GrabDuck

Soft:3proxy:HowTo

:

  • Как посмотреть пример файла конфигурации

    Пример файла конфигурации 3proxy.cfg.sample поставляется с любым дистрибутивом программы.

  • Как настроить ведение журнала

    3proxy поддерживает ведение журнала на экран (stdout), в файл, через ODBC и через службу syslog (только для Unix/Linux/CygWin). Можно управлять либо общим файлом журнала, задаваемым в файле конфигурации 3proxy.cfg и единым для всех служб, либо индивидуальными файлами для отдельных служб (например, команда socks -l/var/log/socks.log запускает SOCKS прокси и задает для него индивидуальный журнал). Для общего файла журнала поддерживается ротация (т.е. периодическое создание новых файлов журнала с предопределенными именами и удаление файлов старше определенного срока) и архивация файлов журнала. Тип журнала определяется параметром log в файле конфигурации либо ключом -l при вызове конкретной службы (например, socks прокси). log или -l без параметров соответствуют ведению журнала на экран (stdout).

      log filename
    и
      -lfilename
    соответствуют записи журнала в файл filename. Если при указании имени файла в log в нем содержится символ %, то имя рассматривается как форматный спецификатор (см. logformat). Например, log c:\3proxy\logs\%y%m%d.log D создаст файл типа c:\3proxy\logs\060725.log, для образования даты будет использовано местное время.
      log @ident
    и
      -l@ident
    соответствуют ведению журнала через syslog с идентификатором ident.
      log &connstring
    соответствует ведению журнала через ODBC, connstring задается в формате datasource,username,password (последние два параметра опциональны, если datasource не требует или уже содержит сведения для авторизации). При этом команда logformat должна задавать SQL запрос, который необходимо выполнить для добавления записи в журнал, см Как настроить формат журнала.

    Управление ротацией общего файла журнала происходит с помощью команд файла конфигурации log, rotate и archiver.

      log filename LOGTYPE
    задает тип ротации. LOGTYPE может принимать значения:
    • M, ежемесячная ротация
    • W, еженедельная ротация
    • D, ежедневная ротация
    • H, ежечасная ротация
    • С, ежеминутная ротация
      rotate NUMBER
    указывает на число файлов, участвующих в ротации (т.е. сколько последних журналов хранить).
      archiver EXT COMMAND PARAMETERS
    задает параметры архивации журнала. EXT указывает на расширение архива (например, zip, gz, Z, rar и т.д.) COMMAND указывает на программу и PARAMETERS - на параметры командной строки. Архиватор должен сам удалять исходный файл, также ему можно передать имя файла с помощью макроса %F и ожидаемое имя архива с помощью макроса %A. В качестве архиватора вполне можно задать пакетный файл, который, например, будет загружать данные из журнала в базу данных. Примеры команды archiver для популярных архиваторов можно найти в 3proxy.cfg.sample
      logdump OFFSET_BYTES_FROM_SERVER OFFSET_BYTES_FROM_CLIENT
    Задает смещение в байтах на входящий и исходящий трафик, при достижении которого необходимо создавать запись в журнале даже в том случае, если соединение еще не завершено. Если logdump не указан или значения OFFSET_BYTES_FROM_SERVER OFFSET_BYTES_FROM_CLIENT нулевые - в журнале будет создана единственная запись по окончании обработки запроса клиента (при разрыве соединения). Пример:
      logdump 1048576 1048576
    создает в журнале запись на каждый мегабайт входящего или исходящего трафика.
  • Как настроить формат журнала

    Начиная с версии 0.3, формат журнала может быть настроен с помощью команды logformat со строкой формата. Первый символ строки должен быть L или G, что указывает на формат, в котором будет указываться время и даты, L - текущее локальное время, G - абсолютное время по Гринвичу. Строка формата может содержать следующие модификаторы:

