TinyProxy

Tinyproxy 是一个面向 POSIX 系统开发的轻量级的开源 HTTP/HTTPS 代理守护进程,其从底层开始进行设计,保证了在高速的同时体积依然很小。它很适合用于需要完整 HTTP 代理特性,但系统资源又不足以运行大型代理的场景,比如嵌入式部署。
Tineproxy 采用 GNU GPL 协议(版本2及以上)分发。

特性


Tinyproxy 的体积很小,也仅需少量系统资源。在使用 glibc 时,内存占用一般大约 2 MB,而 CPU 占用会随着连接数量线性增长(具体取决于连接速度)。因此,Tinyproxy 可用在比较老旧的计算机上,或者用在基于Linux的路由器等网络设备上,而不会对设备性能造成明显的影响。
Tinyproxy 的构建和运行仅需一个最小化的 POSIX 环境。同时,它可以用其他附加库来添加额外功能。
Tinyproxy 允许进行 HTTPS 连接的转发,而且无需通过 CONNECT 方法以任何形式修改流量内容(请参阅ConnectPort指令)。
Tinyproxy 支持被配置为一个透明代理,使客户端无需进行任何配置即可使用代理。您也可以将其用作您网站的反向代理前端。
使用 AddHeader 指令,您可以向传出的流量里添加或插入 HTTP 标头信息。
如果您要构建自定义Web代理,可以轻松地修改Tinyproxy以满足您的自定义需求。 源码结构非常简单,遵循 KISS 原则。 因此,可以把它作为基础,来实现您可能需要Web代理执行的任何操作。
Tinyproxy具有隐私功能,可让您配置哪些HTTP标头可被允许通过,哪些HTTP标头应被阻止。 这使您既可以限制从HTTP服务器向Web浏览器发送的数据(例如Cookie),也可以限制从Web浏览器到HTTP服务器发送的数据(例如版本信息)。
通过使用远程监视工具,您可以远程获知代理统计信息,从而确切了解代理的繁忙程度。
您可以配置Tinyproxy来实现 访问控制 ,从而仅允许来自特定子网或特定接口的请求,从而确保那些随机出现的、未经授权的人不能使用您的代理。
只需进行一些配置(具体而言,将Tinyproxy创建的文件设为由非root用户拥有,并让它在大于1024的端口上运行),就能让 Tinyproxy 在没有任何特殊权限的情况下运行,从而将系统受到破坏的风险降至最低。 此外,它的设计致力于防止缓冲区溢出。 代码结构的简单也确保了此类bug易于定位。

安装Tinyproxy


tinyproxy版本1.8.3不支持账号密码验证,而版本1.10以上支持

  • 1、如果不需要鉴权,可以直接通过yum install tinyproxy安装默认的1.8版本
  • 2、如果需要鉴权,则要使用1.10以上版本

源码安装

官方下载安装包页面:

https://github.com/tinyproxy/tinyproxy/releases

./autogen.sh./configuremakemake install

开机自启

mkdir /etc/tinyproxy# 复制配置文件cp /usr/local/etc/tinyproxy/tinyproxy.conf /etc/tinyproxy/tinyproxy.conf#配置开机自启vi /usr/lib/systemd/system/tinyproxy.service
  • tinyproxy.service 需要修改配置文件中PIDFile 位置
[Unit]Description=Startup script for the tinyproxy serverAfter=network.target[Service]Type=forkingPIDFile=/var/run/tinyproxy/tinyproxy.pidExecStart=/usr/local/bin/tinyproxy -c /etc/tinyproxy/tinyproxy.confExecReload=/bin/kill -HUP $MAINPIDKillMode=process[Install]WantedBy=multi-user.target
  • 启动 systemctl start tinyproxy
  • 开机自启 systemctl enable tinyproxy

配置文件参数


名称

tinyproxy.conf – Tinyproxy HTTP 代理守护进程配置文件

描述

tinyproxy(8) 读取它的配置文件,一般存放在 /etc/tinyproxy/tinyproxy.conf路径(或在命令行里用-c参数传递给Tinyproxy的路径)下。该页面描述配置文件的语法和内容。Tinyproxy 配置文件包含很多键值对,每行一对。以 #开头的行或者空白行是注释,会被忽略。关键字不区分大小写,但值内容会区分大小写。如果值内容里包含空格,可以将他们括在双引号"中。可用的关键字及其描述如下:

