使用 Shadowsocks 自建翻墙服务器，实现全平台 100% 翻墙无障碍

Shadowsocks 简介

其中，Shadowsocks （下面简称 SS）算是比较出名的一个。下面摘录维基百科，简单介绍一下 SS：

Shadowsocks （中文名稱：影梭）是使用 Python 等语言开发的、基于 Apache 许可证开源的代理软件。Shadowsocks 使用 socks5 代理，用于保护网络流量。在中国大陆被广泛用于突破防火长城（GFW），以瀏覽被封鎖的內容。

Shadowsocks 分为服务器端和客户端。在使用之前，需要先将服务器端部署在支持 Python 的服务器上面，然后通过客户端连接并建立本地代理。此外用户也可以选择购买基于 Shadowsocks 的商业服务，以获得更加稳定可靠的服务，或者免去自行部署的麻烦。

目前开发者已宣布停止维护。

值得提及的是：

1. SS 的作者是 Clowwindy，中国人，貌似就职于知乎；
2. 2015 年被警察请去喝咖啡，被要求删除在 Github 开源的 Shadowsocks 及其衍生项目。现在 SS 已无开发者进行维护；
3. 很多人以为 Shadowsocks 在 Github 的项目真的被删了……其实并没有，作者只是把 SS 项目的默认分支设置为了一个叫 rm 的分支，显示被删信息。如果你“足够聪明”，切换到 master 分支后，就可以看到了。另外，项目版本发布页面内的源码包也都还在：https://github.com/shadowsocks/shadowsocks/releases

概览

SS 的初始版本是使用 Python 语言开发的，而后通过开源社区的贡献，又有了很多不同语言、环境、平台下的实现：有 C#、Java、JavaScript、Go 等语言实现的，还适配了 Windows、OS X、Linux、Android、iOS、OpenWRT（主流路由器固件之一）等主流平台……所以 SS 完全是一个多语言、多环境、跨平台的开源项目。

官网 下载页面 可以下载到所有平台的不同版本。

Shadowsocks 翻墙方式汇总

• 懒人必备： 愿意付钱，懒得自己搭建 SS 服务器的话，可以购买第三方的 Shadowsocks 翻墙服务。我用过这个：Shadowsocks.la，稳定性还不错。其中香港那台服务器，在中国电信宽带下，ping 值（连接延时）能稳定在 40ms。用起来特别爽快！
• 穷逼必备： 也有免费的 SS 翻墙服务，只不过为了控制服务质量，提供商会在一定时间内更换账号密码，需要使用者修改密码后重新登陆才能使用。如果一周就翻墙那么几次的话，可以考虑：ishadowx.com
• 不折腾会死星人看这里： 我就是我，是颜色不一样的烟火。SS 翻墙服务器搭建方法见下文。

自行搭建 Shadowsocks 翻墙服务器

说明：本博文不讲解 Linux 系统基本使用方法，不涉及 CentOS 7 操作系统在生产环境下的安全性问题。有需要的话，请自行查阅资料。

Linux 版本的 SS 分为 服务端 和 客户端 两个功能，前者是对外提供翻墙服务的，后者是接受服务的。

具体步骤

步骤 1~5 为 SS 服务端部分的操作，步骤 6~8 为 SS 客户端部分的操作。

1. SSH 登录到位于墙外的服务器
2. 安装 Shadowsocks
3. 优化 Shadowsocks 性能
4. 配置 Shadowsocks 配置文件
5. 启动并永久运行 Shadowsocks 服务端
6. 配置 Shadowsocks CentOS 7 客户端（Linux）
7. 配置 Shadowsocks Windows 客户端（Windows）
8. 配置 Shadowsocks Android 客户端（Android）

1. SSH 登录到位于墙外的服务器

SSH 使用方法参照之前的博文《在阿里云 CentOS 7 系统上部署 Ghost 博客》中的步骤 1。

2. 安装 Shadowsocks

说明：以下命令均在最高权限用户 root 下运行。

• Debian / Ubuntu 用户运行：

   apt-get install python-pip
   pip install shadowsocks
  

• CentOS 用户运行：

  yum install python-setuptools && easy_install pip
  pip install shadowsocks
  

3. 优化 Shadowsocks 性能

按照 SS 官方 Wiki，有如下优化策略：

• 创建 local.conf 配置文件：vim /etc/sysctl.d/local.conf
• 按键盘 i，输入以下内容：

  # max open files
  fs.file-max = 51200
  # max read buffer
  net.core.rmem_max = 67108864
  # max write buffer
  net.core.wmem_max = 67108864
  # default read buffer
  net.core.rmem_default = 65536
  # default write buffer
  net.core.wmem_default = 65536
  # max processor input queue
  net.core.netdev_max_backlog = 4096
  # max backlog
  net.core.somaxconn = 4096
  
