写了一个 proxy 用途你懂的

用 linode 有一年多了 ，除了架设 blog ，我也折腾点小程序放在上面跑。在互联网上有一台自己的主机，对于一个程序员来说，还是很有必要的。当然这 vps 绝对不能选国内的，原因你懂的。这样，附带的一个好处就是可以用 ssh -D ，相信许多同学都喜欢用。

没来由的，我想自己写一个小程序，完成 ssh -D 一样的功能，不过，不走 SSL 加密。当然也不能走明文，由于众所周知的原因，明文通讯很容易引起奇异的连接断开或长期超时的 bug ，此 bug 绝对不在于你的程序。网络连接永远不是 100% 可靠的嘛。

我花了两天实现我的构想，本来第一天已经完成了，但实现的过于复杂，且 bug 重重。花了一个通宵都没完全解决。在补了个好觉后，我在梦中意识到，应该简化方案，然后在第二天重写了一遍，终于可以跑起来了。代码是用 Go 实现的，比较玩具，quick & dirty 。不过我还是把它们放在后面。有兴趣的同学可以拿去改进。目前这个雏形已经够我用了，所以即使有改进或许也懒得再贴出来了。

主体想法是由两个部分的程序构成，一边放在本机上，对 localhost 开启一个兼容 socks5 的本地端口。当然只这一部分是不够用的，我们需要在墙外再设置一个程序，它才是真正的 proxy server 。这两个程序之间保持一个 TCP 连接。由本地的程序负责把本地的 proxy 请求都转发到墙外。

最初的想法，我阅读了 socks5 的 RFC1928 ，觉得实现一个 socks5 server 没什么大不了的。我要做的只是把所有的 socks5 请求编码成私有协议，通过唯一的 TCP 连接转发到墙外，由墙外的程序正确的 proxy 。事实证明，想在一天时间内正确的实现 socks5 协议还是有点难度的。即使用 Go 语言，对于我这个新手来说也不现实。ps , 通宵不睡觉调 bug 的效率也太低，不推荐在 30 岁以后还经常干。

睡了一觉后，我修正了我的方案。整个系统由三部分构成：

本地 n:1 连接转发服务 ----(传说中的墙)---- 墙外 1:n 连接转发服务 ---- socks5 服务器

简单的说，本地可以向本地服务提起若干个 TCP 连接，请求 socks5 服务。然后，我的程序把他们合成一个，通过一个长连接，通通转发到墙外。这中间可以做简单的加密或数据压缩。

在墙外的 vps 上，我放置一个私有程序，接收这些合并起来的连接。然后分解为一个个独立的请求。然后去连接 vps 本地的一个 socks5 服务器。

因为是个人使用，墙的两边的自写程序，只保持一个连接，一旦连接建立起来后，墙外的服务不在监听接受新的连接。只做 1:1 的服务。这样比较安全。不过想扩展成多个服务的，对于 Go 语言来说也相当容易，只是我懒的做罢了。

私有程序没有做身份认证。这是因为我只提供 1:1 服务，所以即使不认证也不会被人盗用。我只需要在需要使用时，手动开启即可。当然加上认证机制也不难，没加的理由还是我比较懒 :)

真正的 socks5 服务器就不用自己写啦。我用的 ssocks 比较轻量，也很单纯，就是一个 socks5 server 而已。不过这个东东目前的版本(0.0.10)有个小问题，它默认的监听绑定地址是 0.0.0.0 且不能配置（写死在代码里了）。在 README 中，我们看到 TODO 里作者有让它可配置的计划。在我这个应用中，我希望 socks5 server 只给本地用。所以需要自己做点小修改了。

只需要把 src/libsocks/net-util.c 中 new_listen_socket 函数里

      addrS->sin_addr.s_addr = htonl(INADDR_ANY);  /* All Local addresses */

这一行中的 INADDR_ANY 改成 INADDR_LOOPBACK 即可。

我的程序的源代码看这里。如有 bug 欢迎指出，若有问题概不解答 :) 。写的很乱，估计自己都不想再看一遍了。

ps. 最近买了一套新桌游，七大奇迹，很是不错，推荐一下。