Debian 11에서 개인 연결을 위해 Dante Proxy를 설정하는 방법

소개

프록시 서버는 최종 사용자와 인터넷 리소스 간의 게이트웨이 역할을 하는 일종의 서버 응용 프로그램입니다. 프록시 서버를 통해 최종 사용자는 개인 정보 보호, 보안 및 캐싱을 비롯한 다양한 목적을 위해 웹 트래픽을 제어하고 모니터링할 수 있습니다. 예를 들어 프록시 서버를 사용하여 자신의 IP 주소가 아닌 다른 IP 주소에서 웹 요청을 할 수 있습니다. 또한 프록시 서버를 사용하여 관할권마다 웹이 어떻게 다르게 제공되는지 조사하거나 감시 또는 웹 트래픽 제한 방법을 피할 수 있습니다.

Dante는 안정적이고 대중적인 오픈 소스 SOCKS 프록시입니다. 이 자습서에서는 Debian 11 서버에서 SOCKS 프록시를 제공하도록 Dante를 설치하고 구성합니다.

전제 조건

이 가이드를 완료하려면 다음이 필요합니다.

  • Debian 11 서버 및 sudo 권한이 있는 루트가 아닌 사용자. Debian 11 가이드로 초기 서버 설정에서 이러한 권한을 가진 사용자를 설정하는 방법에 대해 자세히 알아볼 수 있습니다.

이 자습서에서는 도메인 이름 your_domain을 사용하지만 이를 자신의 도메인 이름 또는 IP 주소로 대체해야 합니다.

1단계 - Dante 설치

Dante는 오픈 소스 SOCKS 프록시 서버입니다. SOCKS는 덜 널리 사용되는 프로토콜이지만 일부 P2P 애플리케이션에 더 효율적이며 일부 트래픽 유형에 대해 HTTP보다 선호됩니다. 루트가 아닌 사용자로 다음 명령을 실행하여 패키지 목록을 업데이트하고 Dante를 설치하십시오.

  1. sudo apt update

  2. sudo apt install dante-server

Dante는 또한 백그라운드 서비스를 자동으로 설정하고 설치 후 시작합니다. 그러나 모든 기능이 비활성화된 상태로 배송되기 때문에 처음 실행할 때 오류 메시지와 함께 정상적으로 종료되도록 설계되었습니다. systemctl 명령을 사용하여 이를 확인할 수 있습니다.

  1. systemctl status danted.service



Output
● danted.service - SOCKS (v4 and v5) proxy daemon (danted)
     Loaded: loaded (/lib/systemd/system/danted.service; enabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Wed 2021-12-15 21:48:22 UTC; 1min 45s ago
       Docs: man:danted(8)
             man:danted.conf(5)
   Main PID: 14496 (code=exited, status=1/FAILURE)

Dec 15 21:48:21 proxies systemd[1]: Starting SOCKS (v4 and v5) proxy daemon (danted)...
Dec 15 21:48:22 proxies systemd[1]: Started SOCKS (v4 and v5) proxy daemon (danted).
Dec 15 21:48:22 proxies danted[14496]: Dec 15 21:48:22 (1639604902.102601) danted[14496]: warning: checkconfig(): no socks authentication methods enabled.  This means all socks requests will be blocked after negotiation. Perhaps this is not intended?

Dante 서비스를 성공적으로 시작하려면 구성 파일에서 서비스를 활성화해야 합니다.

Dante의 구성 파일은 기본적으로 /etc/danted.conf에 제공됩니다. nano 또는 선호하는 텍스트 편집기를 사용하여 이 파일을 열면 긴 구성 옵션 목록이 표시되며 모두 비활성화됩니다. 이 파일을 탐색하고 일부 옵션을 한 줄씩 활성화할 수 있지만 실제로는 이 파일을 삭제하고 처음부터 바꾸는 것이 더 효율적이고 읽기 쉽습니다. 이 작업에 대해 걱정하지 마십시오. 언제든지 패키지 목록으로 이동하여 Dante의 기본 구성을 검토하여 원하는 경우 스톡 구성 파일을 다시 얻을 수 있습니다. 그 동안 계속해서 삭제하십시오.

  1. sudo rm /etc/danted.conf

이제 더 간결한 것으로 바꿀 수 있습니다. 텍스트 편집기로 파일을 열면 파일이 없으면 자동으로 생성되므로 nano 또는 자주 사용하는 텍스트 편집기를 사용하면 이제 빈 구성 파일을 얻을 수 있습니다.

  1. sudo nano /etc/danted.conf

다음 내용을 추가합니다.

logoutput: syslog
user.privileged: root
user.unprivileged: nobody

# The listening network interface or address.
internal: 0.0.0.0 port=1080

# The proxying network interface or address.
external: eth0

# socks-rules determine what is proxied through the external interface.
socksmethod: username

# client-rules determine who can connect to the internal interface.
clientmethod: none

client pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
}

socks pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
}

이제 SOCKS에 대한 일반적인 규칙인 포트 1080에서 실행되는 사용 가능한 SOCKS 서버 구성이 있습니다. 이 구성 파일의 나머지 부분을 한 줄씩 분류할 수도 있습니다.

  • logoutput은 Dante가 연결을 기록하는 방법을 나타냅니다. 이 경우 일반 시스템 로깅을 사용합니다.
  • user.privileged는 dante가 권한을 확인하기 위한 루트 권한을 갖도록 허용
  • user.unprivileged는 권한이 없는 사용자로 실행하기 위한 권한을 서버에 부여하지 않습니다. 이는 더 세분화된 권한을 부여하지 않을 때 불필요하기 때문입니다.
  • 내부 연결 세부 정보는 서비스가 실행 중인 포트와 연결할 수 있는 IP 주소를 지정합니다.
  • 외부 연결 세부 정보는 대부분의 서버에서 기본적으로 eth0 아웃바운드 연결에 사용되는 네트워크 인터페이스를 지정합니다.