    • %y - Год (последние две цифры)
    • %Y - Год (четырехзначный)
    • %m - Номер месяца (01-12)
    • %o - Трехбуквенная аббревиатура месяца
    • %d - День (01-31)
    • %H - Час (00-23)
    • %M - Минута (00-59)
    • %S - Секунда (00-59)
    • %t - Временная метка (число секунд с 00:00:00 1 января 1970 г. по Гринвичу)
    • %. - Миллисекунды
    • %z - Временная зона в почтовом формате (от Гринвича, '+' восток, '-' запад ЧЧММ), например, Московское зимнее время +0300.
    • %U - Имя пользователя ('-', если отсутствует).
    • %N - Название прокси сервиса (PROXY, SOCKS, POP3P, и т.д.)
    • %p - Порт прокси сервиса
    • %E - Код ошибки (см. Коды ошибок в журнале)
    • %C - IP клиента
    • %c - Порт клиента
    • %R - IP сервера (исходящего соединения по запросу клиента)
    • %r - Порт сервера (исходящего соединения по запросу клиента)
    • %Q – IP, запрошенный клиентом
    • %q – Порт, запрошенный клиентом
    • %I - Принято байт от сервера
    • %O - Отправлено байт на сервер
    • %n - Имя хоста из запроса
    • %h - Число звеньев до конечного сервера (при использовании перенаправлений или чейнинга см. Как составлять цепочки прокси)
    • %T – Текст, специфичный для прокси сервиса (например, запрошенный URL). Можно использовать %X-YT, где X и Y положительные числа, тогда отображаются только поля с X по Y текста. Поля считаются разделенными пробельным символом.
    Пример:
      logformat "L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
    будет генерировать в журнале записи типа
      1042454727.0296 SOCK4.1080 000 3APA3A 127.0.0.1:4739 195.122.226.28:4739 505 18735 1 GET http://3proxy.ru/ HTTP/1.1
    (без переноса строк) При использовании ODBC, logformat должен задавать формат SQL команды, которую необходимо дать для внесения записи в журнал, например:
      logformat "-\'+_GINSERT INTO proxystat VALUES (%t, '%c', '%U', %I)"
    префикс -\'+_ указывает, что символы \ и ' следует заменить на _ .
  • Как использовать лог-анализаторы с 3proxy

    Просто сделайте формат ведения журнала совместимым с одним из форматов, поддерживаемых анализатором. Это позволяет использовать практически любые анализаторы. Примеры совместимых форматов:
    Формат Squid access.log:

      "- +_G%t.%. %D %C TCP_MISS/200 %I %1-1T %2-2T %U DIRECT/%R application/unknown"
    Более совместимый формат, но без %D
      "- +_G%t.%. 1 %C TCP_MISS/200 %I %1-1T %2-2T %U
      DIRECT/%R application/unknown"
    Формат ISA 2000 proxy WEBEXTD.LOG (поля разделены табуляцией):
      "-	+ L%C	%U	Unknown	Y	%Y-%m-%d	%H:%M:%S
      w3proxy	3PROXY	-	%n	%R	%r	%D
      %O	%I	http	TCP	%1-1T	%2-2T	-	-
      %E	-	-	-"
    Формат ISA 2004 proxy WEB.w3c (поля разделены табуляцией):
      "-	+ L%C	%U	Unknown	%Y-%m-%d	%H:%M:%S
      3PROXY	-	%n	%R	%r	%D	%O
      %I	http	%1-1T	%2-2T	-	%E	-
      -	Internal	External	0x0	Allowed"
    Формат ISA 2000/2004 firewall FWSEXTD.log (поля разделены табуляцией):
      "-	+ L%C	%U	unnknown:0:0.0	N	%Y-%m-%d
      %H:%M:%S	fwsrv	3PROXY	-	%n	%R	%r
      %D	%O	%I	%r	TCP	Connect	-	-
      -	%E	-	-	-	-	-"
    Стандартный лог HTTPD (Apache и другие):
      "-""+_L%C - %U [%d/%o/%Y:%H:%M:%S %z] ""%T"" %E %I"
    Более совместимый, но без кода ошибки:
      "-""+_L%C - %U [%d/%o/%Y:%H:%M:%S %z] ""%T"" 200 %I"
  • Как запустить конкретную службу (HTTP, SOCKS и т.д)

