关闭

Ubuntu编译运行ss-redir打造透明代理Wifi环境

标签: iptables路由器ubuntuopenwrt
9880人阅读 评论(12) 收藏 举报

研究了一阵子的Openwrt路由器,主要是让影s梭s作为一个服务跑在openwrt路由器上,然后该路由器就实现了透明代理功能,连入该路由器Wifi的设备都实现了代理,达到了科学上网的效果。后来又一想,既然Openwrt可以,那Ubuntu应该也没啥问题,于是着手开始研究。

首先Openwrt用的ss是libev的版本,也就是c语言直接编译过来的版本,其源代码可以从这里(https://github.com/ss/ss-libev)下载到。libev版本包含ss-server,ss-local,ss-redir,ss-tunnel,其中ss-redir是做透明代理用的服务程序,需要配合iptables使用。但是,网上多数的Ubuntu+ss文章都是介绍的python版本和ss linux版本,而这两个版本都是只有ss-server和ss-local 两个服务,ss-local只能开放一个代理端口,然后让浏览器使用类似swichysharp类似的软件设置代理,这样的方式虽然安装容易但是只能让浏览器走代理,不能实现全局的透明代理。


针对python版的ss-local客户端,可以使用redsocks进行透明代理,这种方法在我之前的一篇博客《WiFi热点分享ss流量实现全局透明代理》中写过

不过这种方式有几个弊端

1、redsocks服务只能代理tcp流量,不能代理udp流量

2、redsocks有bug,不能关闭已建立的连接,一旦超越linux的最大限制,就会报“Too many open files”异常,导致服务瘫痪,需要每隔一段时间进行重启
3、在我的使用还发现这种方式经常会让NetworkManager对无线网卡的管理崩溃,导致搜索不到wifi信号,需要经常重启NetworkManager

4、图形界面版的ss-qt5有bug,在连接数多的时候会崩溃掉

所以我们要安装ss-libev这个库并开启ss-redir服务进行全局代理

这样做的好处有很多

1、ss-libev版占用内存比python版更小,在30块钱路由器上都能跑很溜的程序在Ubuntu上肯定没什么问题

2、可以随时下载最新源码编译最新的软件包,比如在Ubuntu16.04上,直接使用apt-get install ss 安装的版本很旧,连rc4-md5的加密都不支持

3、无需借助其他第三方程序如redsocks,大大提高了系统稳定性

4、deb包安装完成后会自动加入环境变量,而python版是没有环境变量的


好了进入正题,如何安装部署ss-libev版呢

作为一名Ubuntu用户,首先我们可以登录ss的github的官网去下载相关c源代码,然后编译成deb包,因为创造ss的大神 clowwindy已经退隐江湖,所以我们可以从还在更新着的其他人的分支上去clone,比如这个https://github.com/madeye/shadowsocks-libev

当然目前我已经把Ubuntu常见的版本已经编译出来了,大家可以直接下载使用(在多台电脑上亲测可用)\

V2.5.5版(稳定版)

14.04及以上系统下载连接 http://download.csdn.net/detail/lvshaorong/9721087

16.04及以上版本下载地址:http://download.csdn.net/detail/lvshaorong/9662213


V3.0.3版(2017.03 最新版)

16.04及以上版本下载地址:http://download.csdn.net/detail/lvshaorong/9773002


使用dpkg命令可以直接安装该deb包

sudo dpkg -i ./ss-libev_2.5.5-1_amd64.deb


安装完成之后可以使用ss-redir -h命令来检查是否安装成功


然后我们需要写一个文本文件,里面是个json字符串,写明服务器地址,密码,监听端口等信息,如下


注意这里的“local_address”一定要填写0.0.0.0,默认是127.0.0.1,但是默认是无法使用iptables进行端口转发的,所以要设置为0.0.0.0,其他的内网地址也不行,比如192.168.1.81,我试过