나머지 구성 세부 정보는 다음 섹션에서 설명하는 인증 방법을 다룹니다. ufw를 사용하는 경우 방화벽에서 포트 1080을 여는 것을 잊지 마십시오.

  1. sudo ufw allow 1080

이 시점에서 Dante를 다시 시작하고 연결할 수 있지만 전 세계에 개방된 SOCKS 서버가 있으므로 원하지 않을 수 있으므로 먼저 보안 방법을 배우게 됩니다.

2단계 - Dante 보안

지금까지 이 튜토리얼을 따랐다면 Dante는 인증을 위해 일반 Linux 사용자 계정을 사용할 것입니다. 이는 유용하지만 해당 연결에 사용되는 암호는 일반 텍스트로 전송되므로 다른 로그인 권한이 없는 전용 SOCKS 사용자를 생성하는 것이 중요합니다. 이를 위해 사용자에게 로그인 셸을 할당하지 않는 플래그와 함께 useradd를 사용한 다음 암호를 설정합니다.

  1. sudo useradd -r -s /bin/false your_dante_user

  2. sudo passwd your_dante_user

또한 보안되지 않은 무선 연결을 통해 이 계정에 로그인하거나 서버를 너무 광범위하게 공유하지 않는 것이 좋습니다. 그렇지 않으면 악의적인 행위자가 반복적으로 로그인을 시도할 수 있습니다.

Dante는 다른 인증 방법을 지원하지만 SOCKS 프록시에 연결할 많은 클라이언트(예: 애플리케이션)는 기본 사용자 이름 및 암호 인증만 지원하므로 해당 부분을 그대로 두는 것이 좋습니다. 대안으로 할 수 있는 것은 특정 IP 주소로만 액세스를 제한하는 것입니다. 이것은 가장 정교한 옵션은 아니지만 여기서 사용 중인 기술의 조합을 고려할 때 합리적인 옵션입니다. 필수 자습서에서 ufw를 사용하여 특정 IP 주소에 대한 액세스를 제한하는 방법을 이미 배웠을 수 있지만 Dante 내에서 직접 수행할 수도 있습니다. /etc/danted.conf를 편집합니다.

  1. sudo nano /etc/danted.conf



…
client pass {
    from: your_ip_address/0 to: 0.0.0.0/0
}

여러 IP 주소를 지원하려면 CIDR 표기법을 사용하거나 다른 client pass {} 구성 블록을 추가하면 됩니다.

client pass {
    from: your_ip_address/0 to: 0.0.0.0/0
}

client pass {
    from: another_ip_address/0 to: 0.0.0.0/0
}

그런 다음 구성 변경 사항으로 최종적으로 Dante를 다시 시작할 수 있습니다.

  1. sudo systemctl restart danted.service

이번에는 서비스 상태를 확인할 때 오류 없이 실행되는 것을 볼 수 있습니다.

  1. systemctl status danted.service



Output
● danted.service - SOCKS (v4 and v5) proxy daemon (danted)
     Loaded: loaded (/lib/systemd/system/danted.service; enabled; vendor preset: enable>
     Active: active (running) since Thu 2021-12-16 18:06:26 UTC; 24h ago

다음 단계에서는 마지막으로 프록시에 연결합니다.

3단계 - Dante를 통해 연결

Dante 서버를 시연하기 위해 다양한 유형의 웹 요청을 만드는 데 널리 사용되는 curl이라는 명령줄 프로그램을 사용합니다. 일반적으로 주어진 연결이 이상적인 환경에서 브라우저에서 작동하는지 여부를 확인하려면 항상 먼저 curl로 테스트해야 합니다. 이를 위해 로컬 컴퓨터에서 curl을 사용하게 됩니다. curl은 모든 최신 Windows, Mac 및 Linux 환경에 기본적으로 설치되므로 모든 로컬 셸을 열어 이 명령을 실행할 수 있습니다.

  1. curl -v -x socks5://your_dante_user:your_dante_password@your_server_ip:1080 http://www.google.com/



Output
*   Trying 68.183.159.74:1080...
* SOCKS5 connect to IPv4 142.251.33.68:80 (locally resolved)
* SOCKS5 request granted.
* Connected to 68.183.159.74 (68.183.159.74) port 1080 (#0)
> GET / HTTP/1.1
> Host: www.google.com
…

curl에 사용한 자격 증명은 이제 새 프록시 서버를 사용하려는 모든 위치에서 작동합니다.

결론

이 자습서에서는 오버헤드가 거의 또는 전혀 없는 프록시 트래픽을 위해 널리 사용되는 오픈 소스 API 엔드포인트를 배포하는 방법을 배웠습니다. 많은 애플리케이션에는 수십 년 전의 프록시 지원(대개 OS 수준에서)이 내장되어 있어 이 프록시 스택을 매우 재사용할 수 있습니다.

다음으로 다양한 유형의 웹 트래픽을 프록시하기 위해 Dante와 함께 실행할 수 있는 HTTP 프록시인 Squid를 배포하는 방법을 배울 수 있습니다.

프록시 서버의 가장 일반적인 사용 사례 중 하나는 서로 다른 글로벌 지역 간에 트래픽을 프록시하는 것이므로 다른 데이터 센터에서 이 구성을 복제하려는 경우 Ansible을 사용하여 서버 배포를 자동화하는 방법을 검토할 수 있습니다. .