Shadowsocks 简介
其中,Shadowsocks (下面简称 SS)算是比较出名的一个。下面摘录维基百科,简单介绍一下 SS:
Shadowsocks (中文名稱:影梭)是使用 Python 等语言开发的、基于 Apache 许可证开源的代理软件。Shadowsocks 使用 socks5 代理,用于保护网络流量。在中国大陆被广泛用于突破防火长城(GFW),以瀏覽被封鎖的內容。
Shadowsocks 分为服务器端和客户端。在使用之前,需要先将服务器端部署在支持 Python 的服务器上面,然后通过客户端连接并建立本地代理。此外用户也可以选择购买基于 Shadowsocks 的商业服务,以获得更加稳定可靠的服务,或者免去自行部署的麻烦。
目前开发者已宣布停止维护。
值得提及的是:
- SS 的作者是 Clowwindy,中国人,貌似就职于知乎;
- 2015 年被警察请去喝咖啡,被要求删除在 Github 开源的 Shadowsocks 及其衍生项目。现在 SS 已无开发者进行维护;
- 很多人以为 Shadowsocks 在 Github 的项目真的被删了……其实并没有,作者只是把 SS 项目的默认分支设置为了一个叫 rm 的分支,显示被删信息。如果你“足够聪明”,切换到 master 分支后,就可以看到了。另外,项目版本发布页面内的源码包也都还在:https://github.com/shadowsocks/shadowsocks/releases
概览
SS 的初始版本是使用 Python 语言开发的,而后通过开源社区的贡献,又有了很多不同语言、环境、平台下的实现:有 C#、Java、JavaScript、Go 等语言实现的,还适配了 Windows、OS X、Linux、Android、iOS、OpenWRT(主流路由器固件之一)等主流平台……所以 SS 完全是一个多语言、多环境、跨平台的开源项目。
官网 下载页面 可以下载到所有平台的不同版本。
Shadowsocks 翻墙方式汇总
- 懒人必备: 愿意付钱,懒得自己搭建 SS 服务器的话,可以购买第三方的 Shadowsocks 翻墙服务。我用过这个:Shadowsocks.la,稳定性还不错。其中香港那台服务器,在中国电信宽带下,ping 值(连接延时)能稳定在 40ms。用起来特别爽快!
- 穷逼必备: 也有免费的 SS 翻墙服务,只不过为了控制服务质量,提供商会在一定时间内更换账号密码,需要使用者修改密码后重新登陆才能使用。如果一周就翻墙那么几次的话,可以考虑:ishadowx.com
- 不折腾会死星人看这里: 我就是我,是颜色不一样的烟火。SS 翻墙服务器搭建方法见下文。
自行搭建 Shadowsocks 翻墙服务器
说明:本博文不讲解 Linux 系统基本使用方法,不涉及 CentOS 7 操作系统在生产环境下的安全性问题。有需要的话,请自行查阅资料。
Linux 版本的 SS 分为 服务端 和 客户端 两个功能,前者是对外提供翻墙服务的,后者是接受服务的。
具体步骤
步骤 1~5 为 SS 服务端部分的操作,步骤 6~8 为 SS 客户端部分的操作。
- SSH 登录到位于墙外的服务器
- 安装 Shadowsocks
- 优化 Shadowsocks 性能
- 配置 Shadowsocks 配置文件
- 启动并永久运行 Shadowsocks 服务端
- 配置 Shadowsocks CentOS 7 客户端(Linux)
- 配置 Shadowsocks Windows 客户端(Windows)
- 配置 Shadowsocks Android 客户端(Android)
1. SSH 登录到位于墙外的服务器
SSH 使用方法参照之前的博文《在阿里云 CentOS 7 系统上部署 Ghost 博客》中的步骤 1。
2. 安装 Shadowsocks
说明:以下命令均在最高权限用户 root 下运行。
- Debian / Ubuntu 用户运行:
apt-get install python-pip pip install shadowsocks
- CentOS 用户运行:
yum install python-setuptools && easy_install pip pip install shadowsocks
3. 优化 Shadowsocks 性能
按照 SS 官方 Wiki,有如下优化策略:
- 创建 local.conf 配置文件:
vim /etc/sysctl.d/local.conf
- 按键盘
i
