Jak skonfigurować połączenie z serwerem proxy w Firefox

Mozilla Firefox zapewnia natywną, szczegółową konfigurację proxy, która pozwala kierować ruch przeglądarki przez serwer pośredniczący — bez instalowania żadnych rozszerzeń innych firm. Niezależnie od tego, czy chcesz wymuszać ruch przez bramę korporacyjną, testować treści z ograniczeniami geograficznymi, czy izolować sesje przeglądania od proxy na poziomie systemu, wbudowany panel Ustawień połączenia Firefox daje Ci pełną kontrolę nad każdym protokołem proxy niezależnie.

Ten przewodnik omawia każdy tryb konfiguracji obsługiwany przez Firefox, wyjaśnia techniczne różnice między protokołami proxy i wskazuje rzeczywiste pułapki, które większość poradników całkowicie pomija.

Dlaczego konfigurować proxy bezpośrednio w Firefox zamiast w całym systemie

Większość systemów operacyjnych udostępnia globalne ustawienie proxy, które dziedziczą wszystkie aplikacje. Firefox może korzystać z tych ustawień, ale konfiguracja proxy na poziomie przeglądarki oferuje wyraźne zalety:

• Izolacja na poziomie aplikacji: Proxy systemowe pozostaje niezmienione, podczas gdy Firefox kieruje ruch przez osobny serwer — przydatne dla programistów uruchamiających lokalne usługi obok przeglądania przez proxy.
• Szczegółowość na poziomie protokołu: Firefox pozwala przypisać różne serwery proxy do ruchu HTTP, HTTPS i SOCKS niezależnie, czego ustawienie ogólnosystemowe nie umożliwia.
• Szybkie przełączanie bez uprawnień administratora: Na zablokowanych maszynach korporacyjnych możesz nie mieć uprawnień do zmiany ustawień sieciowych systemu operacyjnego, ale nadal możesz dostosować własną konfigurację Firefox.
• Obsługa pliku PAC: Firefox może wczytać skrypt automatycznej konfiguracji proxy (PAC) z adresu URL, umożliwiając dynamiczne, oparte na regułach trasowanie, którego proxy systemowe rzadko obsługują na tym poziomie elastyczności.

Jeśli korzystasz ze środowiska VPS Hosting i chcesz przetestować, jak Twój serwer odpowiada na żądania z różnych geograficznych węzłów wyjściowych, konfiguracja proxy na poziomie przeglądarki jest najszybszym sposobem na symulację tego bez ingerowania w stos sieciowy serwera.

Zrozumienie trybów konfiguracji proxy w Firefox

Przed zmianą jakichkolwiek ustawień zrozum, co każdy tryb faktycznie robi pod spodem.

Automatyczne wykrywanie WPAD niesie ze sobą realne zagrożenie bezpieczeństwa: w niezaufanych sieciach (publiczne Wi-Fi, współdzielone sieci LAN w biurach) złośliwy serwer DHCP może serwować fałszywy plik wpad.dat i przekierowywać cały Twój ruch. Unikaj tego trybu, chyba że jesteś w sieci, którą kontrolujesz.

Krok po kroku: Konfigurowanie serwera proxy w Firefox

Krok 1 — Otwórz ustawienia Firefox

Uruchom Firefox i przejdź do panelu ustawień, używając jednej z tych metod:

• Kliknij menu hamburger (trzy poziome linie) w prawym górnym rogu, a następnie wybierz Ustawienia.
• Wpisz about:preferences bezpośrednio w pasku adresu i naciśnij Enter.
• W macOS pozycja menu nosi nazwę Preferencje zamiast Ustawienia — obie otwierają ten sam panel.

Krok 2 — Przejdź do ustawień sieci

Na stronie Ustawień pozostań na karcie Ogólne (ładuje się domyślnie). Przewiń do samego dołu strony, aż dotrzesz do sekcji Ustawienia sieci. Kliknij przycisk Ustawienia…, aby otworzyć okno dialogowe Ustawień połączenia.

Alternatywnie użyj paska wyszukiwania u góry strony Ustawień i wpisz proxy — Firefox natychmiast podświetli odpowiednią sekcję.

