首页 > [轉貼備份用]shadowsocks的优化和安全设置总结 – 笨笨包的天空

[轉貼備份用]shadowsocks的优化和安全设置总结 – 笨笨包的天空

互联网 2021-04-23 10:42:02
环境

OS:Debian 7.0VPS:DigitalOcean SGP

 

版本的选择

根据官方文档:Feature Comparison across Different Versions

go和node.js:显然已被抛弃,选择在python和libev中间。python版支持的Multiple Users/Workers/Graceful Restart,显然更适合商业化运营,对单用户没用。libev版支持的ss-redir和ss-tunnel,只在客户端有用。

我选择libev版本,因为vps需要尽可能小的内存占用。

通过调整linux的tcp参数对shadowsocks进行优化

首先必须不是OpenVZ的纯虚拟化VPS才可以,完全根据Optimizing Shadowsocks进行操作即可。

新建 /etc/sysctl.d/local.conf 这个文件并添加下面的内容:

fs.file-max = 51200

net.core.rmem_max = 67108864net.core.wmem_max = 67108864net.core.rmem_default = 65536net.core.wmem_default = 65536net.core.netdev_max_backlog = 4096net.core.somaxconn = 4096

net.ipv4.tcp_syncookies = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 0net.ipv4.tcp_fin_timeout = 30net.ipv4.tcp_keepalive_time = 1200net.ipv4.ip_local_port_range = 10000 65000net.ipv4.tcp_max_syn_backlog = 4096net.ipv4.tcp_max_tw_buckets = 5000net.ipv4.tcp_fastopen = 3net.ipv4.tcp_rmem = 4096 87380 67108864net.ipv4.tcp_wmem = 4096 65536 67108864net.ipv4.tcp_mtu_probing = 1net.ipv4.tcp_congestion_control = hybla

然后运行:sysctl –system

安全配置安全配置1:以非root运行shadowsocks

开源程序,不怕后门怕漏洞。

新建一个无密码,无法登陆,没home的系统用户,就叫

shadowsocks

adduser –system –disabled-password –disabled-login –no-create-home shadowsocks

修改

/etc/default/shadowsocks-libev

USER=shadowsocksGROUP=nogroup

对安全配置1的补充:非root的SS,如何运行在1024以下端口

不管Vultr还是DigitalOcean、Linode,都对机房的网络有做QOS,在高峰期22、80、443这样常见低端口的流量会比高位端口的优先级高。但默认情况下,非root用户无法监听低位端口。

请无视各种iptables解决办法,只讲最简单的方法:

setcap

对于debian7.0来说,2行命令。

apt-get install libcap2-binsetcap ‘cap_net_bind_service=+ep’ /usr/bin/ss-server

安全配置2:禁止ss通过loopback访问本地资源

v2ex的一个帖子,一下敲醒了大家对ss访问本地资源这个问题的重视。

新建一个叫SHADOWSOCKS的Chain,其实直接打在OUTPUT Chain上完全没问题,但处女座的情节在这里,为了美观!

iptables -N SHADOWSOCKS

禁止对本地网络的访问。

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 127.0.0.0/8 -j REJECT

多数人只有127.0.0.1就够了,对有跑Private Network的VPS,可以补充下面的

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 0.0.0.0/8 -j REJECTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 10.0.0.0/8 -j REJECTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 169.254.0.0/16 -j REJECTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 172.16.0.0/12 -j REJECTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 192.168.0.0/16 -j REJECTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 224.0.0.0/4 -j REJECTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 240.0.0.0/4 -j REJECT

开放对DNS、HTTP、HTTPS的访问,DNS有TCP和UDP两种哦!

