Ubuntu编译运行ss-redir打造透明代理Wifi环境

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/lvshaorong/article/details/52909055

研究了一阵子的Openwrt路由器,主要是让影s梭s作为一个服务跑在openwrt路由器上,然后该路由器就实现了透明代理功能,连入该路由器Wifi的设备都实现了代理,达到了科学上网的效果。后来又一想,既然Openwrt可以,那Ubuntu应该也没啥问题,于是着手开始研究。

首先Openwrt用的ss是libev的版本,也就是c语言直接编译过来的版本,其源代码可以从这里(https://github.com/ss/ss-libev)下载到。libev版本包含ss-server,ss-local,ss-redir,ss-tunnel,其中ss-redir是做透明代理用的服务程序,需要配合iptables使用。但是,网上多数的Ubuntu+ss文章都是介绍的python版本和ss linux版本,而这两个版本都是只有ss-server和ss-local 两个服务,ss-local只能开放一个代理端口,然后让浏览器使用类似swichysharp类似的软件设置代理,这样的方式虽然安装容易但是只能让浏览器走代理,不能实现全局的透明代理。


针对python版的ss-local客户端,可以使用redsocks进行透明代理,这种方法在我之前的一篇博客《WiFi热点分享ss流量实现全局透明代理》中写过

不过这种方式有几个弊端
1、redsocks服务只能代理tcp流量,不能代理udp流量
2、redsocks有bug,不能关闭已建立的连接,一旦超越linux的最大限制,就会报“Too many open files”异常,导致服务瘫痪,需要每隔一段时间进行重启
3、在我的使用还发现这种方式经常会让NetworkManager对无线网卡的管理崩溃,导致搜索不到wifi信号,需要经常重启NetworkManager

4、图形界面版的ss-qt5有bug,在连接数多的时候会崩溃掉


所以我们要安装ss-libev这个库并开启ss-redir服务进行全局代理
这样做的好处有很多

1、ss-libev版占用内存比python版更小,在30块钱路由器上都能跑很溜的程序在Ubuntu上肯定没什么问题

2、可以随时下载最新源码编译最新的软件包,比如在Ubuntu16.04上,直接使用apt-get install ss 安装的版本很旧,连rc4-md5的加密都不支持

3、无需借助其他第三方程序如redsocks,大大提高了系统稳定性

4、deb包安装完成后会自动加入环境变量,而python版是没有环境变量的


好了进入正题,如何安装部署ss-libev版呢

作为一名Ubuntu用户,首先我们可以登录ss的github的官网去下载相关c源代码,然后编译成deb包,因为创造ss的大神 clowwindy已经退隐江湖,所以我们可以从还在更新着的其他人的分支上去clone,比如这个https://github.com/madeye/shadowsocks-libev

当然目前我已经把Ubuntu常见的版本已经编译出来了,大家可以直接下载使用(在多台电脑上亲测可用)

V2.5.5版(稳定版)

14.04及以上系统下载连接 http://download.csdn.net/detail/lvshaorong/9721087

16.04及以上版本下载地址:http://download.csdn.net/detail/lvshaorong/9662213


V3.0.3版(2017.03 最新版)

16.04及以上版本下载地址:http://download.csdn.net/detail/lvshaorong/9773002


使用dpkg命令可以直接安装该deb包

sudo dpkg -i ./ss-libev_2.5.5-1_amd64.deb

安装完成之后可以使用ss-redir -h命令来检查是否安装成功


然后我们需要写一个文本文件,里面是个json字符串,写明服务器地址,密码,监听端口等信息,如下


注意这里的“local_address”一定要填写0.0.0.0,默认是127.0.0.1,但是默认是无法使用iptables进行端口转发的,所以要设置为0.0.0.0,其他的内网地址也不行,比如192.168.1.81,我试过