    3proxy поставляется в двух вариантах: как набор отдельных модулей (proxy, socks, pop3p, tcppm, udppm) и как универсальный прокси-сервер (3proxy). Универсальный прокси сервер - это законченная программа, которой не требуются отдельные модули.
    Отдельный модуль управляется только из командной строки. Поэтому для отдельного модуля не поддерживаются многие функции, такие как управление доступом и ротация журнала. Запуск модуля осуществляется из командной строки. Например,

      $/sbin/socks -l/var/log/socks.log -i127.0.0.1
    запускает SOCKS на порту 127.0.0.1:1080 с ведением журнала /var/log/socks.log Справку по опциям командной строки можно получить запустив модуль с ключом -?.

    Если используется 3proxy, то запускаемые службы указываются в файле 3proxy.cfg. Файл 3proxy.cfg просматривается 3proxy построчно, каждая строка рассматривается как управляющая команда. Синтаксис команд описан в 3proxy.cfg.sample. Например,

      log /var/log/3proxy.log D
      rotate 30
      internal 127.0.0.1
      external 192.168.1.1
      proxy
      socks
      pop3p -l/var/log/pop3proxy
    запускает 3 службы - PROXY, SOCKS и POP3 Proxy. Каждая слушает на интерфейсе 127.0.0.1 порт по-умолчанию (3128 для proxy, 1080 для socks и 110 для pop3p). Журналы всех служб кроме pop3p ведутся в файле /var/log/3proxy.log, который ежедневно меняется. Хранятся 30 последних файлов. Для pop3p ведется отдельный журнал /var/log/pop3proxy (см. Как настроить ведение журнала).
  • Как повесить службу на определенный интерфейс или порт

    Опция -i позволяет указать внутренний интерфейс, -p - порт (пробелы в опциях не допускаются). Например, чтобы служба proxy висела на порту 8080 интерфейсов 192.168.1.1 и 192.168.2.1 необходимо дать команды

      proxy -p8080 -i192.168.1.1
      proxy -p8080 -i192.168.2.1
  • Как ограничить доступ к службе

    Во-первых, для ограничения доступа необходимо указать внутренний интерфейс, на котором прокси-сервер будет принимать соединения. Внутренний интерфейс указывается с помощью команды internal в файле конфигурации или с помощью ключа -i конкретного модуля. (см. Как запустить конкретную службу (HTTP, SOCKS и т.д)). Отсутствие указания внутреннего интерфейса может привести к тому, что ваш прокси будет открытым.

    Указание внешнего интерфейса (т.е. IP, с которого сервер будет устанавливать внешние соединения) так же является полезным. Для этого служит команда external и ключ -e соответственно. Для универсального прокси возможна дополнительная авторизация доступа с помощью имени/пароля, NetBIOS имени пользователя и по спискам доступа (по IP клиента, IP и порту назначения, см. Как ограничить доступ пользователей к ресурсам). Тип авторизации устанавливается командой auth в файле конфигурации.

      auth none
    Отсутствие какой-либо авторизации. Списки доступа не проверяются.
      auth iponly
    Будет идти проверка по списку доступа с использованием IP клиента, IP и номера порта назначения.
      auth nbname
    Перед проверкой по списком доступа будет произведена попытка получить NetBIOS имя клиента. Для этого используется NetBIOS код службы messager (0x03). Если имя определить не удалось (служба messager для Windows NT/2000/XP или WinPopUP для 95/98/ME не запущена), то имя будет считаться пустым. Далее следует проверка по спискам доступа. Данный тип авторизации не зависит от платформы сервера (т.е. прокси сервер, запущенный под Unix, сможет определять NetBIOS имена). Его рекомендуется использовать в однородных сетях, где у всех клиентов установлена Windows NT/2000/XP и пользователи не имеют доступа к привелегированным учетным записям. Этот вид авторизации не является надежным.
      auth strong
    Проверяется имя и пароль, переданные пользователем при подключении к прокси. Данный вид авторизации работает только с proxy и socks. Необходимо задание списка пользователей (см Как создать список пользователей). Соединения от неизвестных пользователей не принимаются. После проверки имени пользвоателя и пароля происходит проверка списков доступа.

