SquidとTailscaleでフォワードプロキシを構築する

Posted on Dec 5, 2023

Step1 Tailscaleのインストール

適当にアカウントを作りTailscaleのコントロールパネルにアクセスします。プロキシになる側のサーバー(VPSなど)と使う側のサーバー(自宅サーバー)に画面に表示される手順に従ってインストールします。 必要に応じてACLを設定しましょう。なくてもなんとかなることはなります。

Step2 ファイアウォールの設定

Tailscale経由でのみSquidへのアクセスを受け入れるように設定します。間違えるとオープンプロキシになるので注意してください。

sudo ufw allow in on tailscale0 from 100.64.0.0/10 to any port 3128 proto tcp

Step3 Squidの設定

sudo apt install squidでSquidを入れます。設定を変えていく訳ですがDebian系のLinuxの場合、デフォルトの設定ファイルが長すぎてこれをしばいていると人生の貴重な時間が浪費されてしまいます。以下の方法でサクッと設定します。

sudo mv /etc/squid/squid.conf ./squid.conf.backup
sudo nano /etc/squid/squid.conf

以下の内容を書き込みます。

acl localnet src 100.64.0.0/10

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 443         # https
acl CONNECT method CONNECT

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# ローカルIPへのアクセスを拒否(SSRF対策)
acl localdst dst 0.0.0.0
acl localdst dst 0.0.0.1-0.255.255.255
acl localdst dst 10.0.0.0/8
acl localdst dst 100.64.0.0/10
acl localdst dst 169.254.0.0/16
acl localdst dst 172.16.0.0/12
acl localdst dst 192.168.0.0/16
acl localdst dst fc00::/7
acl localdst dst fe80::/10
http_access deny localdst

# 念のため
include /etc/squid/conf.d/*

http_access allow localnet
http_access allow localhost

# 許可されてないのを全部拒否
http_access deny all

# 必要に応じてワーカー数を調整
workers 2

# Listenするポート
http_port 3128

Step4 完成

sudo systemctl enable --now squid (既に起動してるならsudo systemctl restart squid)で起動させます。少し時間がかかりますが辛抱強く待ってください。

Squidを使う側のサーバーからcurl -x http://[squidサーバーのTailscale内でのIPアドレス]:3128 ifconfig.meを実行してVPSのIPが返ってくれば成功です。
Tailscale内でのIPアドレスはTailscaleのコントロールパネルかsudo tailscale statusで確認可能です。

CATALOG
    LEGAL NOTICE
    当ウェブサイトの閲覧を続行することで、当ウェブサイトのプライバシーポリシーに同意したものと見做されます。当ウェブサイトのコンテンツに記載されている商標および名称は、各所有者の商標である可能性があります。

    将来予想に関する記述: 当ウェブサイトには、将来予想に関する記述(場合によっては1933年米国証券法第27A条または1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)が含まれるコンテンツがあり、重大なリスクおよび不確定要因を含んでいます。将来予想に関する記述は、「予定です」、「しそうです」、「なりそうです」、「場合があります」、「つもりです」、「するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは予想、戦略、計画、または意図に関わるその他同様の用語および表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。当ウェブサイトのコンテンツに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。当ウェブサイトは、法律で義務付けられた場合を除き、コンテンツ投稿日の日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、このウェブサイトの将来予想に関する記述に過剰に依存すべきではありません。

    当ウェブサイトの情報はなるべく正確であるように記述されていますが、当ウェブサイトの内容の正確性に関する保証は存在しません。当ウェブサイト上で紹介している内容はすべて自己責任で実行してください。当ウェブサイトで紹介している方法や内容を実践、参考にした結果として発生した所有物の物理的損傷、金銭損失、心身の故障、データ破損、訴訟、社会的地位の低下、アカウント凍結、精神的苦痛、法律違反、損害賠償請求、友人の喪失、恋人との破局、国際紛争、核戦争など、いかなる種類の損害(二次被害を含む)に対しても、当ウェブサイトの管理人及びコンテンツの執筆者は日本国内で有効な法律で義務付けられている範囲を除き一切の責任を負いかねます。

    当ウェブサイトに掲載されている文面は、1.著作権法で認められている引用、及びフェアユースに該当する複製 2.改変を伴わない、もしくは文章の趣旨を変えない範囲での改変を伴う出典を明記した上での転載 3.大規模言語モデルなど生成AIのモデルのトレーニング に使用できます。ただし掲載されているスクリーンショットなどの画像の一部分若しくは全部の著作権は各著作権者に帰属します。これらを著作権法が認める範囲を除き、各著作権者の明示的な許可なしに無断で使用することはできません。