sokcs5软件dante配置指南_dante 代理 配置pam用户名密码 模式-程序员宅基地

技术标签: socks5  

近来公司业务有需要做socks5代理的需求,研究了一下,主要的开源实现有2个:
dante http://www.inet.no/dante/
ss5 http://ss5.sourceforge.net/

比较了一下,还是比较倾向于dante,因为看到有人这样评价ss5:

Project has an incredibly poor source code quality. There are lot of buffer overflows caused by inconsistencies of hard coded and real buffer sizes or broken error detection due to signed/unsigned mismatch. Developer uses either an very compiler or is unaware of flags like '-W' or '-D_FORTIFY_SOURCE' which would detect most of these issues.

当然,这个是人家的评价,不代表我的观点。

闲话少说,下边进入正题。

1.安装Dante

Redhat/CentOS:
#yum install gcc make bison flex rpm-build.x86_64
#yum install openldap-devel.x86_64 pam-devel.x86_64 openssl-devel.x86_64 libgssapi-devel.x86_64 libgssapi-devel.x86_64
#wget -c wget http://www.inet.no/dante/files/dante-1.4.0-pre1.tar.gz
#rpmbuild -ta dante-1.4.0-pre1.tar.gz
#cd rpmbuild/RPMS
#rpm -ivh dante-1.4.0-0.pre1.el6.x86_64.rpm dante-server-1.4.0-0.pre1.el6.x86_64.rpm
#useradd sockd
#usermod -s /sbin/nologin sockd

或者源码安装:
#tar -zxvf dante-1.4.0-pre1.tar.gz
#cd dante-1.4.0-pre1
#./configure --with-sockd-conf=/etc/danted.conf
#make
#make install

2.Dnate配置文件解析

默认的配置文件是/etc/sockd.conf,在debian下则是/etc/danted.conf

整个配置文件由3个大部分组成。

1)server settings 控制dante的一般行为;
2)rules 用户的访问控制;
3)routes 通常用于"server-chaining";

配置由关键字组成,关键字后边跟":"指定值。

配置文件的推荐书写顺序如下:
  Server settings:
              logoutput
              internal
              external
              method
              clientmethod
              users
              compatibility
              extension
              timeout
              srchost
#
 Rules:
       client block/pass
               from to
               libwrap
               log
#
       block/pass
               from to
               method
               command
               libwrap
               log
               protocol
               proxyprotocol
#
 Routes:

下边就举一个简单的配置说明一下:
logoutput: /var/log/sockd.log
internal: eth0 port = 1080
external: 111.111.1111.111
method: username none
user.privileged: sockd
user.unprivileged: sockd

#定义"client-rules",明确指明哪些IP可以访问这个socks5 server
client pass {
from: <your ip here>/32 port 1-65535 to: 0.0.0.0/0
}

#Loopback地址也允许访问
client pass {
from: 127.0.0.0/8 port 1-65535 to: 0.0.0.0/0
}

#封闭其他所有人访问,避免成为公共的proxy
client block {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect error
}

# 定义"socks-rules",指明允许连接的这些IP可以通过这个socks5 server访问哪些地址
# 禁止所有地址访问本地loopback地址
block {
from: 0.0.0.0/0 to: 127.0.0.0/8
log: connect error
}

# 允许自己的IP访问任何地址
pass {
from: <your ip here>/32 to: 0.0.0.0/0
protocol: tcp udp
}

pass {
from: 127.0.0.0/8 to: 0.0.0.0/0
protocol: tcp udp
}

#封闭其他任何人的访问
block {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect error
 }

logoutput 关键字
定义了日志的输出位置,可以是syslog[/facility], stdout, stderr,一个指定文件,或者上述的组合。

internal关键字
定义了接受用户连接的IP地址,也可以写接口名称,如eth0

external关键字
定义了向外访问的IP地址,也可以写接口名称,如果有多个地址可以写多个。

method关键字
控制用户认证的方法,可以是以下之一或组合。
none 不需要认证
username 用户名密码
gssapi kerberos认证
rfc931 需要用户主机提供一个rfc931 reply,这个reply必须匹配一个/etc/passwd中的用户名
pam 通过PAM方式认证
badauth 通过BSD认证系统