    Для разных служб можно установить различные типы авторизации, например,

      auth none
      pop3p
      auth iponly
      proxy
      auth strong
      socks
    не накладывает ограничений на использование POP3 Proxy, производит проверку по спискам доступа для пользователей HTTP Proxy и требует авторизации с именем и паролем для SOCKS.

    С версии 0.6 возможно использвоать двойную авторизацию, например,

      auth iponly strong
      allow * * 192.168.0.0/16
      allow user1,user2
      proxy
    будет использовать авторизацию только в том случае, если не удалось пропустить пользователя с авторизаций iponly, т.е. для доступа к ресурсам 192.168.0.0/16 авторизация не требуется.

    С версии 0.6 так же можно использвоать кэширование авторизации (имени пользователя) с целью повышения производительности. Использовать кэширование для strong практически не имеет смысла, она полезно для nbname и авторизации через внешние плагины, типа WindowsAuthentication. Кэширование настраивается командой authcache с двумя параметрами - типом кэширования и временем, на которое кэшируется пароль. Возможные типы: ip - после успешной авторизации в течение времени кэширования все запросы пришедшие с того же адреса считаются запросами от того же пользователя, name - после успешной авторизации от пользователя с тем же именем требуют указания имени, но реально аутентификации не производится, ip,name - запрос должен придти от того же IP и с тем же именем. user,password - имя и пароль пользователя сверяются с кэшированными. Возможны и другие сочетания. Для авторизации должен использоваться специальный метод авторизации - cache. Пример:

      authcache ip 60
      auth cache strong windows
      proxy -n
    Кэширование влияет на безопасность доступа. Ни в коем случае не следует использовать кэширование для доступа к критичным ресурсам, в частности к интерфейсу администрирования.
  • Как создать список пользователей

    Список пользователей задается с помощью команды users.

      users USERDESC ...
    С помощью одной команды можно задать несколько пользователей, можно давать несколько команд users. USERDESC - описание пользователя. Описание пользователя состоит из трех полей разделенных : (двоеточием) - имени (login) типа пароля и пароля. Например:
      users admin:CL:bigsecret test:CL:password test1:CL:password1
      users "test2:CR:$1$lFDGlder$pLRb4cU2D7GAT58YQvY49."
      users test3:NT:BD7DFBF29A93F93C63CB84790DA00E63
    Обратите внимание на двойные кавычки - они необходимы для второго пользователя, т.к. в его пароле встречается знак $, который для файла 3proxy.cfg означает включение другого файла. Поддеживается следующие типы паролей:
    • тип не указан - использовать системную авторизацию для данного пользователя (пока не реализовано).
    • CL - пароль в открытом тексте
    • CR - пароль в формате crypt() (только MD5)
    • NT - пароль в формате NT в шестнадцатеричной кодировке
    NT и crypt пароли могут быть использованы для импорта учетных записей из Windows/Samba и Unix соответственно (для Windows можно использовать утилиты семейства pwdump). Учетные записи удобно хранить в отдельном файле (в таком случае можно хранить их построчно в формате, типичном для файлов паролей). Включить файл можно с помощью макроса $:
      users $/etc/.3proxypasswd
    или
      users $"c:\Program Files\3proxy\passwords"
    Шифрованные NT и crypt пароли можно создавать с помощью утилиты mycrypt.
    Список пользователей един для всех служб. Разграничение доступа по службам необходимо производить с помощью списков доступа.
  • Как ограничить доступ пользователей к ресурсам