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p udp –dport 53 -j ACCEPTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp –dport 53 -j ACCEPTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp –dport 80 -j ACCEPTiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp –dport 443 -j ACCEPT

下面这条,将允许SS对客户端请求的回访。

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -m state –state ESTABLISHED,RELATED -j ACCEPT

下面两条,将不允许其他目标端口的访问,原因很简单:不希望有版权内容下载的流量被vps商发现。这里tcp选择tcp-reset作为返回值,是因为tcp-reset可以通过ss传回客户端。

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp -j REJECT –reject-with tcp-resetiptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p udp -j REJECT

最后,把SHADOWSOCKS这个Chain,打到OUTPUT上去

iptables -A OUTPUT -j SHADOWSOCKS

在Server端使用Squid对http流量进行缓存

使用Squid对http流量进行缓存后:主观感受明显,但了youtube(https)和speedtest无法佐证。

安装squid3

apt-get install squid3

对默认配置文件来个备份

cd /etc/squid3mv squid.conf squid.conf.old

新建配置文件squid.conf

# 透明代理工作在3128/tcphttp_port 127.0.0.1:3128 transparent

acl localhost src 127.0.0.1acl thisvps src 107.191.52.32http_access allow localhosthttp_access allow thisvps# 64M内存,2G硬盘做缓存,cache日志不纪录cache_mem 64 MBcache_dir ufs /var/spool/squid3 2000 16 256cache_log /dev/null# 现在互联网上css/js/gif都好大,默认的不够。maximum_object_size 4096 KBmaximum_object_size_in_memory 64 KB# 不缓存 cgi-bin ,对图片、js、css强制缓存。hierarchy_stoplist cgi-bin ?refresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern -i (/cgi-bin/|\?) 0 0% 0refresh_pattern \.(jpg|png|gif|mp3|xml|html|htm|css|js) 1440 50% 2880 ignore-reloadrefresh_pattern . 0 20% 4320

设置iptables,将shadowsocks 的出站80端口数据进行转发到127.0.0.1:3128必须先安上面的安全配置1进行配置

iptables -t nat -m owner –uid-owner shadowsocks -A OUTPUT -p tcp –dport 80 -j REDIRECT –to-port 3128

若已按上方的安全配置2进行了配置:还需开通shadowsocks访问本地3128端口的权限,直接插入到SHADOWSOCKS Chain的第一行。

iptables -t filter -m owner –uid-owner shadowsocks -I SHADOWSOCKS 1 -d 127.0.0.0/8 -p tcp –dport 3128 -j ACCEPT

若本机的配置了其他iptables入站规则:还需开通eth0到loopback的访问。

iptables -A INPUT -s [VPS IP] /32 -d 127.0.0.0/8 -i lo -j ACCEPT

最后,通过观察squid的日志,确认转发是否在工作。

tail -f /var/log/squid3/access.log

使用单边TCP优化工具

半虚拟化(openvz),可用net-speeder,开源。

全虚拟化的vps,可用锐速,有20M免费版本。

当然,这两个工具都或多或少纯在争议:帖1 贴2

用不用就是仁者见仁智者见智的问题了。

随机端口

随机端口可以有效的避免被认证…ss监听在23,将81-1023端口的流量转发到23端口。

iptables -t nat -A PREROUTING -p tcp -m multiport –dport 81:1023 -j REDIRECT –to-ports 23iptables -t nat -A PREROUTING -p udp -m multiport –dport 81:1023 -j REDIRECT –to-ports 23

客户端是openwrt上的ss,我们希望将目标是vps ip,端口23的流量,随机拆成端口范围81-1023的流量。

iptables -t nat -I OUTPUT 1 -d [VPS] -p tcp –dport 23 -j DNAT –to-destination [VPS]:81-1023 –randomiptables -t nat -I OUTPUT 1 -d [VPS] -p udp –dport 23 -j DNAT –to-destination [VPS]:81-1023 –random

免责声明:非本网注明原创的信息,皆为程序自动获取互联网,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责;如此页面有侵犯到您的权益,请给站长发送邮件,并提供相关证明(版权证明、身份证正反面、侵权链接),站长将在收到邮件12小时内删除。