  # resist SYN flood attacks
  net.ipv4.tcp_syncookies = 1
  # reuse timewait sockets when safe
  net.ipv4.tcp_tw_reuse = 1
  # turn off fast timewait sockets recycling
  net.ipv4.tcp_tw_recycle = 0
  # short FIN timeout
  net.ipv4.tcp_fin_timeout = 30
  # short keepalive time
  net.ipv4.tcp_keepalive_time = 1200
  # outbound port range
  net.ipv4.ip_local_port_range = 10000 65000
  # max SYN backlog
  net.ipv4.tcp_max_syn_backlog = 4096
  # max timewait sockets held by system simultaneously
  net.ipv4.tcp_max_tw_buckets = 5000
  # turn on TCP Fast Open on both client and server side
  net.ipv4.tcp_fastopen = 3
  # TCP receive buffer
  net.ipv4.tcp_rmem = 4096 87380 67108864
  # TCP write buffer
  net.ipv4.tcp_wmem = 4096 65536 67108864
  # turn on path MTU discovery
  net.ipv4.tcp_mtu_probing = 1
  
  # for high-latency network
  net.ipv4.tcp_congestion_control = hybla
  
  # for low-latency network, use cubic instead
  # net.ipv4.tcp_congestion_control = cubic
  

• 退出并保存配置文件：按键盘 Esc 退出编辑，英文输入法状态下，输入 :wq
• 使配置生效：sysctl --system

4. 配置 Shadowsocks 配置文件

建议把 SS 的配置文件放置在当前用户主目录下的 ss 文件夹内，对于 root 用户而言，则是：/root/ss 目录。其余用户一般则是：/home/用户名 目录。

下面我们以 root 用户为例：

• 在 root 文件夹内，新建 ss/ssserver.json 配置文件：vim ~/ss/ssserver.json
• 编辑配置文件，依然是按 i 进入编辑，按 ESC 退出编辑，按 :wq 保存并退出：

  {
      "server": "my_server_ip", // 这里输入本机的 IP 地址
      "server_port": 8388, // 为了安全，可修改为大于 1024 的数字
      "local_address": "127.0.0.1",
      "local_port": 1080, // 为了安全，可修改为大于 1024 的数字
      "password": "mypassword", // 设置一个密码
      "timeout": 300,
      "method": "aes-256-cfb",
      "fast_open": false
  }
  

5. 启动并永久运行 Shadowsocks 服务端功能

• 一句命令即可启动并永久运行：nohup ssserver -c /root/ss/ssserver.json -d start &
  

  说明： ssserver 是 SS 的服务端命令。-c 表示以配置文件的方式运行 SS，/root/ss/ssserver.json 则是步骤 4 中新建的配置文件的路径。-d 表示在后台运行，这样允许用户进行其他操作。start 就是启动。nohup 以及最后的 & 是让 SS 服务端一直运行，并把运行日志输出到当前用户主目录下的 nohup.out 文件中。

• 停止 SS 服务端：ssserver -c /root/ss/ssserver.json -d stop
  

  说明： 无需 nohup 和 &，把 start 换成 stop

6. 配置 Shadowsocks CentOS 7 客户端（Linux）

其实，我去年就购买了第三方的 Shadowsocks 翻墙服务，我的 Windows 10 和 Android 手机早已妥妥地翻墙多时。而这次折腾 Shadowsocks 服务器翻墙，主要是最近几个月，在玩 CentOS 7 服务器。

我有两个阿里云 ECS 云服务器，一个位于青岛（墙内），一个位于美国硅谷（墙外）。前者作为折腾的环境，供平时玩 CentOS 7 练手；后者作为生产环境，部署并运行着“前端养成记”这个博客，所以不敢在这上面乱动……