    Для построения списков доступа используются команды allow, deny и flush. Команды имеют следующую структуру:

      allow <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist> <weekdays> <timeperiodslist>
      deny <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist> <weekdays> <timeperiodslist>
      flush
    Команда flush используется для сброса существующего списка доступа (это необходимо для того, чтобы можно было задать различные списки доступа для различных служб). allow служит для разрешения соединения, deny - для запрета соединения. Команда parent используется в качестве расширения команды allow для управления перенаправлениями соединений (о перенаправлении см. Как управлять перенаправлениями). В момент установки исходящего соединения просматривается список доступа и находится первая запись, соответствующая запрошенному клиентом соединению. Если запись соттветствует allow - соединение разрешается, deny - запрещается. Если список пуст, то соединение разрешается. Если список не пуст, но подходящей записи нет, то соединение запрещается. При этом:
    • <userlist> - список логинов пользователей через запятую
    • <sourcelist> - список сетей клиентов через запятую. Сеть задается в формате xxx.yyy.zzz.mmm/l, где l - длина маски сети (количество ненулевых байт). Например, 192.168.1.0/24 соответствует сети с маской 255.255.255.0.
    • <targetlist> - список сетей назначения через запятую
    • <targetportlist> - список портов назначения через запятую. можно задать диапазон портов через -, например, 80,1024-65535
    • <commandlist> - список команд, через запятую, для которых применяется правило:
      CONNECT - установить исходящее TCP соединение (например, SOCKSv4/5, POP3 proxy, и т.д.)
      BIND - разрешить входящее TCP соединение (SOCKSv5)
      UDPASSOC - создать UDP-ассоциацию (SOCKSv5)
      ICMPASSOC - создать ICMP-ассоциацию (не реализовано)
      HTTP_GET - HTTP GET запрос (HTTP proxy)
      HTTP_PUT - HTTP PUT запрос (HTTP proxy)
      HTTP_POST - HTTP POST запрос (HTTP proxy)
      HTTP_HEAD - HTTP HEAD запрос (HTTP proxy)
      HTTP_CONNECT - HTTP CONNECT запрос (HTTP proxy)
      HTTP_OTHER - другой HTTP запрос (HTTP proxy)
      HTTP - соответствует любому HTTP запросу кроме HTTP_CONNECT (HTTP proxy)
      HTTPS - тоже, что HTTP_CONNECT (HTTP proxy)
      FTP_GET - FTP get запрос
      FTP_PUT - FTP put запрос
      FTP_LIST - FTP list запрос
      FTP - соответствует любому FTP запросу
      ADMIN - доступ к интерфейсу администрирования
    • <weekdays> задает список дней недели, 1 соответствует понедельнику, 0 или 7 - воскресенье. 1-5 означает с понедельника по пятницу (включительно). 1,3,5 задает нечетные дни недели.
    • <timeperiodslist> список интервалов дня в формате ЧЧ:ММ:СС-ЧЧ:ММ:СС, например, 00:00:00-08:00:00,17:00:00-24:00:00 задает нерабочее время.
    Примеры использования листов доступа можно найти в файле 3proxy.cfg.sample.
  • Как управлять перенаправлениями

    Перенаправления имеет смысл использовать, например, чтобы перенаправить обращения определенных клиентов или на определнные сервера на другой сервер (например, при попытке доступа на Web сервер с недозволенным материалом перенаправить на собственный Web сервер, или для того, чтобы в зависимости от IP клиента перенаправлять его соединения на разные сервера (особенно при отображении портов через tcppm). Кроме того, перенаправление может быть использовано, например, для перенаправления все исходящих HTTP запросов, посланных через SOCKS, на HTTP прокси. Поскольку формат запроса к Web серверу и Proxy различается, не любой Proxy сервер способен корректно обработать перенаправленный запрос (HTTP proxy в комплекте 3proxy нормально обрабатывает перенаправленные запросы, что делает возможным его использования в качестве "прозрачного" прокси. Кроме того, HTTP прокси обнаруживает перенаправления на родительский прокси и генерирует нормальные заголовки. Пример простейшего перенаправления:

      auth iponly
      allow *
      parent 1000 http 192.168.1.1 3128
      proxy
    перенаправляет весь трафик службы proxy на родительский HTTP-прокси сервер 192.168.1.1 порт 3128.
    Если в качестве номера порта указан порт 0, то указанный IP адрес используется в качестве внешнего адреса для установки соединения (аналог -eIP, но только для запросов попадающих под allow).
    Специальным случаем перенаправлений являются локальные перенаправления, которые, как правило, используются совместно со службой socks. В локальных перенаправлениях IP адрес 0.0.0.0 порт 0. Например,
      auth iponly
      allow * * * 80
      parent 1000 http 0.0.0.0 0
      allow * * * 21
      parent 1000 ftp 0.0.0.0 0
      allow * * * 110
      parent 1000 pop3 0.0.0.0 0
      socks
    перенаправляет все содеинения, проходящие через SOCKS-сервер по 80 порту, в локальный HTTP прокси, 21-му - в FTP, и 110 - в POP3 прокси. При этом службы proxy, ftppr или pop3pr запускать не требуется. Это может быть полезно для того, чтобы видеть в логах записи о посещаемых пользвоателем ресурсах и загружаемых файлах даже в том случае, если он подключается через SOCKS.
  • Как организовать балансировку между несоклькими каналами

    Сам по себе прокси не может управлять маршрутизацией пакетов сетевого уровня. Единственная возможность для управления внешними соединениями - это выбор внешнего интерфейса. Сделать выбор внешнего интерфейса случайным начиная с версии 0.6 можно с использованием локальных перенаправлений (с номером порта равным нулю):

      auth iponly
      allow *
      parent 500 http 10.1.1.101 0
      parent 500 http 10.2.1.102 0
    будет использовать внешний интерфейс 10.1.1.1 или 10.2.1.1 с вероятностью 0.5. Внешний интерфейс это то же, что задается командой external или опцией -e. Чтобы это работало как ожидается, необходимо, чтобы локальным интерфейсам 10.1.1.1 и 10.2.1.1 соответствовали разные маршруты по-умолчанию.

    Если оба адреса принадлежат одной сети, например, 10.1.1.101 и 10.1.1.102 и нужно случайным образом выбирать один из шлюзов 10.1.1.1 и 10.1.1.2, то нужно управлять роутингом примерно так (при условии что маршрут по-умолчанию не задан):

      route add -p 10.1.1.1 10.1.1.101
      route add -p 10.1.1.2 10.1.1.102
      route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.1
      route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.2
    Если второго адреса на прокси сервере нет - его надо добавить. Под Linux/Unix лучше использовать source routing.
  • Как составлять цепочки прокси

    Для составления цепочек прокси так же можно использовать команду parent, которая является расширением команды allow (т.е. команде parent должна предшествовать команда allow). С помощью этой команды можно строить цепочки из HTTPS (HTTP CONNECT), SOCKS4 и SOCKS5 прокси (т.е. последовательно подключаться через несколько прокси), при этом возможна авторизация на родительском прокси, звено цепочки может выбираться случайным образом из несольких значений с вероятностью согласно их весу. Вес (от 1 до 1000) задается для каждого прокси. Сумма весов по всем перенаправлениям должна быть кратна 1000. Прокси с весами до 1000 группируются, и при построении цепочки один из них выбирается случайно согласно весу. Длина цепочки определяется из суммарного веса. Например, если суммарный вес цепочки 3000, в цепочке будет 3 звена (хопа). Синтаксис команды:

      parent <weight> <type> <ip> <port> <username> <password>
    weight - вес прокси, type - тип прокси (tcp - перенаправление соединения, может быть только последним в цепочке, http - синоним tcp, connect - HTTP CONNECT/HTTPS прокси, socks4 - SOCKSv4 прокси, socks5 - SOCKSv5 прокси), ip - IP адрес прокси, port - порт прокси, username - имя для авторизации на прокси (опционально), password - пароль для авторизации на прокси (опционально).
    Пример:
      allow *
      parent 500 socks5 192.168.1.1 1080
      parent 500 connect 192.168.10.1 3128
    Создает цепочку из одного звена (суммарный вес 1000), в котором один из двух прокси выбирается случайно с равной вероятностью (веса равны). В цепочку перенаправляются все исходящие соединения (определяется командой allow).
      allow * * * 80
      parent 1000 socks5 192.168.10.1 1080
      parent 1000 connect 192.168.20.1 3128
      parent 300 socks4 192.168.30.1 1080
      parent 700 socks5 192.168.40.1 1080
    Создает цепочку из трех звеньев (суммарный вес 3000). Первое звено - 192.168.10.1, второе - 192.168.20.1, а третье - либо 192.168.30.1 с вероятностью 0.3 либо 192.168.40.1 с вероятностью 0.7
  • Как ограничивать скорости приема

