shadowsocks的优化和安全设置总结

环境

OS:Debian 7.0
VPS:DigitalOcean SGP

版本的选择

根据官方文档:Feature Comparison across Different Versions
- go和node.js:显然已被抛弃,选择在python和libev中间。
- python版支持的Multiple Users/Workers/Graceful Restart,显然更适合商业化运营,对单用户没用。
- libev版支持的ss-redir和ss-tunnel,只在客户端有用。

我选择libev版本,因为vps需要尽可能小的内存占用。

通过调整linux的tcp参数对shadowsocks进行优化

首先必须不是OpenVZ的纯虚拟化VPS才可以,完全根据Optimizing Shadowsocks进行操作即可。

新建 /etc/sysctl.d/local.conf 这个文件并添加下面的内容:

fs.file-max = 51200
 
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.rmem_default = 65536
net.core.wmem_default = 65536
net.core.netdev_max_backlog = 4096
net.core.somaxconn = 4096
 
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_congestion_control = hybla

然后运行:

sysctl --system

安全配置

安全配置1:以非root运行shadowsocks

开源程序,不怕后门怕漏洞。

新建一个无密码,无法登陆,没home的系统用户,就叫shadowsocks

adduser --system --disabled-password --disabled-login --no-create-home shadowsocks

修改 /etc/default/shadowsocks-libev

USER=shadowsocks
GROUP=nogroup

对安全配置1的补充:非root的SS,如何运行在1024以下端口

不管Vultr还是DigitalOcean、Linode,都对机房的网络有做QOS,在高峰期22、80、443这样常见低端口的流量会比高位端口的优先级高。但默认情况下,非root用户无法监听低位端口。

请无视各种iptables解决办法,只讲最简单的方法:setcap

对于debian7.0来说,2行命令。

apt-get install libcap2-bin
setcap 'cap_net_bind_service=+ep' /usr/bin/ss-server

安全配置2:禁止ss通过loopback访问本地资源

v2ex的一个帖子,一下敲醒了大家对ss访问本地资源这个问题的重视。

新建一个叫SHADOWSOCKS的Chain,其实直接打在OUTPUT Chain上完全没问题,但处女座的情节在这里,为了美观!

iptables -N SHADOWSOCKS

禁止对本地网络的访问。

iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 127.0.0.0/8 -j REJECT

多数人只有127.0.0.1就够了,对有跑Private Network的VPS,可以补充下面的

iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 0.0.0.0/8 -j REJECT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 10.0.0.0/8 -j REJECT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 169.254.0.0/16 -j REJECT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 172.16.0.0/12 -j REJECT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 192.168.0.0/16 -j REJECT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 224.0.0.0/4 -j REJECT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -d 240.0.0.0/4 -j REJECT

开放对DNS、HTTP、HTTPS的访问,DNS有TCP和UDP两种哦!

iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -p udp --dport 53 -j ACCEPT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -p tcp --dport 53 -j ACCEPT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -p tcp --dport 80 -j ACCEPT
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -p tcp --dport 443 -j ACCEPT

下面这条,将允许SS对客户端请求的回访。

iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -m state --state ESTABLISHED,RELATED -j ACCEPT

下面两条,将不允许其他目标端口的访问,原因很简单:不希望有版权内容下载的流量被vps商发现。
这里tcp选择tcp-reset作为返回值,是因为tcp-reset可以通过ss传回客户端。

iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -m owner --uid-owner shadowsocks -A SHADOWSOCKS -p udp -j REJECT

最后,把SHADOWSOCKS这个Chain,打到OUTPUT上去

iptables -A OUTPUT -j SHADOWSOCKS

在Server端使用Squid对http流量进行缓存(方式一:强制)

使用Squid对http流量进行缓存后:主观感受明显,但了youtube(https)和speedtest无法佐证。

安装squid3

apt-get install squid3

对默认配置文件来个备份

cd /etc/squid3
mv squid.conf squid.conf.old

新建配置文件squid.conf

# 透明代理工作在3128/tcp
http_port 127.0.0.1:3128 transparent
 
acl localhost src 127.0.0.1
acl thisvps src 107.191.52.32
http_access allow localhost
http_access allow thisvps
# 64M内存,2G硬盘做缓存,cache日志不纪录   
cache_mem 64 MB
cache_dir ufs /var/spool/squid3 2000 16 256
cache_log /dev/null
# 现在互联网上css/js/gif都好大,默认的不够。  
maximum_object_size 4096 KB 
maximum_object_size_in_memory 64 KB
# 不缓存  cgi-bin ,对图片、js、css强制缓存。 
hierarchy_stoplist cgi-bin ?
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern \.(jpg|png|gif|mp3|xml|html|htm|css|js) 1440    50%     2880    ignore-reload
refresh_pattern .               0       20%     4320

设置iptables,将shadowsocks 的出站80端口数据进行转发到127.0.0.1:3128
必须先安上面的安全配置1进行配置

iptables -t nat -m owner --uid-owner shadowsocks -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128

若已按上方的安全配置2进行了配置:还需开通shadowsocks访问本地3128端口的权限,直接插入到SHADOWSOCKS Chain的第一行。

iptables -t filter -m owner --uid-owner shadowsocks -I SHADOWSOCKS 1 -d 127.0.0.0/8 -p tcp --dport 3128 -j ACCEPT

若本机的配置了其他iptables入站规则:还需开通eth0到loopback的访问。

iptables -A INPUT -s  [VPS IP] /32 -d 127.0.0.0/8 -i lo -j ACCEPT

最后,通过观察squid的日志,确认转发是否在工作。

tail -f /var/log/squid3/access.log

在Server端使用Squid对http流量进行缓存(方式二:自行)

修改squid.conf,在首行加入http_port 127.0.0.1:8080

在本地的电脑or路由器上使用:

/usr/bin/ss-tunnel -c /etc/shadowsocks.json -l 8118 -L 127.0.0.1:8080

这样就直接通过ss-tunnel做了映射。

使用单边TCP优化工具

半虚拟化(openvz),可用net-speeder,开源。

全虚拟化的vps,可用锐速,有20M免费版本。

当然,这两个工具都或多或少纯在争议:帖1 贴2

用不用就是仁者见仁智者见智的问题了。

随机端口

随机端口可以有效的避免被认证...
ss监听在23,将81-1023端口的流量转发到23端口。

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 81:1023 -j REDIRECT --to-ports 23
iptables -t nat -A PREROUTING -p udp -m multiport --dport 81:1023 -j REDIRECT --to-ports 23

客户端是openwrt上的ss,我们希望将目标是vps ip,端口23的流量,随机拆成端口范围81-1023的流量。

iptables -t nat -I OUTPUT 1 -d [VPS] -p tcp --dport 23 -j DNAT --to-destination [VPS]:81-1023 --random
iptables -t nat -I OUTPUT 1 -d [VPS] -p udp --dport 23 -j DNAT --to-destination [VPS]:81-1023 --random

还没有评论,快来抢沙发!

发表评论

  • 😉
  • 😐
  • 😡
  • 😈
  • 🙂
  • 😯
  • 🙁
  • 🙄
  • 😛
  • 😳
  • 😮
  • emoji-mrgree
  • 😆
  • 💡
  • 😀
  • 👿
  • 😥
  • 😎
  • ➡
  • 😕
  • ❓
  • ❗
  • 66 queries in 0.409 seconds