user.privileged关键字
如果需要读取sockd.conf,写入sockd.pid等文件,或使用密码认证等需要特权的操作,则最好将此值设为root,如果不需要特权操作,则可以设成user.unprivileged相同的用户即可。

user.unprivileged关键字
用于运行dante进程的用户名

pass/block
定义rules,放行或者阻断。在dante的配置中,有两个层面的rules,一个是"client-rules",另一个是"socks-rules"。
"client-rules"和"socks-rules"都由pass和block关键字组成,区别在于client-rules带有"client"前缀。
"client-rules"会首先被检查,用来判别用户是否可以与sockd通讯,这些规则工作在TCP层。
"socks-rules"是在通过client-rules判定,确认用户可以与sockd通讯以后,用来判别用户发送的连接的具体请求内容,并根据这些内容判定通过还是拒绝。
"client-rules"和"socks-rules"都遵循"first match is best match"原则,即如果有多条规则匹配,则第一个匹配指定client或socket的规则会被执行。

在以上两种rules中,针对IP地址这个值,还有一套可选的关键字,其中client-rules中的可选关键字是socks-rules中的一个子集。
对于每条规则,规则中所有的条件类关键字都会被检查 ,如果匹配用户请求,则所有的动作都会被执行。

IP地址中可选关键字主要包含两类:

条件类:
to
from
port
user
group
method
protocol
proxyprotocol
clientcompatibility
command

动作类:
bandwidth
libwrap
log
maxsessions
redirect
timeout.connect
timeout.negotiate
timeout.io
timeout.tcp_fin_wait
udp.portrange

参考资料:

Dante官方网站 http://www.inet.no/dante/
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29663071/article/details/53337850

智能推荐

从零开始搭建Hadoop_创建一个hadoop项目-程序员宅基地

文章浏览阅读331次。第一部分:准备工作1 安装虚拟机2 安装centos73 安装JDK以上三步是准备工作,至此已经完成一台已安装JDK的主机第二部分:准备3台虚拟机以下所有工作最好都在root权限下操作1 克隆上面已经有一台虚拟机了,现在对master进行克隆,克隆出另外2台子机;1.1 进行克隆21.2 下一步1.3 下一步1.4 下一步1.5 根据子机需要,命名和安装路径1.6 ..._创建一个hadoop项目

心脏滴血漏洞HeartBleed CVE-2014-0160深入代码层面的分析_heartbleed代码分析-程序员宅基地

文章浏览阅读1.7k次。心脏滴血漏洞HeartBleed CVE-2014-0160 是由heartbeat功能引入的,本文从深入码层面的分析该漏洞产生的原因_heartbleed代码分析

java读取ofd文档内容_ofd电子文档内容分析工具(分析文档、签章和证书)-程序员宅基地

文章浏览阅读1.4k次。前言ofd是国家文档标准,其对标的文档格式是pdf。ofd文档是容器格式文件,ofd其实就是压缩包。将ofd文件后缀改为.zip,解压后可看到文件包含的内容。ofd文件分析工具下载:点我下载。ofd文件解压后,可以看到如下内容: 对于xml文件,可以用文本工具查看。但是对于印章文件(Seal.esl)、签名文件(SignedValue.dat)就无法查看其内容了。本人开发一款ofd内容查看器,..._signedvalue.dat

基于FPGA的数据采集系统(一)_基于fpga的信息采集-程序员宅基地

文章浏览阅读1.8w次,点赞29次,收藏313次。整体系统设计本设计主要是对ADC和DAC的使用,主要实现功能流程为:首先通过串口向FPGA发送控制信号,控制DAC芯片tlv5618进行DA装换,转换的数据存在ROM中,转换开始时读取ROM中数据进行读取转换。其次用按键控制adc128s052进行模数转换100次,模数转换数据存储到FIFO中,再从FIFO中读取数据通过串口输出显示在pc上。其整体系统框图如下:图1:FPGA数据采集系统框图从图中可以看出,该系统主要包括9个模块:串口接收模块、按键消抖模块、按键控制模块、ROM模块、D.._基于fpga的信息采集

微服务 spring cloud zuul com.netflix.zuul.exception.ZuulException GENERAL-程序员宅基地

文章浏览阅读2.5w次。1.背景错误信息:-- [http-nio-9904-exec-5] o.s.c.n.z.filters.post.SendErrorFilter : Error during filteringcom.netflix.zuul.exception.ZuulException: Forwarding error at org.springframework.cloud..._com.netflix.zuul.exception.zuulexception