,输入以下内容:# max open files fs.file-max = 51200 # max read buffer net.core.rmem_max = 67108864 # max write buffer net.core.wmem_max = 67108864 # default read buffer net.core.rmem_default = 65536 # default write buffer net.core.wmem_default = 65536 # max processor input queue net.core.netdev_max_backlog = 4096 # max backlog net.core.somaxconn = 4096 # resist SYN flood attacks net.ipv4.tcp_syncookies = 1 # reuse timewait sockets when safe net.ipv4.tcp_tw_reuse = 1 # turn off fast timewait sockets recycling net.ipv4.tcp_tw_recycle = 0 # short FIN timeout net.ipv4.tcp_fin_timeout = 30 # short keepalive time net.ipv4.tcp_keepalive_time = 1200 # outbound port range net.ipv4.ip_local_port_range = 10000 65000 # max SYN backlog net.ipv4.tcp_max_syn_backlog = 4096 # max timewait sockets held by system simultaneously net.ipv4.tcp_max_tw_buckets = 5000 # turn on TCP Fast Open on both client and server side net.ipv4.tcp_fastopen = 3 # TCP receive buffer net.ipv4.tcp_rmem = 4096 87380 67108864 # TCP write buffer net.ipv4.tcp_wmem = 4096 65536 67108864 # turn on path MTU discovery net.ipv4.tcp_mtu_probing = 1 # for high-latency network net.ipv4.tcp_congestion_control = hybla # for low-latency network, use cubic instead # net.ipv4.tcp_congestion_control = cubic
- 退出并保存配置文件:按键盘
Esc
退出编辑,英文输入法状态下,输入:wq
- 使配置生效:
sysctl --system
4. 配置 Shadowsocks 配置文件
建议把 SS 的配置文件放置在当前用户主目录下的 ss 文件夹内,对于 root 用户而言,则是:/root/ss 目录。其余用户一般则是:/home/用户名 目录。
下面我们以 root 用户为例:
- 在 root 文件夹内,新建 ss/ssserver.json 配置文件:
vim ~/ss/ssserver.json
- 编辑配置文件,依然是按
i
进入编辑,按ESC
退出编辑,按:wq
保存并退出:{ "server": "my_server_ip", // 这里输入本机的 IP 地址 "server_port": 8388, // 为了安全,可修改为大于 1024 的数字 "local_address": "127.0.0.1", "local_port": 1080, // 为了安全,可修改为大于 1024 的数字 "password": "mypassword", // 设置一个密码 "timeout": 300, "method": "aes-256-cfb", "fast_open": false }
5. 启动并永久运行 Shadowsocks 服务端功能
- 一句命令即可启动并永久运行:
nohup ssserver -c /root/ss/ssserver.json -d start &
说明:
ssserver
是 SS 的服务端命令。-c
表示以配置文件的方式运行 SS,/root/ss/ssserver.json
则是步骤 4 中新建的配置文件的路径。-d
表示在后台运行,这样允许用户进行其他操作。start
就是启动。nohup
以及最后的&
是让 SS 服务端一直运行,并把运行日志输出到当前用户主目录下的 nohup.out 文件中。 - 停止 SS 服务端:
ssserver -c /root/ss/ssserver.json -d stop
说明: 无需
nohup
和&
,把start
换成stop
6. 配置 Shadowsocks CentOS 7 客户端(Linux)
其实,我去年就购买了第三方的 Shadowsocks 翻墙服务,我的 Windows 10 和 Android 手机早已妥妥地翻墙多时。而这次折腾 Shadowsocks 服务器翻墙,主要是最近几个月,在玩 CentOS 7 服务器。
我有两个阿里云 ECS 云服务器,一个位于青岛(墙内),一个位于美国硅谷(墙外)。前者作为折腾的环境,供平时玩 CentOS 7 练手;后者作为生产环境,部署并运行着“前端养成记”这个博客,所以不敢在这上面乱动……
