如何在云主机上搭建代理IP？

在当今互联网环境下，拥有一个稳定、可控的代理IP对于数据分析、市场研究、安全测试或特定的技术任务来说，常常是必要的工具，许多朋友可能会寻求付费代理服务，但其实，利用手头的云主机资源，自己搭建一个专属的代理服务器，不仅成本可控，更能保障数据的私密性和使用的灵活性，作为一名拥有超过15年服务器运维经验的站长，我将分享两种主流且相对简单的搭建方法：Squid 和TinyProxy。

为什么选择云主机搭建代理？

自主可控 完全掌握代理服务器的配置、日志和安全策略。

IP纯净 独享云主机公网IP，避免共享代理池的IP污染和滥用风险。

性能稳定 云主机通常提供稳定的网络带宽和计算资源。

成本效益 对于长期或特定需求的代理使用，自建往往比购买商业代理更具性价比。

高度定制 可根据需求设置认证、访问控制、日志记录、缓存策略等。

重要前提与安全提示 (E-A-T核心体现)：

1、云服务商政策：务必 仔细阅读并遵守您所使用的云服务商（阿里云、腾讯云、华为云、AWS、GCP等）关于代理服务器搭建和使用条款，滥用可能导致云主机被暂停或封禁，搭建代理本身是合法技术，但请务必用于合法合规的技术用途。

2、安全加固： 搭建代理意味着开放了一个网络入口。强烈建议：

设置强密码认证 防止未授权访问。

限制访问源IP 仅允许信任的IP地址或IP段连接代理。

防火墙规则 在云主机安全组/防火墙和系统防火墙（如iptables 或firewalld）上，严格限制只有特定端口（代理端口）对特定源IP开放。

及时更新 保持操作系统和代理软件为最新版本，修复安全漏洞。

监控日志 定期检查代理访问日志，发现异常及时处理。

3、选择合适的云主机：

地域 根据目标访问需求选择地域（需要访问美国资源就选美国节点）。

配置 代理对CPU和内存要求不高，入门级配置（如1核1G）通常足够，带宽更重要，根据预期并发流量选择。

网络 确保云主机拥有公网IPv4地址（IPv6支持取决于客户端环境）。

方法一：使用 Squid 搭建高性能代理 (支持HTTP/HTTPS)

Squid 是一个功能强大的、支持缓存功能的代理服务器，应用广泛，性能优异。

步骤：

1、登录云主机： 使用SSH连接到您的云服务器。

2、安装Squid：

CentOS/RHEL/Alibaba Cloud Linux:

        sudo yum update -y
        sudo yum install squid -y

Ubuntu/Debian:

        sudo apt update -y
        sudo apt install squid -y

3、配置Squid (核心步骤)：

备份原始配置

        sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.bak

编辑配置文件

        sudo vi /etc/squid/squid.conf

关键配置修改 (按需调整)

监听端口 (默认3128) 找到http_port 行，可以修改端口（如http_port 8080），但记得在防火墙开放此端口。

设置访问控制 (ACL) 这是安全的关键！强烈建议配置只允许特定IP访问。

            # 定义一个名为 mynet 的ACL，代表允许的源IP或网段 (替换为你的IP/CIDR)
            acl mynet src 123.123.123.123/32  # 单个IP
            acl mynet src 192.168.1.0/24     # 一个C段
            # 允许 mynet 访问HTTP
            http_access allow mynet
            # 默认拒绝所有其他访问 (非常重要！)
            http_access deny all

启用基础认证 (可选但推荐)

创建密码文件（首次）

                sudo touch /etc/squid/passwd
                sudo chown proxy: /etc/squid/passwd
                sudo chmod 600 /etc/squid/passwd

添加用户username (替换为你想要的用户名)

                sudo htpasswd /etc/squid/passwd username

按提示输入并确认密码。

在squid.conf 中启用认证

                auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
                auth_param basic realm Proxy Server Authentication
                auth_param basic credentialsttl 2 hours
                # 定义一个需要认证的ACL
                acl authenticated proxy_auth REQUIRED
                # 修改之前的 http_access 行，要求 authenticated
                http_access allow authenticated mynet  # 既需要认证又在允许的IP段内

(可选) 其他配置

visible_hostname yourhostname: 设置一个主机名标识。

cache_dir: 配置缓存目录和大小（如果不需要缓存，可设置cache deny all）。

* 查看默认配置中的注释，了解更多选项（如日志路径access_log）。

4、启动Squid并设置开机自启：

    sudo systemctl start squid
    sudo systemctl enable squid

5、检查状态：

    sudo systemctl status squid

6、配置云主机防火墙：

* 在云服务商控制台的安全组规则中，入方向 允许您设置的代理端口（如TCP 3128或8080），源IP限制为您允许访问的IP或IP段。

* 在系统防火墙（如firewalld 或ufw）做相应放行（如果启用）。

firewalld (CentOS等):

            sudo firewall-cmd --permanent --add-port=3128/tcp  # 替换为你的端口
            sudo firewall-cmd --reload

ufw (Ubuntu等):

            sudo ufw allow from 123.123.123.123 to any port 3128  # 替换IP和端口
            sudo ufw reload