  • User
    在以root用户身份完成初始端口绑定之后,Tinyproxy进程会以该用户的身份来运行。可以填用户名或UID。
  • Group
    在以root用户身份完成初始端口绑定之后,Tinyproxy进程会以该用户组的身份来运行。可以填组名或GID。
  • Port
    Tinyproxy服务将侦听的端口。 如果端口小于 1024,则需要以 root 用户的身份启动 Tinyproxy 进程。
  • Listen
    在默认情况下,Tinyproxy 会侦听在所有可用接口上的连接(即,侦听地址 0.0.0.0)。通过配置此参数,Tinyproxy 可以被告知仅侦听一个特定地址。注释掉就是监听所有。
  • Bind
    这允许您指定 Tinyproxy 将绑定到哪个目标地址,以将其连接到Web服务器或上游代理。
  • BindSame
    如果此布尔值选项被设置为 Yes,Tinyproxy 会将目标地址设定为触发了传出请求的传入连接的IP地址。
  • Timeout
    Tinyproxy关闭连接之前,允许该连接处于非活动状态的最大秒数。
  • ErrorFile
    该选项控制 Tinyproxy 如果遇到特定的HTTP错误时,会返回哪个HTML文件。它包含两个参数,错误号、HTML错误文件的路径。
  • DefaultErrorFile
    该选项控制如果发生未配置的错误时,返回的HTML模板文件。
  • StatHost
    该选项配置被当作统计主机的主机名或者IP地址:每当收到对该主机的请求时,Tinyproxy 会返回内部统计信息页面,而不会将请求转发给该主机。此页面的模板可以使用 StatFile 配置项进行配置。StatHost 的默认值为 tinyproxy.stats
  • StatFile
    该选项配置 Tinyproxy 在收到对统计主机的请求时发送的HTML文件。如果未设置此选项,Tinyproxy 将返回一个硬编码的基本统计信息页面。有关详细信息,请参见 tinyproxy(8) 手册页中的 STATHOST 部分。需要注意的是,使用StatFile 以及 ErrorFile 和 DefaultErrorFile 选项配置的错误文件都是模板文件,其中可以包含一些模板变量,并由 Tinyproxy 在发送时进行扩展。例如,"{cause}" 表示简短的错误描述,"{detail}"表示详细的错误消息。tinyproxy(8) 手册页包含所有模板变量的描述。
  • LogFile
    该选项控制 Tinyproxy 将调试输出写入文件的位置。 此外,Tinyproxy 可以将日志输出到syslog – 请参阅 Syslog 选项。
  • Syslog
    当设为 On 时,此选项告知 Tinyproxy 将其调试消息写入syslog,而不是写入由 LogFile 所配置的日志文件。这两个选项是互斥的。
  • LogLevel
    设置日志级别。高于或等于该设置项级别的日志消息会被记录。例如,如果LogLevel设为 Warning,则从WarningCritical级别的所有日志消息会被输出,但Notice或更低等级的日志消息会被过滤掉。允许的取值如下:
Critical(最简洁)ErrorWarningNoticeConnect(不包含Info的连接日志)Info(最详细)
  • PidFile
    该选项控制 Tinyproxy 主进程将其进程 ID 号存入的文件路径,用于处理信号。
  • XTinyproxy
    将此选项设置为Yes将通知Tinyproxy将包含客户端IP地址的标头X-Tinyproxy添加到请求中。
  • Upstream,No Upstream
    该选项允许您设置一组基于所访问站点主机或域的规则,来选择是否使用某些上游代理服务器。这些规则按照在配置文件中录入的顺序存储,并且在使用时 最后一条 所匹配的规则会生效。有以下三种指定上游主机的方式:
upstream host:port 开启一个常规形式的上游代理upstream host:port "site_spec" 为匹配 site_spec 的站点启用上游代理no upstream "site_spec"为匹配 site_spec 的站点禁用上游代理

站点可以用主机名、域名、IP范围等形式来指定:

 .name 匹配任何在域 name 中的主机 . 匹配任何无域名的主机(在空域名中) IP/bits 匹配IP地址/掩码位数 IP/mask 匹配IP地址/掩码
  • MaxClients
    Tinyproxy 为每一个连接的客户端创建一个子进程。 此选项指定可创建的最大进程数量。 也就是说,至多只有 MaxClients这么多个客户端可以同时连接到 Tinyproxy。
  • MinSpareServers, MaxSpareServers
    Tinyproxy 始终保留一定数量的空闲子进程,以保证它可以快速处理新传入的客户端请求。 MinSpareServer 和 MaxSpareServers 控制备用进程数的最大值和最小值。即,当备用服务器的数量降至 MinSpareServers以下时,Tinyproxy 将在后台开始创建新的备用进程,而当备用进程的数量超过 MaxSpareServers 时,Tinyproxy 将杀死多余的进程。
  • StartServers
    初始化启动的服务进程数。一般应将其设置为位于 MinSpareServersMaxSpareServers 之间的值。
  • MaxRequestsPerChild
    此选项限制一个子进程在终止之前将会处理的最大连接数。 默认值为0,即无限制。此选项是在出现内存泄漏问题时可采取的紧急措施。 在这种情况下,请将 MaxRequestsPerChild 设置为例如100010000,可能会有用。
  • Allow, Deny
    Allow和Deny选项用于自定义允许哪些客户端访问Tinyproxy。 Allow和Deny行可以在配置文件里重复出现,以构建Tinyproxy的访问控制列表。在配置文件中的顺序很重要。 如果没有 Allow 或 Deny 行,则允许任意的客户端。反之,默认的操作是拒绝访问。 允许或拒绝的参数可以配置为客户端主机的单个IP地址,例如 127.0.0.1,IP地址范围,例如 192.168.0.1/24,或将与客户端主机名尾端匹配的字符串, 可以是完整的主机名,例如 host.example.com,或域名,例如.example.com,或者顶级域名,例如.com
  • BasicAuth root 123456