Krok 3 — Wybierz tryb konfiguracji proxy

Okno dialogowe Ustawień połączenia prezentuje pięć opcji z przyciskami radiowymi. Wybierz tę, która odpowiada Twojej infrastrukturze. W przypadku większości ręcznych konfiguracji wybierzesz Ręczna konfiguracja proxy — szczegółowo omówioną w następnej sekcji.

Krok 4 — Ręczna konfiguracja proxy w szczegółach

Wybranie opcji Ręczna konfiguracja proxy ujawnia osobne pola dla każdego protokołu. Oto co kontroluje każde pole i co musisz wiedzieć o każdym z nich:

Proxy HTTP

Wprowadź adres IP lub nazwę hosta serwera proxy i jego port (zazwyczaj 3128, 8080 lub 8888). To proxy obsługuje niezaszyfrowany ruch HTTP. Należy pamiętać, że w nowoczesnym Firefox pole Proxy HTTP domyślnie przechwytuje również żądania HTTPS za pomocą metody tunelowania CONNECT — co oznacza, że ruch HTTPS jest tunelowany przez to proxy, nawet jeśli pole SSL Proxy pozostaje puste.

SSL Proxy

Historycznie używane dla dedykowanego proxy HTTPS. W obecnych wersjach Firefox, jeśli wypełnisz pole Proxy HTTP i pozostawisz SSL Proxy puste, HTTPS jest nadal proxowane przez CONNECT. Wypełnij to pole tylko wtedy, gdy Twoja infrastruktura kieruje ruch SSL przez osobny punkt końcowy.

Host SOCKS

W przypadku proxy SOCKS wprowadź tutaj hosta i port. Musisz również wybrać wersję SOCKS:

• SOCKS v4: Obsługuje tylko TCP, bez uwierzytelniania, bez IPv6, bez UDP. Prostszy, ale ograniczony.
• SOCKS v5: Obsługuje TCP i UDP, opcjonalne uwierzytelnianie nazwą użytkownika/hasłem oraz pełną obsługę IPv6. Zawsze preferuj SOCKS v5, chyba że Twoje proxy wyraźnie wymaga v4.

Po wybraniu SOCKS v5 pojawia się krytyczna opcja dodatkowa: Proxy DNS przy użyciu SOCKS v5. Włączenie tego pola wyboru powoduje wysyłanie żądań rozwiązywania DNS przez proxy SOCKS zamiast rozwiązywania ich lokalnie. Jest to niezbędne dla prywatności i zapobiegania wyciekom. Jeśli pozostawisz to pole niezaznaczone, Twoje zapytania DNS trafiają do lokalnego resolwera, mimo że ruch przechodzi przez proxy — wyciek DNS, który może ujawnić każdą odwiedzaną nazwę hosta Twojemu dostawcy internetu lub sieci lokalnej.

Użyj tego serwera proxy dla wszystkich protokołów

Zaznaczenie tego pola kopiuje to, co wpisałeś w polu Proxy HTTP, do wszystkich pozostałych pól protokołów. Używaj go tylko wtedy, gdy Twój serwer proxy rzeczywiście obsługuje wszystkie protokoły na tym samym adresie i porcie. Ślepe włączanie tej opcji, gdy masz proxy obsługujące tylko SOCKS, spowoduje problemy.

Bez proxy dla

Rozdzielona przecinkami lista nazw hostów, adresów IP i zakresów CIDR, które całkowicie omijają proxy. Zawsze uwzględniaj co najmniej:

localhost, 127.0.0.1, ::1

W środowiskach korporacyjnych dodaj sufiks swojej domeny wewnętrznej (np. .corp.example.com) oraz wszelkie podsieci RFC 1918, do których Twoje aplikacje muszą docierać bezpośrednio. Pominięcie tego powoduje, że lokalne serwery deweloperskie i narzędzia wewnętrzne kierują ruch przez proxy, co albo je psuje, albo ujawnia wewnętrzne nazwy hostów zewnętrznemu serwerowi.