    3proxy позволяет устанавливать фильтры ширины потребляемого канала. Для этого служат команды bandlimin/bandlimout и nobandlimin/nobandlimout (in в команде означает, что правило применяется к входящему трафику, out - к исходящему).

      bandlimin <bitrate> <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist>
      nobandlimin <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist>

    bitrate указывает ширину потока в битах в секунду (именно в битах). В остальном команды аналогичны командам allow/deny с тем отличием, что команды bandlim не имеют привязки к конкретному сервису, такому как HTTP прокси или SOCKS и действуют на все сервисы, трафик по всем соединениям, попавшим под действие правила суммируется независимо от того, через какой сервис это соединение установлено.

      bandlimin 57600 * 192.168.10.16
      bandlimin 57600 * 192.168.10.17
      bandlimin 57600 * 192.168.10.18
      bandlimin 57600 * 192.168.10.19
    устанавалиет канал 57600 для каждого из четырех клиентов,
      bandlimin 57600 * 192.168.10.16/30
    устанавалиает суммарный канал 57600 на 4-х клиентов. Если необходимо, чтобы на какой-то сервис не было ограничения ширины канала, следует указать nobandlim для этого сервиса, например:
      nobandlimin * * * 110
      bandlimin 57600 * 192.168.10.16/32
    разрешает клиентам неограниченный по скорости доступ по протоколу POP3.
  • Как ограничивать объем принимаемого трафика
      counter <filename> <type> <reportpath> 
      countin <number> <type> <amount> <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist>
      nocountin <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist>
    countout <number> <type> <amount> <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist> nocountout <userlist> <sourcelist> <targetlist> <targetportlist> <commandlist>

    Команды позволяют установить лимит трафика на день, неделю или месяц. Сведения о трафике постоянно сохраняются в двоичном файле, указываемом командой counter, что делает подсчет трафика независимым от перезагрузки прокси. Можно управлять двоичным файлом, используя утилиту countersutil. Действие команд countin/nocountin аналогично действию bandlimin/nobandlimin, number - задает последовательный номер счетчика, номер должен быть уникальным положительным числом. Значение 0 указывает, что сведения для данного счетчика не надо сохранять в файле.
    reportpath - путь, по которому будут создаваться текстовые отчеты по потребленному трафику.
    type - тип ограничения или частота создания файлов отчета. D (На день), W (на неделю) или M (на месяц).
    amount - объем трафика на указанный период в мегабайтах.

  • Как строить списки сетей

    Очень часто списки сетей и пользователей бывают достаточно громоздкими. 3proxy не поддерживает создание групп, но позволяет включение файлов. Это означает, что для удобства администрирования выгодно хранить списки пользователей и списки сетей в отдельных файлах и при необходимости дать пользователю доступ к тому или иному ресурсу, править файл со списком пользователей или сетей вместо того, чтобы править сам файл 3proxy.cfg. В файле 3proxy.cfg файл со списком можно включить с помощью макроса $. Поскольку в 3proxy есть ограничения на максимальный размер элемента конфигурации, большие списки следует разбивать на несколько файлов и использовать несколько записей списка контроля доступом. В комплекте с 3proxy поставляется утилита dighosts, которая позволяет построить список сетей по странице Web. Утилита осуществляет поиск адресов на Web-странице в формате АДРЕС МАСКА или АДРЕС/ДЛИНА. Утилиту dighosts можно вызвать во время старта 3proxy, используя команду system. Например:

      system "dighosts http://provider/network.html local.networks"
      allow * * $local.networks
      allow *
      parent 1000 proxy.provider 3128 *
      proxy
      flush
    В данном случае в файле local.networks генерируется список локальных сетей по странице networklist.html. Далее используется список контроля доступа для того, чтобы разрешить локальному прокси-серверу доступ к локальным сетям напрямую, а все остальные запросы перенаправить на прокси-сервер провайдера.
  • Как управлять разрешением имен и кэшированием DNS