客户端使用 (示例)：

在浏览器或应用程序的网络设置中，配置代理

类型 HTTP / HTTPS 代理

主机 您的云主机公网IP地址

端口 您在squid.conf 中设置的http_port (如 3128 或 8080)

用户名/密码 如果配置了基础认证，则填写创建的用户名和密码。

方法二：使用 TinyProxy 搭建轻量级代理 (仅HTTP)

TinyProxy 是一个轻量级、占用资源少的HTTP/HTTPS代理，配置简单，适合基础需求。

步骤：

1、登录云主机： 使用SSH连接。

2、安装TinyProxy：

CentOS/RHEL/Alibaba Cloud Linux (需启用EPEL仓库):

        sudo yum install epel-release -y
        sudo yum install tinyproxy -y

Ubuntu/Debian:

        sudo apt update -y
        sudo apt install tinyproxy -y

3、配置TinyProxy：

备份原始配置

        sudo cp /etc/tinyproxy/tinyproxy.conf /etc/tinyproxy/tinyproxy.conf.bak

编辑配置文件

        sudo vi /etc/tinyproxy/tinyproxy.conf

关键配置修改

监听端口 (默认8888) 找到Port 行修改（如Port 8080）。

监听地址 (重要！) 找到Listen 行，默认Listen 127.0.0.1 只允许本地访问，要允许公网访问，注释掉这行 (# Listen 127.0.0.1)或 改为Listen 0.0.0.0 (监听所有网络接口)。

允许访问的IP (安全核心) 找到Allow 行，默认可能注释掉或设置为Allow 127.0.0.1，修改为允许访问的客户端公网IP或CIDR网段，可以有多行Allow。

            Allow 123.123.123.123   # 允许单个IP
            Allow 192.168.1.0/24     # 允许一个C段
            # 注释掉或删除默认的 Allow 127.0.0.1 如果需要外部访问

强烈建议： 不要注释掉所有Allow 行或设置为Allow 0.0.0.0/0，这将允许任意IP访问，非常危险！

启用基本认证 (可选但推荐)

找到并取消注释BasicAuth 行

                BasicAuth username password  # 替换 username 和 password 为你设置的

(可选) 其他配置

Timeout 连接超时时间。

MaxClients 最大并发连接数。

LogFile /LogLevel 日志文件路径和级别。

ViaProxyName 设置Via 头信息。

4、启动TinyProxy并设置开机自启：

    sudo systemctl start tinyproxy
    sudo systemctl enable tinyproxy

5、检查状态：

    sudo systemctl status tinyproxy

6、配置云主机防火墙： 同Squid步骤，放行您设置的TinyProxy端口（如TCP 8080），并严格限制源IP。

客户端使用 (示例)：

同Squid客户端配置，端口改为TinyProxy设置的端口（如8888或8080）。

搭建后维护与E-A-T提升建议：

定期更新 养成习惯，定期yum update 或apt update && apt upgrade 更新系统和代理软件。

日志审查 定期查看/var/log/squid/access.log 或/var/log/tinyproxy/tinyproxy.log，监控访问来源和流量，及时发现异常。

备份配置 在修改重要配置文件前做好备份。

最小权限原则 代理服务运行时通常使用非root用户（如squid 或tinyproxy），确保配置文件权限正确。

考虑使用非标准端口 将默认端口（3128, 8888）改为一个不常见的端口，能减少一些自动化扫描的攻击。

Fail2ban 强烈建议安装配置fail2ban，自动屏蔽多次尝试失败登录或扫描的IP，极大增强安全性。

个人观点：

自己搭建云主机代理IP，技术上并不复杂，但安全意识和合规使用是重中之重，Squid功能强大灵活，适合有缓存或复杂ACL需求的用户；TinyProxy轻巧易用，是快速部署HTTP代理的优选，无论选择哪种，严格的访问控制（IP白名单 + 强密码认证）和防火墙规则是保障服务器安全、避免沦为他人滥用工具的基石，作为站长，我始终认为技术是中性的，关键在于使用者的目的和方式，投入一点时间做好安全加固，就能获得一个稳定、私密、高效的自有代理工具，为你的技术工作流增添便利，持续的关注和维护，是保障服务长期稳定运行的关键。

文章摘自：https://idc.huochengrm.cn/zj/10018.html