CentOS 7.X 极速部署：Socks5与HTTP双代理服务实战

1. 环境准备与基础配置

在CentOS 7系统上部署双代理服务前，需要做好基础环境检查。我遇到过不少因为系统版本或依赖问题导致的安装失败案例，这里分享几个关键检查点：

首先确认系统版本，执行以下命令查看：

cat /etc/redhat-release

理想输出应为"CentOS Linux release 7.x"。如果是CentOS 8或其他版本，建议重装系统，实测发现很多代理工具对7.x版本兼容性最佳。

接着更新系统基础组件：

yum update -y && yum install -y wget

这个步骤经常被忽略，但非常重要。去年给客户部署时就因为openssl版本过低导致加密握手失败，更新后问题迎刃而解。

防火墙配置是另一个常见坑点，建议先放行后续要用到的端口（示例为59394/59395）：

firewall-cmd --zone=public --add-port=59394/tcp --permanent firewall-cmd --zone=public --add-port=59395/tcp --permanent firewall-cmd --reload

如果遇到防火墙不可用的情况，可能是firewalld服务未启动，用systemctl start firewalld激活即可。

2. HTTP代理服务部署实战

Squid是Linux下最成熟的HTTP代理解决方案，但默认配置需要优化才能满足实际需求。分享一个我优化过的部署方案：

先安装基础软件包：

yum install -y squid

关键的配置修改在/etc/squid/squid.conf，建议完全替换为以下内容：

cat > /etc/squid/squid.conf <<EOF acl localnet src 0.0.0.1-0.255.255.255 acl localnet src 10.0.0.0/8 acl localnet src 100.64.0.0/10 acl localnet src 169.254.0.0/16 acl localnet src 172.16.0.0/12 acl localnet src 192.168.0.0/16 acl localnet src fc00::/7 acl localnet src fe80::/10 http_access allow localnet http_port 59394 via off forwarded_for delete request_header_access Via deny all request_header_access X-Forwarded-For deny all request_header_access Referer deny all EOF

这个配置做了三处关键改进：

1. 增加了IPv6地址段支持
2. 关闭了via和X-Forwarded-For头防止信息泄露
3. 精简了不必要的ACL规则

启动服务时建议用组合命令：

systemctl restart squid && systemctl enable squid && systemctl status squid

这样能一次性完成重启、开机启动和状态检查。遇到过不少案例因为没设置开机启动，服务器重启后代理就失效了。

3. Socks5代理服务深度配置

Dante是Linux下最稳定的Socks5服务实现，但官方源没有现成包。推荐用这个经过验证的安装脚本：

wget --no-check-certificate https://raw.github.com/Lozy/danted/master/install.sh -O install_proxy.sh chmod +x install_proxy.sh ./install_proxy.sh --port=59395 --user=youruser --passwd=yourpass

安装完成后需要特别注意日志监控：

tail -f /var/log/sockd.log

这个实时日志能帮助诊断连接问题。曾有个客户案例因为日志爆满导致磁盘写满，建议定期用logrotate管理。

认证配置方面，除了基础的用户名密码，还可以通过修改/etc/sockd.conf添加IP白名单：

client pass { from: 192.168.1.0/24 to: 0.0.0.0/0 method: username }

这样就只允许特定网段的设备通过认证使用代理，安全性更高。

4. 服务验证与性能调优

部署完成后必须进行连通性测试。推荐同时使用命令行和图形化工具验证：

HTTP代理测试：

curl -x http://youruser:yourpass@服务器IP:59394 https://www.example.com

如果返回网页源码说明HTTP代理正常工作。

Socks5测试更推荐用实际应用验证，比如配置Chrome浏览器：

1. 安装SwitchyOmega插件
2. 新建情景模式选择Socks5
3. 填入服务器IP、端口59395及认证信息
4. 访问ipinfo.io查看出口IP是否变化

性能调优方面，Squid有两个关键参数需要调整：

echo "cache_mem 256 MB" >> /etc/squid/squid.conf echo "maximum_object_size 1024 MB" >> /etc/squid/squid.conf

这会将内存缓存提升到256MB，支持缓存1GB以下的大文件。对于Dante服务，建议修改/etc/sockd.conf中的线程数：

io.method: pthread io.threads: 4

根据服务器CPU核心数调整线程数量，4核处理器建议设为4-8之间。

5. 安全加固与日常维护

代理服务器暴露在公网需要特别注意安全防护。分享几个实战经验：

首先修改默认端口能避开大部分扫描攻击：

sed -i 's/59394/随机端口/g' /etc/squid/squid.conf sed -i 's/59395/另一随机端口/g' /etc/sockd.conf

其次配置fail2ban防御暴力破解：

yum install -y fail2ban cat > /etc/fail2ban/jail.d/socks5.conf <<EOF [socks5] enabled = true port = 59395 filter = socks5 logpath = /var/log/sockd.log maxretry = 3 bantime = 86400 EOF

日志维护建议设置每日切割：

cat > /etc/logrotate.d/squid <<EOF /var/log/squid/*.log { daily missingok rotate 7 compress delaycompress notifempty create 0640 squid squid } EOF

最后提醒一定要定期更新软件：

yum update squid -y

去年Log4j漏洞爆发时，很多代理服务器就因为长期不更新成为攻击跳板。