首頁 > 電腦教學 > [轉貼備份用]shadowsocks的优化和安全设置总结

[轉貼備份用]shadowsocks的优化和安全设置总结

因為這個網站很不穩定,而這篇文章又對我很重要,所以轉貼備份下來!

shadowsocks的优化和安全设置总结

环境

OS:Debian 7.0
VPS:DigitalOcean SGP

 

版本的选择

根据官方文档:Feature Comparison across Different Versions

  • go和node.js:显然已被抛弃,选择在python和libev中间。
  • python版支持的Multiple Users/Workers/Graceful Restart,显然更适合商业化运营,对单用户没用。
  • libev版支持的ss-redir和ss-tunnel,只在客户端有用。

我选择libev版本,因为vps需要尽可能小的内存占用。

通过调整linux的tcp参数对shadowsocks进行优化

首先必须不是OpenVZ的纯虚拟化VPS才可以,完全根据Optimizing Shadowsocks进行操作即可。

新建 /etc/sysctl.d/local.conf 这个文件并添加下面的内容:

fs.file-max = 51200

net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.rmem_default = 65536
net.core.wmem_default = 65536
net.core.netdev_max_backlog = 4096
net.core.somaxconn = 4096

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_congestion_control = hybla

然后运行:
sysctl –system

安全配置

安全配置1:以非root运行shadowsocks

开源程序,不怕后门怕漏洞。

新建一个无密码,无法登陆,没home的系统用户,就叫

shadowsocks

adduser –system –disabled-password –disabled-login –no-create-home shadowsocks

修改

/etc/default/shadowsocks-libev

USER=shadowsocks
GROUP=nogroup

对安全配置1的补充:非root的SS,如何运行在1024以下端口

不管Vultr还是DigitalOceanLinode,都对机房的网络有做QOS,在高峰期22、80、443这样常见低端口的流量会比高位端口的优先级高。但默认情况下,非root用户无法监听低位端口。

请无视各种iptables解决办法,只讲最简单的方法:

setcap

对于debian7.0来说,2行命令。

apt-get install libcap2-bin
setcap ‘cap_net_bind_service=+ep’ /usr/bin/ss-server

安全配置2:禁止ss通过loopback访问本地资源

v2ex的一个帖子,一下敲醒了大家对ss访问本地资源这个问题的重视。

新建一个叫SHADOWSOCKS的Chain,其实直接打在OUTPUT Chain上完全没问题,但处女座的情节在这里,为了美观!

iptables -N SHADOWSOCKS

禁止对本地网络的访问。

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 127.0.0.0/8 -j REJECT

多数人只有127.0.0.1就够了,对有跑Private Network的VPS,可以补充下面的

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 0.0.0.0/8 -j REJECT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 10.0.0.0/8 -j REJECT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 169.254.0.0/16 -j REJECT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 172.16.0.0/12 -j REJECT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 192.168.0.0/16 -j REJECT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 224.0.0.0/4 -j REJECT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -d 240.0.0.0/4 -j REJECT

开放对DNS、HTTP、HTTPS的访问,DNS有TCP和UDP两种哦!

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p udp –dport 53 -j ACCEPT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp –dport 53 -j ACCEPT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp –dport 80 -j ACCEPT
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp –dport 443 -j ACCEPT

下面这条,将允许SS对客户端请求的回访。

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -m state –state ESTABLISHED,RELATED -j ACCEPT

下面两条,将不允许其他目标端口的访问,原因很简单:不希望有版权内容下载的流量被vps商发现。
这里tcp选择tcp-reset作为返回值,是因为tcp-reset可以通过ss传回客户端。

iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p tcp -j REJECT –reject-with tcp-reset
iptables -t filter -m owner –uid-owner shadowsocks -A SHADOWSOCKS -p udp -j REJECT

最后,把SHADOWSOCKS这个Chain,打到OUTPUT上去

iptables -A OUTPUT -j SHADOWSOCKS

在Server端使用Squid对http流量进行缓存

使用Squid对http流量进行缓存后:主观感受明显,但了youtube(https)和speedtest无法佐证。

安装squid3

apt-get install squid3

对默认配置文件来个备份

cd /etc/squid3
mv squid.conf squid.conf.old

新建配置文件squid.conf

# 透明代理工作在3128/tcp
http_port 127.0.0.1:3128 transparent

acl localhost src 127.0.0.1
acl thisvps src 107.191.52.32
http_access allow localhost
http_access allow thisvps
# 64M内存,2G硬盘做缓存,cache日志不纪录
cache_mem 64 MB
cache_dir ufs /var/spool/squid3 2000 16 256
cache_log /dev/null
# 现在互联网上css/js/gif都好大,默认的不够。
maximum_object_size 4096 KB
maximum_object_size_in_memory 64 KB
# 不缓存 cgi-bin ,对图片、js、css强制缓存。
hierarchy_stoplist cgi-bin ?
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern \.(jpg|png|gif|mp3|xml|html|htm|css|js) 1440 50% 2880 ignore-reload
refresh_pattern . 0 20% 4320

设置iptables,将shadowsocks 的出站80端口数据进行转发到127.0.0.1:3128
必须先安上面的安全配置1进行配置

iptables -t nat -m owner –uid-owner shadowsocks -A OUTPUT -p tcp –dport 80 -j REDIRECT –to-port 3128

若已按上方的安全配置2进行了配置:还需开通shadowsocks访问本地3128端口的权限,直接插入到SHADOWSOCKS Chain的第一行。

iptables -t filter -m owner –uid-owner shadowsocks -I SHADOWSOCKS 1 -d 127.0.0.0/8 -p tcp –dport 3128 -j ACCEPT

若本机的配置了其他iptables入站规则:还需开通eth0到loopback的访问。

iptables -A INPUT -s [VPS IP] /32 -d 127.0.0.0/8 -i lo -j ACCEPT

最后,通过观察squid的日志,确认转发是否在工作。

tail -f /var/log/squid3/access.log

使用单边TCP优化工具

半虚拟化(openvz),可用net-speeder,开源。

全虚拟化的vps,可用锐速,有20M免费版本。

当然,这两个工具都或多或少纯在争议:帖1 贴2

用不用就是仁者见仁智者见智的问题了。

随机端口

随机端口可以有效的避免被认证…
ss监听在23,将81-1023端口的流量转发到23端口。

iptables -t nat -A PREROUTING -p tcp -m multiport –dport 81:1023 -j REDIRECT –to-ports 23
iptables -t nat -A PREROUTING -p udp -m multiport –dport 81:1023 -j REDIRECT –to-ports 23

客户端是openwrt上的ss,我们希望将目标是vps ip,端口23的流量,随机拆成端口范围81-1023的流量。

iptables -t nat -I OUTPUT 1 -d [VPS] -p tcp –dport 23 -j DNAT –to-destination [VPS]:81-1023 –random
iptables -t nat -I OUTPUT 1 -d [VPS] -p udp –dport 23 -j DNAT –to-destination [VPS]:81-1023 –random

發表留言

您的電子郵件地址將不會被公開標記為必填欄位 *

*

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料