Главная » Хабрахабр » Новый MTProto-прокси сервер от Telegram

Новый MTProto-прокси сервер от Telegram

Прокси-сервер является посредником между клиентом и сервером. Для обхода ограничений прокси-сервер должен быть установлен там, где нет ограничений доступа к требуемой информации, при этом не должно быть таковых ограничений и между клиентом и прокси-сервером.

image

Обновлённая поддержка прокси-серверов в клиентах Telegram

  • Новый MTProto-прокси. Работает с родным для Telegram протоколом MTProto
  • Открытый исходный код сервера на GitHub
  • Docker-образ на DockerHub
  • В мобильных клиентах появилась возможность добавлять несколько прокси-серверов каждого типа. Пользователь может выбрать наиболее подходящий

image

MTProto-прокси

  • MTProto-прокси работает только с Telegram
  • Клиент и сервер не имеют фазы открытого обмена информацией
  • В реализации MTProto-прокси сервера от Telegram прокси-сервер и его владелец не имеют прямого доступа к метаинформации протокола MTProxy (логины, например).
  • Для всевозможных фильтров и анализаторов обмен данными с MTProto-прокси сервером выглядит как неструктурированный бинарный двунаправленный поток данных между клиентом и сервером. Это затрудняет распознавание протокола с целью ограничения.

Быстрый старт

Для запуска собственного MTProto-прокси сервера требуется только машина с установленным Docker и доступом в сеть. На порту 443 не должно ничего быть (nginx, apache). При первом запуске прокси-сервера будет создан секретный ключ, который будет запомнен. Запуск одной командой:

<pre>$ docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data telegrammessenger/proxy</pre>

Для просмотра информации о секретном ключе и специальных ссылках посмотрите журнал контейнера командой:

$ docker logs mtproto-proxy [+] Using the explicitly passed secret: 'b7e70329dcf3721c4239b86ad32a90b8'.
[+] Saving it to /data/secret.
[*] Final configuration:
[*] Secret 1: b7e70329dcf3721c4239b86ad32a90b8
[*] tg:// link for secret 1 auto configuration: : tg://proxy?server=81.177.103.94&port=443&secret=b7e70329dcf3721c4239b86ad32a90b8
[*] t.me link for secret 1: tg://proxy?server=81.177.103.94&port=443&secret=b7e70329dcf3721c4239b86ad32a90b8
[*] Tag: no tag
[*] External IP: 81.177.103.94
[*] Make sure to fix the links in case you run the proxy on a different port.

Надо учитывать, что прокси-сервер будет пытаться «угадать» параметры для ссылок, поэтому IP и порт могут быть неточными и требовать коррекции.

Секретный ключ

Можно устанавливать свой собственный секретный ключ через переменную окружения SECRET:

<pre>$ docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e SECRET=b7e70329dcf3721c4239b86ad32a90b8 \ telegrammessenger/proxy
</pre>

При корпоративном использовании прокси-сервера (группами пользователей) можно использовать несколько ключей (до 16). Например, я для корпоративных установок выделяю такие группы пользователей: boss, managers, users. Для каждой из них генерирую свой ключ. В случае компрометации (утечки на сторону) ключа, меняю его для группы. В чем проблема компрометации ключа? В трафике. Количество подключений может полностью заполнить канал к вашей машине. Также можно сделать систему ротации ключей.

Для установки нескольких ключей их надо перечислить через запятую:

<pre>$ docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e SECRET=b7e70329dcf3721c4239b86ad32a90b8,afccd434fb32248f29f033b189bd8541,878397a50627deb349d4c296bd9dc3c2 \ telegrammessenger/proxy
</pre>

Или можно задать желаемое количество ключей для автогенерации через переменную SECRET_COUNT (не больше 16):

<pre>$ docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e SECRET_COUNT=5 telegrammessenger/proxy
</pre>

Для генерации своего ключа можно воспользоваться, например, одной из команд в Linux:

<pre># работает даже на busybox:
$ tr -dc 'a-f0-9' < /dev/urandom | dd bs=1 count=32 2>/dev/null
$ hexdump -n 16 -e '4/4 "%08x" 1 "\n"' /dev/random # требуется программа hexdump
$ openssl rand -hex 16 # требуется openssl
</pre>

Производительность

Каждый процесс прокси-сервера может обрабатывать десятки тысяч подключений. Для лучшей производительности стоит ограничение 60000 подключений на одно ядро процессора. По умолчанию запускается два процесса прокси-сервера (с предположением, что каждому система выделит по ядру). Можно увеличить количество запускаемых процессов через переменную WORKERS. Не следует запускать их больше, чем на процессоре имеется ядер:

<pre>$ docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e WORKERS=16 telegrammessenger/proxy
</pre>

Использование сети

В примере специально дан ключ --net=host. Это позволяет избежать избыточной трансляции адресов и позволяет использовать IPv6 прямо из коробки без настройки, если он есть на той машине, на которой запускается proxy-server.

