首頁 > 電腦教學 > 使用Shadowsocks隨機通訊埠

使用Shadowsocks隨機通訊埠

笨笨包為了能順暢的上Google查資料,已經開始無所不用其極。自前些日子試了個在Win7中利用ptproxy和obfs4proxy混肴Shadowsocks連線之後,笨笨包覺得這不是完美的解決辦法,因為只是單IP單通訊埠,還是很容易就被大陸的防火牆給干擾。找了下Google上關於目前僅還算順暢的Shadowsocks翻牆設定,以及電腦上安裝的Shadowsocks客戶端,我決定用最蠢的方式:把通訊埠拆開上千個…

目前的翻牆大多以自己的電腦針對一台國外的VPS,然後VPS上開了一個通訊埠(端口、接口)。而這種單一性卻讓大陸的防火牆很容易依照流量去判斷你是不是翻牆出去,但是它又無法了解是不是真的是翻牆,所以就嘗試著干擾你一下,只要干擾次數多了,防火牆就會直接判定你真的就是翻牆,笨笨包上個星期就被封了一個IP,一個笨笨包私人用的IP,每天流量少得可憐,但還是被封了。

現在我們就來設定

Shadowsocks Server端

笨笨包使用的是Debian7.8,shadowsocks-libev套件。

設定方式請參考這篇shadowsocks的优化和安全设置总结。

只要跟著內容來做即可,笨笨包試驗過了,內容敘述在實際操作上並沒有錯誤。所以笨笨包沒什麼好說的,照著做就對了!

設定Shadowsocks客戶端

笨笨包在電腦上使用的是 https://github.com/shadowsocks/shadowsocks-windows,可惜這個程式作者8月份的時候被公安請去喝茶,結果就全部程式全刪了,不過笨笨包這裡有下載編譯好的備份,如果需要可以直接下載。

1

shadowsocks-windows這個簡單的程式有一個其它Shadowsocks客戶端程式都沒有的功能,就是隨機連線,只要把功能中的高可用項目打勾即可。

2

接下來就是個大工程,把Server端開啟的943個通訊埠一個一個設定到shadowsocks-windows的gui-config.json中(笨笨包設置同網站內容81~1023),如果傻傻的一個一個輸入手會抽筋的,所以笨笨包完全的利用了Excel和Ultraedit這兩套軟體輔助製作,幾分鐘就好了。

3

接下來我們就可以直接上網。

從連線記錄來看,大約每10幾秒就會換一次通訊埠,而出口ip都是同一個,所以不會有ip不同導致被強制登出的問題。
自從依照這麼做了之後,上網被干擾的次數變少了,干擾時間也變短了,因為連線的通訊埠一直在變,除非防火牆又封掉我這個ip,否則干擾對我而言不構成不便,畢竟防火牆採樣封ip沒花上一段時間是做不到的。

4

如果,你擔心通訊埠太少,可以自己再加。如果你擔心只有一個ip很容易被封,你可以多準備幾個,然後以同樣的方式交替使用。

另外普及一下大陸的法律,在大陸,翻牆瀏覽禁站是屬於違反《计算机信息网络国际互联网安全保护管理办法》法律,像Facebook和一些單純被禁的網站不是禁站只是不給你看,可是如果上的是色情、賭博網站或什麼邪教的網站就是違法,大陸人頂多關個幾天罰錢後就放出來了,台灣人會被驅離大陸,起碼5年內無法在進入大陸,這也是為什麼笨笨包一直私下交代不要在公共場合翻牆的原因,因為大陸抓耙子實在是太多了。

12 留言

  1. 你好
    我看不到圖片耶

  2. 謝謝笨笨包大大的經驗分享,我再思考看看要不要分IP的必要性,可以順道問一下,您是多少個IP在輪替呢?

    • 70個,分布在美國、加拿大、以及幾個歐洲國家的IP。所以我分出15個ip設定不同port作為私人特供免費帳號。
      反倒是特供免費帳號陣亡率不高,我自己私人用的ip陣亡率才高,今天一個晚上就陣亡了2個ip,因為我在看youtube的影片,凌晨1點多被封,到現在還無法連線。如果超過24小時還是連不上就表示永久封鎖了,這個時候就是考驗自己英文能力的時候,因為要和商家要求換ip

      • 這數量遠遠超出我的想像啊 XD
        對小資使用者看來只能消極使用,被封一個算一個了。
        依您的經驗,若是超過24小時還連不上,是指這個IP永遠都不會開放了嗎?
        他這個永久封鎖,是針對全中國任意地方連這個IP都會失敗,還是地域性的啊?

