuyên
- ☑️ Số liệu hiệu suất
🎯 Các phương pháp tốt nhất 2025
Khuyến nghị của chuyên gia
💎 Để bảo mật tối đa:
- Sử dụng cổng 443 (HTTPS) để ẩn mình và vượt qua chặn — trông giống lưu lượng web thông thường
- Cấu hình DNS over HTTPS — bảo vệ chống rò rỉ DNS
- Bật IP whitelist — chỉ cho phép IP đáng tin cậy
- Sử dụng xác thực mạnh
- Cập nhật phần mềm thường xuyên và vá lỗ hổng
⚡ Để tốc độ tối đa:
- Sử dụng SOCKS5 trên cổng 1080 — chi phí phát sinh tối thiểu
- Cấu hình bộ nhớ đệm DNS (dnsmasq, unbound)
- Bật kết nối keep-alive
- Tối ưu hóa tham số TCP
- Sử dụng HTTP/2 hoặc HTTP/3
🌍 Để vượt qua chặn:
- Sử dụng cổng 443 — hiếm khi bị chặn
- Hoặc cổng không chuẩn (10000+)
- Cấu hình DoH/DoT — vượt qua kiểm duyệt DNS
- Thay đổi cổng định kỳ (port hopping)
- Sử dụng kỹ thuật che giấu (obfuscation)
🎮 Cho game và P2P:
- Sử dụng SOCKS5 trên cổng 1080 — hỗ trợ UDP
- Bật phân giải DNS từ xa — bảo vệ quyền riêng tư
- Cấu hình chuyển tiếp cổng cho kết nối đến
- Tối ưu hóa độ trễ (latency) — chọn máy chủ gần nhất
- Sử dụng Full Cone NAT
🎓 Kết luận và khuyến nghị
Các kết luận chính
📊 Lựa chọn cổng:
- Để ẩn mình: Cổng 443 (HTTPS) — trông giống lưu lượng web thông thường
- Cho HTTP: Cổng 8080 — tiêu chuẩn proxy HTTP
- Đa năng: Cổng 1080 (SOCKS5) — hỗ trợ mọi loại lưu lượng
- Mạng công ty: Cổng 3128 (Squid)
- Khi bị chặn: Các cổng không chuẩn (10000+)
🌐 Cấu hình DNS:
- Sử dụng Cloudflare 1.1.1.1 — nhanh nhất, riêng tư nhất
- Bật DNS over HTTPS — mã hóa yêu cầu DNS
- SOCKS5 với DNS từ xa — ngăn chặn rò rỉ DNS
- Kiểm tra thường xuyên — dnsleaktest.com
- Tắt IPv6 — nếu proxy không hỗ trợ
🛡️ Bảo mật:
- Luôn sử dụng xác thực — username/password hoặc IP whitelist
- Cấu hình tường lửa — nguyên tắc đặc quyền tối thiểu
- Giới hạn tốc độ — bảo vệ chống DDoS và brute-force
- Giám sát và ghi nhật ký — theo dõi hoạt động đáng ngờ
- Cập nhật thường xuyên — vá lỗ hổng
Có gì mới trong năm 2025?
- DNS over HTTPS đã trở thành tiêu chuẩn — tất cả các trình duyệt hiện đại đều hỗ trợ DoH
- IPv6 trở nên bắt buộc — proxy phải hỗ trợ IPv6
- Chặn tăng cường — ISP tích cực chặn các cổng proxy tiêu chuẩn
- DDoS dựa trên AI — các phương pháp tấn công mới đòi hỏi bảo vệ nâng cao
- Kiến trúc Zero Trust — xác thực trên mỗi yêu cầu
- HTTP/3 và QUIC — các giao thức mới cho tốc độ cao
🎁 ProxyCove: Proxy hiện đại với cổng và DNS phù hợp
Tại sao ProxyCove là lựa chọn tốt nhất trong năm 2025:
- ✅ Tất cả các cổng phổ biến: HTTP (8080, 3128), HTTPS (443, 8443), SOCKS5 (1080)
- ✅ Bảo vệ chống rò rỉ DNS: Phân giải DNS từ xa, hỗ trợ DoH
- ✅ Xác thực linh hoạt: Username/Password hoặc IP whitelist
- ✅ Tốc độ cao: Máy chủ được tối ưu hóa tại hơn 50 quốc gia
- ✅ Hỗ trợ IPv6: Các giao thức hiện đại
- ✅ Giám sát 24/7: Đảm bảo uptime 99.9%
- ✅ Bảo vệ DDoS: Bảo mật cấp Doanh nghiệp
💰 Giá cước minh bạch 2025:
| Loại Proxy | Giá mỗi GB | Tốt nhất cho |
|---|---|---|
| Datacenter | $1.5/GB | Cào dữ liệu, SEO, tự động hóa |
| Residential | $2.7/GB | Mạng xã hội, thương mại điện tử |
| Mobile | $3.8/GB | Ứng dụng di động, chống ban |
🎉 Ưu đãi độc quyền cho độc giả!
Sử dụng mã khuyến mãi ARTHELLO và nhận thêm +$1.3 vào tài khoản khi đăng ký!
📚 Tóm tắt: 3 lời khuyên chính cho năm 2025
- Sử dụng cổng 443 (HTTPS) để ẩn mình tối đa và vượt qua chặn — nó trông giống như lưu lượng web thông thường
- Cấu hình DNS over HTTPS với Cloudflare 1.1.1.1 — bảo vệ chống rò rỉ DNS và kiểm duyệt ở cấp độ DNS
- Luôn sử dụng xác thực và tường lửa — bảo mật là trên hết, không thỏa hiệp
Cảm ơn bạn đã đọc! Giờ đây bạn đã biết mọi thứ về cổng và DNS cho proxy server trong năm 2025. Hãy áp dụng những kiến thức này vào thực tế và tận hưởng internet an toàn và nhanh chóng qua proxy! 🚀