邻接矩阵-建立图-程序员宅基地

文章浏览阅读358次。1.介绍图的相关概念  图是由顶点的有穷非空集和一个描述顶点之间关系-边(或者弧)的集合组成。通常,图中的数据元素被称为顶点,顶点间的关系用边表示,图通常用字母G表示,图的顶点通常用字母V表示,所以图可以定义为:  G=(V,E)其中,V(G)是图中顶点的有穷非空集合,E(G)是V(G)中顶点的边的有穷集合1.1 无向图:图中任意两个顶点构成的边是没有方向的1.2 有向图:图中..._给定一个邻接矩阵未必能够造出一个图

随便推点

MDT2012部署系列之11 WDS安装与配置-程序员宅基地

文章浏览阅读321次。(十二)、WDS服务器安装通过前面的测试我们会发现,每次安装的时候需要加域光盘映像,这是一个比较麻烦的事情,试想一个上万个的公司,你天天带着一个光盘与光驱去给别人装系统,这将是一个多么痛苦的事情啊,有什么方法可以解决这个问题了?答案是肯定的,下面我们就来简单说一下。WDS服务器,它是Windows自带的一个免费的基于系统本身角色的一个功能,它主要提供一种简单、安全的通过网络快速、远程将Window..._doc server2012上通过wds+mdt无人值守部署win11系统.doc

python--xlrd/xlwt/xlutils_xlutils模块可以读xlsx吗-程序员宅基地

文章浏览阅读219次。python–xlrd/xlwt/xlutilsxlrd只能读取,不能改,支持 xlsx和xls 格式xlwt只能改,不能读xlwt只能保存为.xls格式xlutils能将xlrd.Book转为xlwt.Workbook,从而得以在现有xls的基础上修改数据,并创建一个新的xls,实现修改xlrd打开文件import xlrdexcel=xlrd.open_workbook('E:/test.xlsx') 返回值为xlrd.book.Book对象,不能修改获取sheett_xlutils模块可以读xlsx吗

关于新版本selenium定位元素报错:‘WebDriver‘ object has no attribute ‘find_element_by_id‘等问题_unresolved attribute reference 'find_element_by_id-程序员宅基地

文章浏览阅读8.2w次,点赞267次,收藏656次。运行Selenium出现'WebDriver' object has no attribute 'find_element_by_id'或AttributeError: 'WebDriver' object has no attribute 'find_element_by_xpath'等定位元素代码错误,是因为selenium更新到了新的版本,以前的一些语法经过改动。..............._unresolved attribute reference 'find_element_by_id' for class 'webdriver

DOM对象转换成jQuery对象转换与子页面获取父页面DOM对象-程序员宅基地

文章浏览阅读198次。一:模态窗口//父页面JSwindow.showModalDialog(ifrmehref, window, 'dialogWidth:550px;dialogHeight:150px;help:no;resizable:no;status:no');//子页面获取父页面DOM对象//window.showModalDialog的DOM对象var v=parentWin..._jquery获取父window下的dom对象

什么是算法?-程序员宅基地

文章浏览阅读1.7w次,点赞15次,收藏129次。算法(algorithm)是解决一系列问题的清晰指令,也就是,能对一定规范的输入,在有限的时间内获得所要求的输出。 简单来说,算法就是解决一个问题的具体方法和步骤。算法是程序的灵 魂。二、算法的特征1.可行性 算法中执行的任何计算步骤都可以分解为基本可执行的操作步,即每个计算步都可以在有限时间里完成(也称之为有效性) 算法的每一步都要有确切的意义,不能有二义性。例如“增加x的值”,并没有说增加多少,计算机就无法执行明确的运算。 _算法

【网络安全】网络安全的标准和规范_网络安全标准规范-程序员宅基地

文章浏览阅读1.5k次,点赞18次,收藏26次。网络安全的标准和规范是网络安全领域的重要组成部分。它们为网络安全提供了技术依据,规定了网络安全的技术要求和操作方式,帮助我们构建安全的网络环境。下面,我们将详细介绍一些主要的网络安全标准和规范,以及它们在实际操作中的应用。_网络安全标准规范

推荐文章

热门文章

相关标签