写了一个 proxy 用途你懂的
用 linode 有一年多了 ,除了架设 blog ,我也折腾点小程序放在上面跑。在互联网上有一台自己的主机,对于一个程序员来说,还是很有必要的。当然这 vps 绝对不能选国内的,原因你懂的。这样,附带的一个好处就是可以用 ssh -D ,相信许多同学都喜欢用。
没来由的,我想自己写一个小程序,完成 ssh -D 一样的功能,不过,不走 SSL 加密。当然也不能走明文,由于众所周知的原因,明文通讯很容易引起奇异的连接断开或长期超时的 bug ,此 bug 绝对不在于你的程序。网络连接永远不是 100% 可靠的嘛。
我花了两天实现我的构想,本来第一天已经完成了,但实现的过于复杂,且 bug 重重。花了一个通宵都没完全解决。在补了个好觉后,我在梦中意识到,应该简化方案,然后在第二天重写了一遍,终于可以跑起来了。代码是用 Go 实现的,比较玩具,quick & dirty 。不过我还是把它们放在后面。有兴趣的同学可以拿去改进。目前这个雏形已经够我用了,所以即使有改进或许也懒得再贴出来了。
主体想法是由两个部分的程序构成,一边放在本机上,对 localhost 开启一个兼容 socks5 的本地端口。当然只这一部分是不够用的,我们需要在墙外再设置一个程序,它才是真正的 proxy server 。这两个程序之间保持一个 TCP 连接。由本地的程序负责把本地的 proxy 请求都转发到墙外。
最初的想法,我阅读了 socks5 的 RFC1928 ,觉得实现一个 socks5 server 没什么大不了的。我要做的只是把所有的 socks5 请求编码成私有协议,通过唯一的 TCP 连接转发到墙外,由墙外的程序正确的 proxy 。事实证明,想在一天时间内正确的实现 socks5 协议还是有点难度的。即使用 Go 语言,对于我这个新手来说也不现实。ps , 通宵不睡觉调 bug 的效率也太低,不推荐在 30 岁以后还经常干。
睡了一觉后,我修正了我的方案。整个系统由三部分构成:
本地 n:1 连接转发服务 ----(传说中的墙)---- 墙外 1:n 连接转发服务 ---- socks5 服务器
简单的说,本地可以向本地服务提起若干个 TCP 连接,请求 socks5 服务。然后,我的程序把他们合成一个,通过一个长连接,通通转发到墙外。这中间可以做简单的加密或数据压缩。
在墙外的 vps 上,我放置一个私有程序,接收这些合并起来的连接。然后分解为一个个独立的请求。然后去连接 vps 本地的一个 socks5 服务器。
因为是个人使用,墙的两边的自写程序,只保持一个连接,一旦连接建立起来后,墙外的服务不在监听接受新的连接。只做 1:1 的服务。这样比较安全。不过想扩展成多个服务的,对于 Go 语言来说也相当容易,只是我懒的做罢了。
私有程序没有做身份认证。这是因为我只提供 1:1 服务,所以即使不认证也不会被人盗用。我只需要在需要使用时,手动开启即可。当然加上认证机制也不难,没加的理由还是我比较懒 :)
真正的 socks5 服务器就不用自己写啦。我用的 ssocks 比较轻量,也很单纯,就是一个 socks5 server 而已。不过这个东东目前的版本(0.0.10)有个小问题,它默认的监听绑定地址是 0.0.0.0 且不能配置(写死在代码里了)。在 README 中,我们看到 TODO 里作者有让它可配置的计划。在我这个应用中,我希望 socks5 server 只给本地用。所以需要自己做点小修改了。
只需要把 src/libsocks/net-util.c 中 new_listen_socket
函数里
addrS->sin_addr.s_addr = htonl(INADDR_ANY); /* All Local addresses */
这一行中的 INADDR_ANY
改成 INADDR_LOOPBACK
即可。
我的程序的源代码看这里。如有 bug 欢迎指出,若有问题概不解答 :) 。写的很乱,估计自己都不想再看一遍了。
ps. 最近买了一套新桌游,七大奇迹,很是不错,推荐一下。