Все работает sslocal -b "127.0.0.1:1080" --server-url "ss://ID@IP:PORT"
Это пока что без всяких плагинов, обфускаций.
А вот как бы его пустить через вышестоящий прокси? Если такой опции нет, то печально. В линуксе проксификаторы почему-то толком не работает. Кстати, посоветуйте нормальный рабочий проксификатор.
V2fly поддерживает и любые комбинации/цепочки прокси, и «проксификацию» (создание входящего порта для приёма перенаправления через iptables), но для новичка его настроить нетривиально.
Я уже настроил redsocks.
Это было увлекательнейшее исследование. Зато iptables осилит наверняка и перенаправление виртуалки, с чем не справляется виндовый Proxifier.
Посмотрел трафик shadowsocks - чистый мусор по TCP. DPI его не должен детектить (если только не отсекать все неопознанное). Слабое место если спалится IP.
И вот интересно, соединение с shadowsocks сервером устанавливается только когда браузер/клиент сделает какой-нибудь запрос (через локальный socks 127.0.0.1:1080)
Можно настроить v2ray-plugin в режиме вебсокета и пустить трафик через клаудфлару. Отличимо от обычного HTTPS не будет, разве что будет палиться домен в ClientHello.
Это заблуждение: v2ray websocket-трафик через CDN отличается от обычного браузерного соединения, т.к. websocket-библиотека, используемая в v2ray, не поддерживает upgrade в http2-соединениях, и v2ray вынужден использовать http/1.1, что отражается в TLS ALPN.
DNS запросы идут мимо прокси
Там предполагается, что “тупой” DNS резолвер redsocks (на порту 5300?!, но он идет на UDP 53) вернет “усеченный” UDP ответ и клиент по стандарту должен повторить запрос по TCP:53 (что проксифицируется), но это не работает, конечно.
И чего я голову ломал. proxychains и torsocks работают, оказывается. Без плясок, DNS пробрасывают. С aria2c не работают, может я поэтому их сбросил со счетов. Вернее, proxychains с aria2c работает, но только с опцией --check-certificate=false почему-то.
На руборде на эту арию тоже жаловались.
У меня еще раньше были траблы с Opera 12 (/usr/bin/opera скрипт запускает /usr/lib/opera/opera), но сейчас нет. Мистика.
На XP Proxifier вот эту арию пробрасывает.
И на линуксе proxychains и torsocks с этой статичной арией работают. А с системной траблы.
Боюсь, это невозможно — proxychains и torsocks перехватывают библиотечные вызовы динамически слинкованных программ, а со статически слинкованными они не работают, запросы идут вне прокси.
Да, вы правы. Недоглядел.
aria2c static проксируется redsocks+iptables, только DNS напрямую.
В бинарнике вообще нет динамического раздела (readelf -d и ldd ничего не показывают), довольно редкое явление.
Заодно проверил Proxifier 3.21 в XP:
TCP и DNS идут через прокси (если прокси недоступен, никуда не идут). Хотя, DNS в некоторых программах идет напрямую, например в nslookup.exe
ICMP не работает, завернут в localhost.
UDP идет напрямую мимо прокси.
Линуксовые наблюдения о не TCP протоколах:
proxychains ping: ICMP напрямую
torsocks ping: не работает с setuid приложением
proxychains traceroute: ICMP напрямую
torsocks ping: socket операция не позволена
proxychains fopnu torrent client: UDP напрямую
torsocks fopnu torrent client: операция не позволена, нет соединения с UDP
В общем, надежнее всего redsocks и torsocks. Но torsocks socks only, а мне больше нужен вышестоящий http прокси.
Отправка DNS напрямую (мимо http прокси) в redsocks проксификаторе имеет свои забавные положительные особенности. Дело в том, что мой http прокси блочит некоторые сайты (ну такая политика предоставления услуг, я с этим мирюсь, достойной альтернативы нет), а если отправлять DNS запросы мимо и соединяться через прокси по IP адресам, то все заблокированные сайты открываются. И в таком случае админ прокси видит только айпишники. Это видимо редкое явление, когда DNS запросы не разрешаются через http прокси. Таких настроек в браузерах даже нет. Вот socks штатно можно мимо разрешать.
@ValdikSS UDP, ICMP, IPv6 как раз желательно бы иметь возможность резать при проксификации. Но зависит от целей, часто это не требуется.
Я сейчас даже дошел то того, что redsocks натравил на локальный прокси-посредник, чтобы браузер запускался от моего имени с моим профилем.