Krok 5 — Adres URL automatycznej konfiguracji proxy (plik PAC)

Jeśli zarządzasz pulą proxy lub potrzebujesz trasowania opartego na regułach, wybierz Adres URL automatycznej konfiguracji proxy i wprowadź adres URL swojego pliku PAC. Plik PAC to plik JavaScript zawierający funkcję FindProxyForURL(url, host). Firefox pobiera i buforuje ten plik, a następnie wywołuje funkcję dla każdego żądania, aby określić, którego proxy (lub bezpośredniego połączenia) użyć.

Przykład minimalnego pliku PAC:

function FindProxyForURL(url, host) {
  if (shExpMatch(host, "*.internal.example.com")) {
    return "DIRECT";
  }
  if (isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0")) {
    return "DIRECT";
  }
  return "SOCKS5 192.0.2.10:1080; DIRECT";
}

Ten plik kieruje hosty wewnętrzne bezpośrednio, omija adresy RFC 1918 i przechodzi do proxy SOCKS5 dla wszystkiego innego, z awaryjnym przełączeniem na bezpośrednie połączenie, jeśli proxy jest nieosiągalne.

Krok 6 — Zapisz i zweryfikuj konfigurację

Kliknij OK, aby zastosować ustawienia. Firefox stosuje ustawienia proxy natychmiast do nowych połączeń — pełny restart przeglądarki nie jest wymagany, choć restart usuwa wszelkie buforowane bezpośrednie połączenia.

Aby zweryfikować, czy proxy jest aktywne, odwiedź stronę taką jak https://ifconfig.me lub https://ipinfo.io. Wyświetlony adres IP powinien odpowiadać wyjściowemu IP Twojego serwera proxy, a nie Twojemu lokalnemu IP.

Jeśli widzisz błąd „Serwer proxy odmawia połączeń”, najczęstsze przyczyny to:

• Błędny numer portu
• Proces proxy nie działa lub jest powiązany z innym interfejsem
• Zapora sieciowa na serwerze proxy blokuje Twój źródłowy adres IP
• Proxy wymaga uwierzytelniania, a Firefox nie wyświetlił jeszcze monitu o podanie danych

Jeśli widzisz błąd „Serwer proxy nie odpowiada”, adres hosta jest nieosiągalny — sprawdź rozwiązywanie DNS, trasowanie i czy serwer jest online.

Krok 7 — Uwierzytelnianie proxy

Jeśli Twój serwer proxy wymaga danych uwierzytelniających, Firefox wyświetli okno dialogowe uwierzytelniania przy pierwszej próbie połączenia przez to proxy. Wprowadź nazwę użytkownika i hasło. Firefox buforuje te dane uwierzytelniające na czas sesji i, jeśli na to pozwolisz, w Menedżerze haseł na potrzeby przyszłych sesji.

W przypadku proxy wymagających uwierzytelniania, ale używanych w kontekstach zautomatyzowanych lub bezgłowych, dane uwierzytelniające można osadzić bezpośrednio w pliku PAC lub zarządzać nimi za pomocą preferencji network.proxy.socks_username i network.proxy.socks_password w about:config — choć przechowywanie danych uwierzytelniających w postaci zwykłego tekstu w plikach konfiguracyjnych niesie ze sobą oczywiste implikacje bezpieczeństwa.

Krok 8 — Wyłączanie proxy

Aby powrócić do bezpośredniego połączenia, wróć do Ustawienia > Ustawienia sieci i wybierz Bez proxy, a następnie kliknij OK. Aby przywrócić ogólnosystemowe zachowanie proxy, wybierz zamiast tego Użyj systemowych ustawień proxy.

Zaawansowana konfiguracja przez about:config

W scenariuszach, gdy interfejs graficzny jest niewystarczający, Firefox udostępnia każdy parametr proxy jako preferencję w about:config. Kluczowe preferencje to:

Te preferencje można również zablokować za pomocą mozilla.cfg lub zasad grupy w wdrożeniach korporacyjnych, uniemożliwiając użytkownikom zmianę ustawień proxy.