    Для разрешения имен и кэширования применяются команды nserver, nscache и nsrecord.

      nserver 192.168.1.2
      nserver 192.168.1.3:5353/tcp
    указывает 3proxy какие машины следует использвоать в качестве серверов DNS. Сервер 192.168.1.3 будет использоваться по порту TCP/5353 (вместо дефолтного UDP/53) только при недостижимости 192.168.1.2. Можно указать до 5 серверов. Если nserver не указан, будут использованы системные функции разрешения имен.
      nscache 65535
      nscache6 65535
    указывает размер кэша для разрешения имен (обычно достаточно большой) для IPv4 и IPv6 соответственно. Кэш исопльзуется только при явном указании nserver.
      nsrecord server.mycompany.example.com 192.168.1.1
      nsrecord www.porno.com 127.0.0.2
      ...
      deny * * 127.0.0.2
    добавляет статическую запись в кэш. Статические записи так же влияют на разрешение через dnspr если не указана опция -s. Начиная с версии 0.8 для dnspr могут быть сконфигурированы родительские прокси.
  • Как использовать IPv6

    IPv6 поддерживается с версии 0.8. Обратите внимание, что в некоторых видах прокси (например SOCKSv4) IPv6 не поддерживает на уровне протокола. В SOCKSv5 есть поддержка IPv6 с помощью отдельного вида запроса, который должен быть реализован в клиентском приложении или соксификаторе.
    Возможно проксирование из сетей IPv4 и IPv6 в сети IPv4, IPv6 и смешанные. Адреса IPv6 могут использоваться в командах internal, external, parent, ACL, опциях -i, -e и т.д. Команду external и опцию -e для каждого сервиса можно давать два раза - один раз с IPv4 и один раз с IPv6 адресом. internal и -i может быть указан только один, для биндинга ко всем адресам IPv4 и IPv6 можно использовать адрес [0:0:0:0:0:0:0:0] or [::].
    Кроме того, для каждого сервиса могут быть даны опции -4, -46, -64, -6 которые задают приоритет разрешения имен в адреса IPv4 и IPv6 (только IPv4, приоритет IPv4, приоритет IPv6, только IPv6).

  • Как использовать connect back

    Например, пользователю нужен доступ к прокси-серверу, который расположен на хосте 192.168.1.2 недоступном из внешней сети, но имеющем доступ во внешнюю сеть с внешним адрес 1.1.1.1. Так же у него есть машина с именем host.dyndns.example.org с внешним адресом 2.2.2.2. Пользователь запускает 2 экземпляра 3proxy, один на хосте 192.168.1.2 с конфигурацией

      users user:CL:password
      auth strong
      allow user
      proxy -rhost.dyndns.example.org:1234
    второй на хосте host.dyndns.example.org (2.2.2.2) с конфигурацией
      auth iponly
      allow * * 1.1.1.1
      tcppm -R0.0.0.0:1234 3128 1.1.1.1 3128
    В настройках браузера указывается host.dyndns.example.org:3128.
  • Как устанавливать соединение по требованию

    Команда dialer задает программу, которая будет запускаться при невозможности разрешить имя компьютера, например:

      dialer "rasdial PROVIDER"
    (описание rasdial можно найти на сервере поддержки Microsoft). Есть два аспекта: невозможность разрешения имени еще не свидетельствует об отсутствии соединения (это должна учитывать вызываемая программа), при использовании nscache имя может разрешиться при отсутствии соединения. В таких случаях полезно запрашивать заведомо несуществующий ресурс, например, http://dial.right.now/.