青岛的服务器，无论是 wget、curl、npm 都极其慢（估计 yum 在阿里云内部提供了镜像，所以很快），所以当时就想：怎么为这个墙内的服务器翻墙呢？ 毫无疑问，Shadowsocks 随即出现在我的视野里。

下面演示 SS 客户端在 CentOS 7 系统上的部署和配置：

• SSH 登录到墙内服务器，重复步骤 1、2，为其安装 Shadowsocks：

  yum install python-setuptools && easy_install pip
  pip install shadowsocks
  

• 配置 Shadowsocks 配置文件：这次依然把配置文件放置在当前用户主目录下的 ss 文件夹内，只不过配置文件命名为 sslocal.json：
  

  编辑配置文件，依然是按 i 进入编辑，按 ESC 退出编辑，按 :wq 保存并退出：

  {
      "server": "my_server_ip", // 这里输入墙外服务器的 IP 地址
      "server_port": 8388, // 与 ssserver.json 配置文件设置同样的端口
      "local_address": "127.0.0.1",
      "local_port": 1080, // 为了安全，可修改为大于 1024 的数字
      "password": "mypassword", // 填写 ssserver.json 配置文件中设置的密码
      "timeout": 300,
      "method": "aes-256-cfb",
      "fast_open": false
  }
  

• 启动并永久运行 Shadowsocks 客户端功能：nohup sslocal -c /root/ss/sslocal.json -d start &
  

  停止命令: sslocal -c /root/ss/sslocal.json -d stop

• 将 Shadowsocks 的 SOCKS5 请求转化为 HTTP 请求

  由于 Shadowsocks 使用的是 SOCKS5 协议，必须把 SOCKS5 请求转化为 HTTP 协议请求，墙内服务器的其他软件才能使用该代理。这里使用 Privoxy 软件进行协议请求转换。

  1. 安装 Privoxy：yum install privoxy -y
  2. 编辑 Privoxy 配置文件，将 SOCKS5 协议转化为 HTTP 协议：vim /etc/privoxy/config
  3. 在配置文件中增加这个配置：forward-socks5 / 127.0.0.1:1080 . （这最后面确实有个英文句号，不要遗漏）
  4. 设置 Privoxy 随系统自动启动：systemctl enable privoxy
  5. 启动 Privoxy：systemctl start privoxy
  6. 查看 Privoxy 状态：systemctl status privoxy， 如果有 running 和 active 字样，说明成功运行。

• 为当前服务器用户设置 Bash 代理
  

  • 进入当前用户主目录：cd ~
  • 编辑 Bash 配置文件 .bash_profile，为当前用户设置 HTTP 代理：vim .bash_profile
  • 在 .bash_profile 的最后，增加一句命令：export http_proxy=http://127.0.0.1:8118
  • 使 .bash_profile 设置生效：source .bash_profile

此时，墙内服务器当前用户 root 即可实现无缝翻墙！如果想要该服务器其他用户也实现翻墙，可以切换到该用户后，重复上面步骤。

7. 配置 Shadowsocks Windows 客户端（Windows）

• 点击下载 Shadowsocks Windows 客户端 最新版
• 解压到任意目录，双击启动 Shadowsocks.exe，随机可以在右下角的系统任务栏看到一个 纸飞机 的图标，右键纸飞机图标，如图勾选设置：

  

• 点开服务器，选择编辑服务器：

  

• 随即弹出这样的界面，对应 sslocal.json 配置文件，对照相同项目来填写：

  

• 接着右键纸飞机图标，这下图的服务器中，勾选刚刚设置的那个：

  

Shadowsocks 还有一个强大的功能： PAC（代理自动设置） 。它可以根据在配置文件中设置的网址，来决定哪些网站流量需要经过墙外服务器进行代理。 PAC 功能，可以保证只为国外网站走翻墙代理，国内网站依然直接连接，从而实现加速国外网站的同时，保持国内网站的连接速度。

Shadowsocks 的 PAC 功能是通过 Shadowsocks 软件目录下的 pac.txt 和 user-rule.txt 两个文件同时实现的。前者是 SS 默认自动翻墙的网站列表，后者是用户自己设置的需要翻墙的网站列表。

如果觉得某个网站的打开速度很慢，可以手动把它添加到 user-rule.txt 文件中，然后更新 PAC，从此该网站就通过翻墙服务器做代理，实现加速了。