​ 账号密码认证

  • AddHeader
    配置一个或多个 HTTP 请求标头,用于添加到由 Tinyproxy 发出的 HTTP 请求中。 需要注意的是,此选项不适用于 HTTPS 流量,因为 Tinyproxy 无法控制要交换的标头。
AddHeader "X-My-Header" "Powered by Tinyproxy"
  • ViaProxyName
    RFC 2616 要求代理将 Via 标头添加到 HTTP 请求中,但使用真实主机名可能会引起安全问题。 如果设置了 ViaProxyName 选项,其字符串值将用作 Via 标头中的主机名。 否则,将使用服务器的主机名。
  • DisableViaHeader
    该选项设置为 yes 时,Tinyproxy 不会将 Via 标头添加到请求中。 这实际上就使 Tinyproxy 进入了隐身模式。请注意,RFC 2616 要求代理设置 Via 头,因此启用此选项会破坏合规性。 除非您知道自己在做什么,否则不要禁用 Via 标头…
  • Filter
    Tinyproxy 支持基于 URL 或域的网站过滤。 此选项指定包含过滤规则的文件的位置,每行一条规则。
  • FilterURLs
    如果此布尔选项设置为 YesOn,则根据 URL 执行过滤,而不根据域执行过滤。默认设置为根据域进行过滤。
  • FilterExtended
    如果此布尔选项设置为 Yes,则扩展的 POSIX 正则表达式将用来匹配过滤器规则。默认使用基本 POSIX 正则表达式。
  • FilterCaseSensitive
    如果此布尔选项设置为 Yes,则过滤器规则匹配时会区分大小写。 默认匹配时不区分大小写。
  • FilterDefaultDeny
    默认的过滤策略会允许所有与过滤规则不匹配的内容。 将 FilterDefaultDeny 设置为 Yes 会更改该策略,从而拒绝在过滤规则所匹配的域或URL之外的任何内容。
  • Anonymous
    如果设置了 Anonymous 选项,则启用匿名代理。由 Anonymous 配置的标头被允许通过,其他标头会被拒绝。 如果未配置 Anonymous 选项,则允许所有标头通过。您必须给标头内容加上引号。
    大多数站点都需要启用 cookie 才能正常工作,因此,如果您访问这种站点,需要允许 cookie 通过。
    用法举例:
Anonymous "Host"Anonymous "Authorization"Anonymous "Cookie"
  • ConnectPort
    此选项用于指定 CONNECT 方法所允许的端口。 如果找不到 ConnectPort 行,则允许所有端口。若要完全禁用 CONNECT,请仅设置一条值为 0 的 ConnectPort 选项行。
  • ReversePath
    配置一条或多条 ReversePath 选项,以启用反向代理支持。 使用反向代理,可以使许多站点看起来像是单个站点的一部分。
    配置以下指令,并在自己的计算机上的端口 8888上运行 Tinyproxy,则可以通过 http://localhost:8888/example/来访问站点 example.com
ReversePath "/example/" "http://www.example.com/"
  • ReverseOnly
    当把 Tinyproxy 用作反向代理时,强烈建议将此布尔选项设置为 Yes ,从而关闭普通代理功能。
  • ReverseMagic
    将此选项设置为Yes,可让 Tinyproxy 使用 cookie 来跟踪反向代理的映射。 如果您需要反向具有绝对链接的代理站点,必须启用此选项。
  • ReverseBaseURL
    用于访问此反向代理的URL地址。 该 URL 会被用于重写 HTTP 重定向地址,以使它们不会绕过代理。 如果您有一连串的反向代理,则需要在此处放置最外层的 URL(也就是终端用户在其浏览器中键入的地址)。如果未设置此选项,则不会修改重定向。

踩的坑

1. curl: (35) TCP connection reset by peer

记得开启防火墙