×

搭建火绒代理服务器

hqy hqy 发表于2026-01-14 22:27:17 浏览1 评论0

抢沙发发表评论

概述

本方案的核心是在一台能够访问互联网的Ubuntu服务器上部署Squid代理服务,并对其进行安全配置。内网中无法访问互联网的电脑,通过在其火绒软件中配置该代理服务器的地址和端口,即可实现病毒库和程序更新。


前置条件

1、一台已安装Ubuntu系统(建议20.04 LTS或更新版本)的服务器或PC,该机器需同时连接内网和互联网。

2、拥有该Ubuntu服务器的管理员权限(sudo)。

3、明确内网中需要通过代理升级火绒的电脑IP地址段(例如:192.168.1.0/24)。

4、明确火绒升级相关的域名:





update.huorong.cn;down2.huorong.cn;down7.huorong.cn;down-tencent.huorong.cn;


详细操作步骤

步骤1:在Ubuntu服务器上安装Squid

1、执行如下命令安装Squid



sudo apt updatesudo apt install squid -y

步骤2:配置Squid以实现访问控制

Squid的配置文件位于/etc/squid/squid.conf。在修改前,强烈建议先备份原始配置。


sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.backup

接下来,编辑配置文件以设置安全策略:


sudo vim /etc/squid/squid.conf

 进行如下几项关键配置:

1、定义监听端口与地址:指定Squid在哪个IP和端口上提供服务。为了安全,建议仅监听内网地址。





# 找到 listens to port 3128 这行,大概在2120行附近,在这行备注下方添加如下内容:http_port 内网IP地址:3128# 例如,如果服务器内网IP是192.168.6.76:http_port 192.168.6.76:3128

2、定义访问控制列表(ACL)

这是安全策略的核心,用于精确控制哪些客户端可以使用代理。

1)创建一个允许使用代理的IP列表文件allowed_ips.txt


sudo vim /etc/squid/allowed_ips.txt

将IP段填入该文件,只有在这些IP段里面的IP才能够使用代理:

图片

2)到squid.conf配置文件中引用这个文件

大概在配置文件的914行附近进行引用:


acl allowed_ips src "/etc/squid/allowed_ips.txt"

图片

3)创建一个域名白名单文件,只允许代理访问白名单文件中的域名


sudo vim /etc/squid/hr_upgrade_whitelist.txt

将火绒相关域名填入,域名前面的(.)是通配符:

图片

4)到squid.conf配置文件中引用这个文件

大概在配置文件的1010行附近进行引用:


acl hr_whitelist dstdomain "/etc/squid/hr_upgrade_whitelist.txt"

图片

5)添加允许规则

大概在配置文件的1544行附近:


http_access allow allowed_ips hr_whitelist

这条规则的意思是允许使用代理的IP访问域名白名单中的域名

图片

6)拒绝所有其他访问(这条规则必须放在之前所有规则的后面)

这条规则默认会有,大概在配置文件1568行附近,确保没有被注释:


http_access deny all

图片

步骤3:应用配置并重启Squid服务

1、在修改配置文件后,务必检查语法是否正确


sudo squid -k parse

图片

如果无错误输出,则重启Squid服务使配置生效。


sudo systemctl restart squid

步骤4:配置服务器防火墙

1、Ubuntu默认使用UFW管理防火墙。需要放行Squid的监听端口(如3128)、允许指定IP访问22端口进行远程,然后配置默认拒绝所有入站连接、允许所有出站连接。






sudo ufw allow 3128/tcpsudo ufw allow from 192.168.7.205 to any port 22sudo ufw allow from 192.168.6.75 to any port 22sudo ufw default deny incomingsudo ufw default allow outgoing

2、启用防火墙



sudo ufw enablesudo ufw status verbose  # 确认规则已添加

图片

 

效果测试

1、在192.168.7.205主机上,打开火绒杀毒软件,配置代理,点击网络测试,可以连接成功。

图片

2、在192.168.7.205主机上,配置浏览器代理为192.168.6.76:3128,无法访问除火绒之外的其他地址:

图片

说明代理服务器成功搭建,并且访问控制策略生效。


END


打赏

本文链接:https://kinber.cn/post/6157.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客