Конечно же, можно запустить и более классическим способом, указав проброс портов:

<pre>$ docker run -d -p443:443 --name=mtproto-proxy --restart=always \ -v proxy-config:/data telegrammessenger/proxy
</pre>

Можно указать и какой-нибудь другой порт, например:

<pre>$ docker run -d -p8443:443 --name=mtproto-proxy --restart=always \ -v proxy-config:/data telegrammessenger/proxy:latest
</pre>

Учтите, что прокси-сервер ничего не знает о «настоящем» порте и ссылка будет неправильная, её надо будет корректировать.

Мониторинг

MTProto-прокси сервер представляет некоторую статистику по своей работе. Статистика предоставляется только на localhost: http://localhost:2398/stats.

При запуске прокси-сервера через docker с пробрасыванием портов статистику можно получить командой: При запуске прокси-сервера через docker с параметром --net=host для получения статистики достаточно команды: curl http://localhost:2398/stats, или проксирования через, например, nginx куда-нибудь наружу.

$ docker exec mtproto-proxy curl http://localhost:2398/stats

Некоторые метрики:

  • ready_targets — количество серверов Telegram, c которыми будет пытаться соединиться прокси-сервер
  • active_targets — количество подключений к серверам Telegram (в теории должно совпадать с ready_targets)
  • total_special_connections — количество входящих соединений клиентов
  • total_max_special_connections — максимальное возможное количество одновременных соединений

Реклама

Telegram позволяет монетизировать прокси-сервер через подписку на Promoted-канал. Promoted-канал — это такой канал, на который вы автоматически будете подписаны при подключении к прокси-серверу. Он будет закреплен наверху списка чатов и его нельзя удалить пока вы не отключитесь от данного прокси-сервера.

Для настройки Promoted-канала следует у специального бота @MTProxybot получить код и передать его в переменной TAG при запуске сервера:

<pre>$ docker run -d --net=host --name=mtproto-proxy --restart=always \ -v proxy-config:/data -e TAG=85174e9e0ffa43c0d3a7167e52175268 \ telegrammessenger/proxy:latest
</pre>

Этот параметр не запоминается, его надо задавать каждый раз при создании и пересоздании контейнера.

Если подписаться на канал, то пометки не будет. Promoted-канал будет показываться наверху с соответствующей пометкой для тех клиентов, которые используют данный прокси-сервер.

image

Обновление прокси-сервера

Разработчики MTProto-прокси будут стараться делать минимум изменений, но рекомендуют обновлять прокси-сервер хотя бы раз в сутки:

<pre>
$ docker pull telegrammessenger/proxy # обновить образ
$ docker stop mtproto-proxy # остановить контейнер
$ docker rm mtproto-proxy # удалить контейнер
$ docker run .... # создать из обновленного образа и запустить контейнер заново
$ docker log -f --tail=30 mtproto-proxy # посмотреть журнал контейнера
</pre>

Docker Compose

Пример docker-compose.yml:

<pre>
version: '3.0' services: mtproxy: image: telegrammessenger/proxy:latest hostname: mtproxy container_name: mtproxy.local volumes: - proxy-config:/data network_mode: "host" logging: driver: syslog options: tag: mtproxy restart: always
volumes: proxy-config: external: true
</pre>

Для использования Promoted-каналов не забудьте добавить переменную TAG.

Обновление прокси-сервера c Docker Compose

<pre>
$ docker-compose pull mtproxy # обновить образ
$ docker-compose up -d # пересобрать и перезапустить контейнер
$ docker-compose logs -f --tail=30 mtproxy # посмотреть журнал сервиса
</pre>


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Перевод] Создатели ботнета Mirai теперь сражаются с преступностью на стороне ФБР

Три подзащитных студента, стоявшие за ботнетом Mirai – онлайн-инструментом, учинившим разрушения по всему интернету осенью 2016 при помощи мощнейших распределённых атак на отказ от обслуживания – в четверг предстанут перед судом на Аляске и попросят судью вынести новый приговор: они ...

[Из песочницы] RESS — Новая архитектура для мобильных приложений

Вопреки провокационному заголовку, это никакая не новая архитектура, а попытка перевода простых и проверенных временем практик на новояз, на котором говорит современное Android-комьюнити Введение В последнее время стало больно смотреть на то, что творится в мире разработки под мобильные платформы. ...