Проксификация на Linux

zinoid · January 26, 2022, 3:27am

export RUSTFLAGS="-C target-cpu=native"
cargo build --release

Все работает
sslocal -b "127.0.0.1:1080" --server-url "ss://ID@IP:PORT"
Это пока что без всяких плагинов, обфускаций.
А вот как бы его пустить через вышестоящий прокси? Если такой опции нет, то печально. В линуксе проксификаторы почему-то толком не работает. Кстати, посоветуйте нормальный рабочий проксификатор.

zinoid · January 26, 2022, 4:39am

Сижу читаю про redsocks, iptables… Блин, как же все-таки на винде все по человечески сделано в Proxifier.

ValdikSS · January 26, 2022, 10:57am

V2fly поддерживает и любые комбинации/цепочки прокси, и «проксификацию» (создание входящего порта для приёма перенаправления через iptables), но для новичка его настроить нетривиально.

zinoid · January 26, 2022, 2:03pm

Я уже настроил redsocks.
Это было увлекательнейшее исследование. Зато iptables осилит наверняка и перенаправление виртуалки, с чем не справляется виндовый Proxifier.

zinoid · January 26, 2022, 2:08pm

Все потому что в Linux (iptables) нет per applications правил. Поэтому приходится городить других пользователей/группы.

zinoid · January 26, 2022, 2:15pm

Посмотрел трафик shadowsocks - чистый мусор по TCP. DPI его не должен детектить (если только не отсекать все неопознанное). Слабое место если спалится IP.
И вот интересно, соединение с shadowsocks сервером устанавливается только когда браузер/клиент сделает какой-нибудь запрос (через локальный socks 127.0.0.1:1080)

Enklomx · January 27, 2022, 12:09am

Можно настроить v2ray-plugin в режиме вебсокета и пустить трафик через клаудфлару. Отличимо от обычного HTTPS не будет, разве что будет палиться домен в ClientHello.

ValdikSS · January 27, 2022, 1:44am

Это заблуждение: v2ray websocket-трафик через CDN отличается от обычного браузерного соединения, т.к. websocket-библиотека, используемая в v2ray, не поддерживает upgrade в http2-соединениях, и v2ray вынужден использовать http/1.1, что отражается в TLS ALPN.

github.com/v2fly/v2ray-core

Deep packet inspection to classify V2Ray traffic in Dec, 2020

opened 03:24AM - 29 Dec 20 UTC

closed 01:51AM - 29 Dec 21 UTC

rickyzhang82

Stale

I collected V2Ray traffic data and reran my deep packet inspection test, as desc…ribed from [the issue here](https://github.com/v2ray/discussion/issues/569). I compiled V2Ray (commit hash `5dffca842`) in Go 1.15 and use TLS + websocket. In 10 days, I collected V2ray connections 17,998, none-V2ray TLS connections 136,981. I trained the new CNN model. It still could reach traffic classification accuracy `0.9959`. It shows a perfect ROC curve. ![ROC](https://user-images.githubusercontent.com/3475933/103256383-2108ab80-495b-11eb-9fb8-790cc00965a9.png) Has V2Ray dev team schedule any road map to blend in V2Ray with other none-V2Ray TLS traffic yet?

zinoid · January 27, 2022, 4:07am

Я уже настроил redsocks

DNS запросы идут мимо прокси
Там предполагается, что “тупой” DNS резолвер redsocks (на порту 5300?!, но он идет на UDP 53) вернет “усеченный” UDP ответ и клиент по стандарту должен повторить запрос по TCP:53 (что проксифицируется), но это не работает, конечно.

А логи redsocks удалось отключить только так:

/etc/redsocks.conf
log = "file:/dev/null";

Слишком много выводит.

zinoid · January 27, 2022, 4:50am

И чего я голову ломал. proxychains и torsocks работают, оказывается. Без плясок, DNS пробрасывают. С aria2c не работают, может я поэтому их сбросил со счетов. Вернее, proxychains с aria2c работает, но только с опцией --check-certificate=false почему-то.
На руборде на эту арию тоже жаловались.
У меня еще раньше были траблы с Opera 12 (/usr/bin/opera скрипт запускает /usr/lib/opera/opera), но сейчас нет. Мистика.

На XP Proxifier вот эту арию пробрасывает.
И на линуксе proxychains и torsocks с этой статичной арией работают. А с системной траблы.

ValdikSS · January 27, 2022, 6:50am

Боюсь, это невозможно — proxychains и torsocks перехватывают библиотечные вызовы динамически слинкованных программ, а со статически слинкованными они не работают, запросы идут вне прокси.

zinoid · January 27, 2022, 10:39am

Да, вы правы. Недоглядел.
aria2c static проксируется redsocks+iptables, только DNS напрямую.
В бинарнике вообще нет динамического раздела (readelf -d и ldd ничего не показывают), довольно редкое явление.

Заодно проверил Proxifier 3.21 в XP:
TCP и DNS идут через прокси (если прокси недоступен, никуда не идут). Хотя, DNS в некоторых программах идет напрямую, например в nslookup.exe
ICMP не работает, завернут в localhost.
UDP идет напрямую мимо прокси.

Линуксовые наблюдения о не TCP протоколах:
proxychains ping: ICMP напрямую
torsocks ping: не работает с setuid приложением
proxychains traceroute: ICMP напрямую
torsocks ping: socket операция не позволена
proxychains fopnu torrent client: UDP напрямую
torsocks fopnu torrent client: операция не позволена, нет соединения с UDP

В общем, надежнее всего redsocks и torsocks. Но torsocks socks only, а мне больше нужен вышестоящий http прокси.

ValdikSS · January 27, 2022, 10:47am

ICMP не поддерживается ни одним прокси-протоколом, вообще. Для полноценного туннеля существует VPN.

zinoid · January 27, 2022, 11:54am

Отправка DNS напрямую (мимо http прокси) в redsocks проксификаторе имеет свои забавные положительные особенности. Дело в том, что мой http прокси блочит некоторые сайты (ну такая политика предоставления услуг, я с этим мирюсь, достойной альтернативы нет), а если отправлять DNS запросы мимо и соединяться через прокси по IP адресам, то все заблокированные сайты открываются. И в таком случае админ прокси видит только айпишники. Это видимо редкое явление, когда DNS запросы не разрешаются через http прокси. Таких настроек в браузерах даже нет. Вот socks штатно можно мимо разрешать.

@ValdikSS UDP, ICMP, IPv6 как раз желательно бы иметь возможность резать при проксификации. Но зависит от целей, часто это не требуется.

Я сейчас даже дошел то того, что redsocks натравил на локальный прокси-посредник, чтобы браузер запускался от моего имени с моим профилем.