Porównanie protokołów proxy: HTTP, HTTPS, SOCKS4 i SOCKS5

W przypadkach użycia skoncentrowanych na prywatności, SOCKS5 ze zdalnym DNS włączonym jest najsilniejszą opcją dostępną w natywnej konfiguracji Firefox. Obsługuje cały ruch TCP, rozwiązuje DNS po stronie proxy i obsługuje uwierzytelnianie — co czyni go odpowiednim do trasowania przez tunel SSH (ssh -D 1080) lub dedykowany serwer SOCKS5 działający na Serwerze Dedykowanym.

Kwestie bezpieczeństwa i prywatności

Ryzyko inspekcji ruchu: Każdy bajt Twojego niezaszyfrowanego ruchu HTTP przechodzi przez serwer proxy w postaci zwykłego tekstu. Nawet w przypadku HTTPS proxy widzi docelową nazwę hosta za pośrednictwem żądania CONNECT. Używaj proxy tylko od dostawców lub infrastruktury, którą kontrolujesz lub której wyraźnie ufasz.

Przechwytywanie certyfikatów: Niektóre korporacyjne i „transparentne” proxy HTTPS przeprowadzają inspekcję SSL, działając jako man-in-the-middle i prezentując Firefox własny certyfikat. Firefox ostrzeże Cię, chyba że główny urząd certyfikacji proxy jest zainstalowany w Twoim magazynie certyfikatów. Jeśli po włączeniu proxy widzisz nieoczekiwane ostrzeżenia dotyczące certyfikatów, to jest prawdopodobna przyczyna.

Wycieki WebRTC: Implementacja WebRTC w Firefox może omijać ustawienia proxy i ujawniać Twój prawdziwy adres IP przez żądania STUN. Aby temu zapobiec, ustaw media.peerconnection.enabled na false w about:config, jeśli WebRTC nie jest potrzebne, lub użyj rozszerzenia przeglądarki kontrolującego zachowanie WebRTC.

Omijanie proxy przez bezpośredni DNS: Jak wspomniano wcześniej, zawsze włączaj opcję Proxy DNS przy użyciu SOCKS v5, aby zapobiec wyciekom DNS. Połączenie proxy SOCKS5 z prawidłowo skonfigurowanym Certyfikatem SSL na serwerze źródłowym zapewnia szyfrowanie end-to-end nawet wtedy, gdy ruch przechodzi przez infrastrukturę pośredniczącą.

Ujawnienie danych uwierzytelniających: Uwierzytelnianie proxy HTTP wysyła dane uwierzytelniające w kodowaniu Base64, które jest trywialnie odwracalne. Jeśli Twoje proxy wymaga uwierzytelniania, upewnij się, że połączenie z samym proxy jest szyfrowane (tj. używaj proxy HTTPS lub SOCKS5 przez TLS lub tunelu SSH).

Konfigurowanie własnego serwera proxy

Korzystanie z usługi proxy innej firmy oznacza zaufanie temu dostawcy w kwestii Twojego ruchu. Uruchomienie własnego proxy na VPS daje Ci pełną kontrolę. Minimalne proxy SOCKS5 używające dante na serwerze Debian/Ubuntu:

apt update && apt install dante-server -y

Edytuj /etc/danted.conf:

logoutput: syslog
internal: 0.0.0.0 port = 1080
external: eth0
clientmethod: none
socksmethod: username
user.privileged: root
user.notprivileged: nobody

client pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    log: connect disconnect
}

socks pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    socksmethod: username
    log: connect disconnect
}

systemctl enable danted --now

Następnie w polu Host SOCKS Firefox wprowadź IP swojego VPS i port 1080, wybierz SOCKS v5 i włącz opcję Proxy DNS przy użyciu SOCKS v5. Ta konfiguracja, działająca na VPS z cPanel lub zwykłym VPS, daje Ci prywatne, uwierzytelnione proxy SOCKS5 z pełną kontrolą logowania.

Dla zespołów potrzebujących współdzielonej infrastruktury proxy, Hosting Współdzielony nie jest odpowiedni do uruchamiania demonów proxy — potrzebujesz VPS lub serwera dedykowanego z dostępem root i możliwością otwierania dowolnych portów.

