Linux利用iptables实现真-全局代理

对于经常要浏览油管等被墙网站的人而言,利用代理来实现fq是非常有必要的。现在fq的方法中,最为主流的应该要数ssr了,因此本教程都是基于ssr的socks5代理而言的。
在windows中,ssr客户端设置的系统代理,大部分应用还是能够起到作用的,但是也有不少却不走代理。这里有个不错的解决方案就是通过sstap来实现网卡层的代理,这样一来,所有的流量都会通过代理流通转发出去了。
然而,windows并不是我们的全部,偶尔我也会用用linux,这样的话,对于linux有没有较好的全局代理方案呢?这就是本文将要介绍的。

下面我将简单介绍了linux常见的设置代理方法,以及全局代理的方法。

常见代理

最为常见的是

http_proxy=http://localhost:1080
https_proxy=http://localhost:1080
export http_proxy https_proxy

其中localhost为代理的站点,这里只是以localhost为例;1080为端口,同样只是为例。
然后导出这两个环境变量。最后可以在bash里面试试网络连通性

curl baidu.com
# or
curl google.com

取消这两个环境变量则用以下命令

unset http_proxy
unset https_proxy

这样设置完成后,只会在当前bash实例中起作用,如果想在每个实例起作用可以这样:
首先 vim /etc/profile 然后在末尾加上

http_proxy=http://localhost:1080
https_proxy=http://localhost:1080
export http_proxy https_proxy

保存后再

source /etc/profile

使其生效。如果想将socks代理转为http代理可以这样设置

http_proxy=socks5:http://localhost:1080
# or
https_proxy=socks5:http://localhost:1080

这里是socks5的例子,socks4则直接将数字5去掉即可。

iptables全局代理

安装

redsocks

首先执行这些命令

sudo apt-get install iptables git-core libevent libevent-dev
git clone http://github.com/darkk/redsocks.git
cd redsocks/
make
echo 'base{log_debug = on; log_info = on; log = "file:/tmp/reddi.log";
       daemon = on; redirector = iptables;}
       redsocks { local_ip = 127.0.0.1; local_port = 12345; ip = 127.0.0.1;
       port = 1080; type = socks5; }' > redsocks.conf

大概流程是先克隆redsocks这个项目,然后编译,添加配置文件。
配置文件中local_ip和local_port表示redsocks这个软件将要监听的地址和端口;后面ip和port表示代理服务器的地址和端口。
然后type还有这几种类型 socks4, socks5, http-connect, http-relay,具体用法可以参考官网或github

iptables

接下来配置iptables防火墙相关的。
直接创建一个脚本文件,方便运行,这里以proxy_iptables_start.sh为例:

#!/bin/bash
# Create new chain
iptables -t nat -N REDSOCKS
 
# Ignore LANs and some other reserved addresses.
iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN
iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN
iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN
 
# Anything else should be redirected to port 12345
iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 12345 

iptables -t nat -A OUTPUT -p tcp --dport 443 -j REDSOCKS
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDSOCKS

首先就是防火墙nat表中新建一个名为REDSOCKS的chain,然后忽略一些局域网地址的转发, 接着就是设置转发规则了,即转发80和443端口的流量。

这样的配置基本就可用了。不过这里我按照官网的另一种配置方法

iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner root -j REDSOCKS

即直接转发root用户发起的所有数据包,而不是转发相应的端口流量,却并不能起到作用!如有大神,还望指导指导!

运行

还是在之前的redoscks目录下,

 ./redsocks -c redsocks.conf

注:若redsocks没有相应执行权限时,先 chmod +x redsocks 给予执行权限。
这样redsocks已经开启在端口12345的监听了。
然后运行前面那个iptables配置的脚本文件

./proxy_iptables_start.sh 

执行完毕后,不出意外的话,打开浏览器,不设置代理或直接设置直连

Linux利用iptables实现真-全局代理_第1张图片

然后百度ip就可以看到ip也变成了代理ip。
Linux利用iptables实现真-全局代理_第2张图片
这里根据代理ip而定!

停止

停止运行的话,也建议创建一个脚本文件proxy_iptables_stop.sh

iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
killall redsocks

然后./proxy_iptables_stop.sh执行该脚本文件即可停止。

你可能感兴趣的:(Linux利用iptables实现真-全局代理)