配置好用户名密码之后就可以开启ss服务了,方法很简单

sudo ss-redir -c <上面json配置文件路径> -v -u

上面的-v是指开启罗嗦模式,也就是把端口转发情况全部打印出来,方便我们调试错误

-u 是指开启udp转发,如果你的服务器支持那么推荐开启

如果出现如下报错


那说明json中配置的1081端口已经被别的程序占用了,这时我们可以通过netstat -ntl检查端口占用情况,然后选一个没有被占用过的端口


下面是最重要的一步,开启iptables端口转发,其作用就是将无线网卡收集到的数据包转发给ss走代理,所以要写一点iptables路由规则,如下

iptables -t nat -A PREROUTING -d 127.0.0.0/24 -j RETURN
iptables -t nat -A PREROUTING -d 192.168.0.0/16 -j RETURN
iptables -t nat -A PREROUTING -d 10.42.0.0/16 -j RETURN
iptables -t nat -A PREROUTING -d 0.0.0.0/8 -j RETURN
iptables -t nat -A PREROUTING -d 10.0.0.0/8 -j RETURN
iptables -t nat -A PREROUTING -d 172.16.0.0/12 -j RETURN
iptables -t nat -A PREROUTING -d 224.0.0.0/4 -j RETURN
iptables -t nat -A PREROUTING -d 240.0.0.0/4 -j RETURN
iptables -t nat -A PREROUTING -d 169.254.0.0/16 -j RETURN

iptables -t nat -A PREROUTING -p tcp -s 10.42.0.0/16 -j REDIRECT --to-ports 1081

其中修改的是PREROUTING表,这样只会对Wifi网卡的流量起作用,而不会对本机起作用,如果想让本机起作用,可以把相同的规则加上server的ip return加到OUTPUT表上

上面的10.42.0.0/16是Ubuntu系统分享wifi后,wifi子网连入设备的IP地址,上面最后一句话的意思就是把所有来自Wifi的数据包都发送到ss-redir的监听端口1081去

可以用

sudo iptables -t nat -L -n
来检查iptables路由规则,正确的情况应该如下图


另外,ss-redir还支持udp转发(DNS会用到),首先你的服务端要支持,然后需要修改iptables的mangle表,具体写法可以参考另一篇文章《iptables+tproxy实现ss-redir的UDP转发的方法


补充:通过上面的方式只能把连接到本台ubuntu机器分出的wifi或者将网关设置为当前ubuntu服务器的设备获得透明代理,当前服务器自身是没有被透明代理的,如果想要ubuntu本身也被透明代理,需要修改OUTPUT表,因为本机发出的流量是不会走PREROUTING链的,如下

iptables -t nat -A OUTPUT -d 127.0.0.0/24 -j RETURN  
iptables -t nat -A OUTPUT -d 192.168.0.0/16 -j RETURN  
iptables -t nat -A OUTPUT -d 10.42.0.0/16 -j RETURN  
iptables -t nat -A OUTPUT -d 0.0.0.0/8 -j RETURN  
iptables -t nat -A OUTPUT -d 10.0.0.0/8 -j RETURN  
iptables -t nat -A OUTPUT -d 172.16.0.0/12 -j RETURN  
iptables -t nat -A OUTPUT -d 224.0.0.0/4 -j RETURN  
iptables -t nat -A OUTPUT -d 240.0.0.0/4 -j RETURN  
iptables -t nat -A OUTPUT -d 169.254.0.0/16 -j RETURN 
 
iptables -t nat -A OUTPUT -d <SS服务端的IP地址> -j RETURN 

iptables -t nat -A OUTPUT -p tcp -j REDIRECT --to-ports 1081

其中要注意一下,倒数第二行要填写你的服务端的IP地址,否则本机向服务端发出的数据包又回被强制转发到1081端口上,导致形成了数据包的环路,导致客户端程序会因此卡死,有点像交换机的风暴,所以必须将这一条单独拿出来。



这里要注意一下,使用如上配置之后是可以将TCP流量代理到SS服务器的,但是有些网站如Facebook,google还是打不开,原因是DNS目前仍然从本机发出,使用UDP协议且不经过代理,所以对于这些网站会被DNS投毒解析到一个错误的IP,访问这个错误的服务器当然不会成功,所以下一步我们要解决DNS的问题

此时需要使用Pdnsd或者ss-tunnel服务,用来防止DNS污染

然后修改修改系统默认的DNS服务器地址为上面我们开启的pdnsd或ss-tunnel的监听地址

sudo nano /etc/resolv.conf


这一步的详情请参考我之前写的两边DNS文章《Ubuntu16.04用Pdnsd替换dnsmasq防止DNS污染》《一分钟快速搭建Windows防污染DNS服务器——Pcap_DNSProxy》搭建自己的DNS服务器

好了,现在可以开启wifi功能让手机连入,然后开心的fan wall了,Ubuntu16.04开启Wifi分享功能网上说的很多,我这里就不浪费篇幅了,可以看下面网友提供的方法

http://jingyan.baidu.com/article/363872ecd8f35d6e4ba16f97.html

附图:通过netstat命令检查ss是否正在运行




阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页