Kluczowe wnioski i macierz decyzyjna

Użyj tej listy kontrolnej przed finalizacją konfiguracji proxy w Firefox:

• Wybierz SOCKS v5 zamiast SOCKS v4, gdy tylko serwer proxy to obsługuje — obsługa UDP, IPv6 i zdalnego DNS są niezbędne w nowoczesnych przypadkach użycia.
• Włącz „Proxy DNS przy użyciu SOCKS v5″, jeśli prywatność lub zapobieganie wyciekom jest wymaganiem.
• Wypełnij pole „Bez proxy dla” wartościami localhost, 127.0.0.1, ::1 oraz wszelkimi wewnętrznymi podsieciami lub sufiksami domen.
• Zweryfikuj wyjściowy adres IP używając ifconfig.me lub odpowiednika po zastosowaniu ustawień.
• Wyłącz WebRTC przez about:config, jeśli celem jest anonimowość.
• Unikaj trybu automatycznego wykrywania WPAD w niezaufanych sieciach.
• Upewnij się, że uwierzytelnianie proxy używa szyfrowanego kanału, jeśli wymagane są dane uwierzytelniające.
• Rozważ uruchomienie własnego proxy na kontrolowanym VPS zamiast polegania na usłudze innej firmy w przypadku wrażliwego ruchu.

Jeśli potrzebujesz dynamicznego, opartego na regułach trasowania przez wiele węzłów wyjściowych, poświęć czas na napisanie pliku PAC — jest znacznie łatwiejszy w utrzymaniu niż ręczna rekonfiguracja Firefox za każdym razem, gdy zmienia się topologia Twojego proxy.

Często zadawane pytania

Czy konfiguracja proxy w Firefox wpływa na inne przeglądarki lub aplikacje systemowe?

Nie. Firefox przechowuje swoje ustawienia proxy niezależnie od systemu operacyjnego. Zmiany wprowadzone w Ustawieniach połączenia Firefox nie mają żadnego wpływu na Chrome, systemowy curl ani żadną inną aplikację. Przez skonfigurowane proxy kierowany jest wyłącznie ruch pochodzący z Firefox.

Dlaczego mój ruch HTTPS nadal przechodzi przez proxy, mimo że pole SSL Proxy pozostawiłem puste?

Jest to oczekiwane zachowanie w nowoczesnym Firefox. Gdy skonfigurowane jest Proxy HTTP, Firefox używa metody HTTP CONNECT do tunelowania połączeń HTTPS przez to samo proxy. Pole SSL Proxy jest istotne tylko wtedy, gdy chcesz, aby ruch HTTPS przechodził przez inny punkt końcowy proxy niż ruch HTTP.

Jak zapobiec wyciekom DNS podczas używania proxy SOCKS5 w Firefox?

Otwórz Ustawienia połączenia, wybierz proxy SOCKS v5 i zaznacz pole wyboru Proxy DNS przy użyciu SOCKS v5. Alternatywnie ustaw network.proxy.socks_remote_dns na true w about:config. Zmusza to Firefox do wysyłania zapytań DNS przez tunel SOCKS zamiast rozwiązywania ich lokalnie.

Czy mogę używać ustawień proxy Firefox z tunelem SSH?

Tak. Utwórz lokalny tunel SOCKS5 za pomocą ssh -D 1080 -N user@your-server.com, a następnie skonfiguruj Firefox, aby używał 127.0.0.1 na porcie 1080 jako proxy SOCKS v5 z włączonym zdalnym DNS. Cały ruch Firefox będzie szyfrowany przez tunel SSH do Twojego zdalnego serwera przed wyjściem do internetu.

Jaka jest różnica między „Automatycznym wykrywaniem ustawień proxy” a „Adresem URL automatycznej konfiguracji proxy”?

Automatyczne wykrywanie używa protokołu WPAD do automatycznego wykrycia pliku PAC przez DHCP lub DNS — nie podajesz żadnego adresu URL. Adres URL automatycznej konfiguracji proxy wymaga jawnego podania adresu URL pliku PAC. Ta druga opcja jest bardziej przewidywalna, bezpieczniejsza i zalecana zawsze, gdy z góry znasz lokalizację pliku PAC.