  3. 笨笨包你好,看完您網站的教學,在觀念上受益良多。
    此篇中有幾個疑問,是否能請您解答?

    ==================================
    以下為截錄轉載文中內容:

    随机端口

    随机端口可以有效的避免被认证…
    ss监听在23,将81-1023端口的流量转发到23端口。

    iptables -t nat -A PREROUTING -p tcp -m multiport –dport 81:1023 -j REDIRECT –to-ports 23
    iptables -t nat -A PREROUTING -p udp -m multiport –dport 81:1023 -j REDIRECT –to-ports 23

    客户端是openwrt上的ss,我们希望将目标是vps ip,端口23的流量,随机拆成端口范围81-1023的流量。

    iptables -t nat -I OUTPUT 1 -d [VPS] -p tcp –dport 23 -j DNAT –to-destination [VPS]:81-1023 –random
    iptables -t nat -I OUTPUT 1 -d [VPS] -p udp –dport 23 -j DNAT –to-destination [VPS]:81-1023 –random
    ==================================

    1. 依我的理解,後兩條chain的OUTPUT rule應該是目前大陸常見刷路由器韌體方式,ss-local 放在路由器後台,所添加進去iptables實現的隨機路由,是嗎?

    2. 若是,他會像是shadowsocks-windows client的”高可用”項目,每10幾秒就換一次port嗎?

    3. 若是,目前看來要應用現成的資源實現隨機port,只有windows client和路由直翻iptables設置,手機client如Android有辦法實現嗎?

    以上,謝謝!

    • 1.就是你理解的那樣
      2.我的server設定是在Debian下固定的iptables設定,而隨機部分以windows端為主
      3.手持設備目前的軟體沒辦法這麼做

      • 謝謝笨笨包大大的回覆,

        如果我在我的client路由裡,設置了以上兩個OUTPUT規則,那麼是不是意味著我對[VPS IP]送出去的每一個封包都會隨機在該範圍內選則一個port,如此切換port的頻率應該會非常高是嗎?

        那麼相對使用ss-windows-client提供的”高可用”切換server功能(依照掉封包情況較低的自動切換),好像不太相同了?

        以上,謝謝!

        • 因為shadowsocks client原作者沒有詳細說明高可用指的是甚麼,但是依照後來的使用狀況,要嘛指的是低延遲,要嘛就是低錯誤。而切換方式,應該是說每個新的獨立的連線會自動找最適合的,只要斷線就會重新找過。並不是明明連線好好的卻又自動切換。

          還有,後來我放棄多port切換了,因為在大陸使用單一ip太容易被封,我現在的做法是多IP,畢竟我有幾十個ip可用,花了血本的…如果你是在台灣使用那就不用理會我這段話…

          而且,server端的iptables必須固定長期打開你要切換的port,某個程度來說是件很可怕的事,和裸奔沒啥兩樣。

          • 我是想在台灣路由上開ss-server,給大陸端朋友的ss-local 路由連,若按您的說法,就算不管port全開這個安全性問題,其實這單一IP,被封IP也只是遲早的事,對嗎?就算流量不是很大,也會嗎?(個人用,不抓BT不下檔案之類的,頂多上上臉書和LINE。)

            對了,那幾個選項,我搜尋到的說明是這樣的:

            负载均衡:就是多个连接分摊到各个服务器 随机选择服务器

            高可用:按最低延迟+最稳定的标准(丢包率)自动选择一个服务器进行连接

            累计丢包率:通过定时 ping 来测速和选择。

          • 我的經驗,流量大不是太大的問題,問題是在於連線的頻率,例如上FB,由於fb有很多圖片,很多腳本,這都個別算單一連線,每到了一定的程度,gfw雖然不會直接封鎖,但是會干擾。直到gfw認為太超過了,就會直接封鎖ip,不過這沒有一些的規律,只能看運氣。

發表留言

您的電子郵件地址將不會被公開標記為必填欄位 *

*

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料