青岛的服务器,无论是 wget
、curl
、npm
都极其慢(估计 yum
在阿里云内部提供了镜像,所以很快),所以当时就想:怎么为这个墙内的服务器翻墙呢? 毫无疑问,Shadowsocks 随即出现在我的视野里。
下面演示 SS 客户端在 CentOS 7 系统上的部署和配置:
- SSH 登录到墙内服务器,重复步骤 1、2,为其安装 Shadowsocks:
yum install python-setuptools && easy_install pip pip install shadowsocks
- 配置 Shadowsocks 配置文件:这次依然把配置文件放置在当前用户主目录下的 ss 文件夹内,只不过配置文件命名为
sslocal.json
:
编辑配置文件,依然是按
i
进入编辑,按ESC
退出编辑,按:wq
保存并退出:{ "server": "my_server_ip", // 这里输入墙外服务器的 IP 地址 "server_port": 8388, // 与 ssserver.json 配置文件设置同样的端口 "local_address": "127.0.0.1", "local_port": 1080, // 为了安全,可修改为大于 1024 的数字 "password": "mypassword", // 填写 ssserver.json 配置文件中设置的密码 "timeout": 300, "method": "aes-256-cfb", "fast_open": false }
- 启动并永久运行 Shadowsocks 客户端功能:
nohup sslocal -c /root/ss/sslocal.json -d start &
停止命令:
sslocal -c /root/ss/sslocal.json -d stop
- 将 Shadowsocks 的 SOCKS5 请求转化为 HTTP 请求
由于 Shadowsocks 使用的是 SOCKS5 协议,必须把 SOCKS5 请求转化为 HTTP 协议请求,墙内服务器的其他软件才能使用该代理。这里使用 Privoxy 软件进行协议请求转换。
- 安装 Privoxy:
yum install privoxy -y
- 编辑 Privoxy 配置文件,将 SOCKS5 协议转化为 HTTP 协议:
vim /etc/privoxy/config
- 在配置文件中增加这个配置:
forward-socks5 / 127.0.0.1:1080 .
(这最后面确实有个英文句号,不要遗漏) - 设置 Privoxy 随系统自动启动:
systemctl enable privoxy
- 启动 Privoxy:
systemctl start privoxy
- 查看 Privoxy 状态:
systemctl status privoxy
, 如果有 running 和 active 字样,说明成功运行。
- 安装 Privoxy:
- 为当前服务器用户设置 Bash 代理
- 进入当前用户主目录:
cd ~
- 编辑 Bash 配置文件 .bash_profile,为当前用户设置 HTTP 代理:
vim .bash_profile
- 在 .bash_profile 的最后,增加一句命令:
export http_proxy=http://127.0.0.1:8118
- 使 .bash_profile 设置生效:
source .bash_profile
- 进入当前用户主目录:
此时,墙内服务器当前用户 root 即可实现无缝翻墙!如果想要该服务器其他用户也实现翻墙,可以切换到该用户后,重复上面步骤。
7. 配置 Shadowsocks Windows 客户端(Windows)
- 点击下载 Shadowsocks Windows 客户端 最新版
- 解压到任意目录,双击启动 Shadowsocks.exe,随机可以在右下角的系统任务栏看到一个 纸飞机 的图标,右键纸飞机图标,如图勾选设置:
- 点开服务器,选择编辑服务器:
- 随即弹出这样的界面,对应 sslocal.json 配置文件,对照相同项目来填写:
- 接着右键纸飞机图标,这下图的服务器中,勾选刚刚设置的那个:
Shadowsocks 还有一个强大的功能: PAC(代理自动设置) 。它可以根据在配置文件中设置的网址,来决定哪些网站流量需要经过墙外服务器进行代理。 PAC 功能,可以保证只为国外网站走翻墙代理,国内网站依然直接连接,从而实现加速国外网站的同时,保持国内网站的连接速度。
Shadowsocks 的 PAC 功能是通过 Shadowsocks 软件目录下的
pac.txt
和user-rule.txt
两个文件同时实现的。前者是 SS 默认自动翻墙的网站列表,后者是用户自己设置的需要翻墙的网站列表。
如果觉得某个网站的打开速度很慢,可以手动把它添加到
user-rule.txt
文件中,然后更新 PAC,从此该网站就通过翻墙服务器做代理,实现加速了。