配置好用户名密码之后就可以开启ss服务了,方法很简单

sudo ss-redir -c <上面json配置文件路径> -v -u
上面的-v是指开启罗嗦模式,也就是把端口转发情况全部打印出来,方便我们调试错误

-u 是指开启udp转发,如果你的服务器支持那么推荐开启

如果出现如下报错


那说明json中配置的1081端口已经被别的程序占用了,这时我们可以通过netstat -ntl检查端口占用情况,然后选一个没有被占用过的端口


下面是最重要的一步,开启iptables端口转发,其作用就是将无线网卡收集到的数据包转发给ss走代理,所以要写一点iptables路由规则,如下

iptables -t nat -A PREROUTING -d 127.0.0.0/24 -j RETURN
iptables -t nat -A PREROUTING -d 192.168.0.0/16 -j RETURN
iptables -t nat -A PREROUTING -d 10.42.0.0/16 -j RETURN
iptables -t nat -A PREROUTING -d 0.0.0.0/8 -j RETURN
iptables -t nat -A PREROUTING -d 10.0.0.0/8 -j RETURN
iptables -t nat -A PREROUTING -d 172.16.0.0/12 -j RETURN
iptables -t nat -A PREROUTING -d 224.0.0.0/4 -j RETURN
iptables -t nat -A PREROUTING -d 240.0.0.0/4 -j RETURN
iptables -t nat -A PREROUTING -d 169.254.0.0/16 -j RETURN

iptables -t nat -A PREROUTING -p tcp -s 10.42.0.0/16 -j REDIRECT --to-ports 1081

其中修改的是PREROUTING表,这样只会对Wifi网卡的流量起作用,而不会对本机起作用,如果想让本机起作用,可以把相同的规则加上server的ip return加到OUTPUT表上

上面的10.42.0.0/16是Ubuntu系统分享wifi后,wifi子网连入设备的IP地址,上面最后一句话的意思就是把所有来自Wifi的数据包都发送到ss-redir的监听端口1081去

可以用

sudo iptables -t nat -L -n
来检查iptables路由规则,正确的情况应该如下图


另外,ss-redir还支持udp转发,方法是在上面路由规则上再加一句

iptables -t nat -A PREROUTING -p udp -s 10.42.0.0/16 -j REDIRECT --to-ports 1081

在开启了UDP转发之后,Shdowsocks就彻底可以当VPN使用了,因为全部的流量都已经得到转发,这在python版里是实现不了的。


这里要注意一下,使用如上配置之后是可以将TCP流量代理到SS服务器的,但是有些网站如Facebook,google还是打不开,原因是DNS目前仍然从本机发出,使用UDP协议且不经过代理,所以对于这些网站会被DNS投毒解析到一个错误的IP,访问这个错误的服务器当然不会成功,所以下一步我们要解决DNS的问题

此时需要使用Pdnsd或者ss-tunnel服务,用来防止DNS污染

然后修改修改系统默认的DNS服务器地址为上面我们开启的pdnsd或ss-tunnel的监听地址

sudo nano /etc/resolv.conf


这一步的详情请参考我之前写的两边DNS文章《Ubuntu16.04用Pdnsd替换dnsmasq防止DNS污染》《一分钟快速搭建Windows防污染DNS服务器——Pcap_DNSProxy》搭建自己的DNS服务器

好了,现在可以开启wifi功能让手机连入,然后开心的fan wall了,Ubuntu16.04开启Wifi分享功能网上说的很多,我这里就不浪费篇幅了

http://jingyan.baidu.com/article/363872ecd8f35d6e4ba16f97.html

附图:通过netstat命令检查ss是否正在运行



关于编译:

编译ss-libev库其实很简单,根据github上的说明两行代码就可以搞定,记得要执行apt-get update就好

git clone https://github.com/shadowsocks/shadowsocks-libev.git
sudo apt-get update
cd shadowsocks-libev
sudo apt-get install --no-install-recommends build-essential autoconf libtool libssl-dev \
    gawk debhelper dh-systemd init-system-helpers pkg-config asciidoc xmlto apg libpcre3-dev
dpkg-buildpackage -b -us -uc -i
cd ..
sudo dpkg -i shadowsocks-libev*.deb


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:431451次
    • 积分:5039
    • 等级:
    • 排名:第6160名
    • 原创:143篇
    • 转载:0篇
    • 译文:1篇
    • 评论:188条
    最新评论