开新帖求教red---socks2+Wall---proxy让局域网所有设备透明兲朝上网

chaihx

目标：在路由器上部署Wall---proxy+red---socks2后，让内网所有设备，无需设置，直接透明兲朝上网

基础架构
1. 路由器netgear R6300V2, 刷kong大25100M版，配置opkg，安装python等
2. 部署Wall---proxy 到路由器上成功，局域网内设置代理198.168.1.1：8086兲朝上网无问题。

首先思考帖子 http://www.gebi1.com/thread-65448-1-1.html （下称帖子A )
该贴本意是借助局域网内另一个NAS,让局域网内所有80端口流量被NAS截获并fan greatwall，起到透明上网的要求
稍作修改后，可以去掉NAS，直接在路由器上部署，支持所有80端口的透明兲朝上网，已经测试成功。
不过原帖也说了，此方法不适用于需要https的链接比如gmail.com，需要red---socks2。

于是从头思考了本站两个帖子 (下称帖子B)
https://www.right.com.cn/forum/thread-118945-1-1.html
https://www.right.com.cn/forum/thread-160033-1-1.html
期间各种弯路，最后不得已学着架起了openwrt编译环境等的，反正最后得到了可以在R6300V2 ARM架构下运行的red---socks2

现在问题来了
1. 如果iptable 像帖子B里设置，或者简化版本如下设置
iptables -t nat -I PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-ports 1081
iptables -t nat -I PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-ports 1082
那么 局域网内所有机器所有www链接都出不去了，同时在red---socks2的log里只有类似下面的
1426513851.674440 main.c:162 main(...) red---socks started
1426513911.681838 red---socks.c:852 red---socks_audit_instance(...) Audit client list for instance 0x72730:
1426513911.683586 red---socks.c:879 red---socks_audit_instance(...) End of auditing client list.
1426513911.685805 red---socks.c:852 red---socks_audit_instance(...) Audit client list for instance 0x72620:
1426513911.687547 red---socks.c:879 red---socks_audit_instance(...) End of auditing client list.
1426513971.681128 red---socks.c:852 red---socks_audit_instance(...) Audit client list for instance 0x72730:
1426513971.682881 red---socks.c:879 red---socks_audit_instance(...) End of auditing client list.

2. 如果iptable 像帖子A 里类似如下设置
iptables -t nat -I PREROUTING -i br0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:1081
iptables -t nat -I PREROUTING -i br0 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.1:1082
那么局域网内所有机器可以正常上网，所有需要兲朝上网的地方都无效，同时red---socks2的log里能看到一些变化，有兴趣的话我把log贴上来，反正不能兲朝上网，跟没有一样。

目前的red---socks2.conf如下base {
        log_debug = on;
        log_info = on;
        log = "file:/jffs/red---socks2/red---socks.log";
        daemon = on;
        redirector = iptables;
}


red---socks {
local_ip = 192.168.1.1;
local_port = 1081; // 将HTTP 连接重定向到这个端口
ip = 192.168.1.1;
type = http-relay;
port = 8086;
login = admin;
password = admin;
autoproxy=1;
}
red---socks {
local_ip = 192.168.1.1;
local_port = 1082; // 将HTTPS 连接重定向到这个端口
ip = 192.168.1.1;
type = http-connect;
port = 8086;
login = admin;
password = admin;
autoproxy=1;
}


除了大拿检查bug，请不要下载这个log附件，拜拜浪费2个币。。

wackejohn

不懂iptables，其实iptables方案不是特别完美（端口劫持，不同应用端口不一样），基于路由表的类似autoddvirtual**的方案才是王道，连接上virtual**后配上dnsmasq,ipset，将特定的域名送入virtual**路由表，其他全部直连，维护成本比较低

chaihx

wackejohn 发表于 2015-3-17 15:51
不懂iptables，其实iptables方案不是特别完美（端口劫持，不同应用端口不一样），基于路由表的类似autoddvp ...

额。。不会啊。。iptable还是比着那两个帖子自己查着教程战战兢兢地的学。。。

hdd0

有R6300V2外加刷了K大固件那还需要用到NAS配合,坛子不是有r6300v2配合s-s的帖子,思考下肯定受益匪浅,目前ss的方案是比较稳定好用的,个人买了个JP的VPS配合使用,看youtube可以达到当前带宽顶数,手机平板哪怕安卓机顶盒都是打开秒上youtube.v p n也是比较底层的fan greatwall方式了,速度不稳定那是常有的事情,试试SS吧,或许会给你个惊喜!

test0x01

首先，非常感谢你对red---socks2的支持。
你这个情况，我建议你在iptables  最前面加一条
ptables -t nat -I PREROUTING -i br0 -s 192.168.1.1 -j RETURN
以免Wall---proxy的traffic又再次被redirect到red---socks2.
另外，不知道你的网络情况下如何。我目前使用搬瓦工的主机，一年最便宜的64M才3USD, 在上面跑个s-s，本地用red---socks2 用起来很舒服。你可以考虑一下，真的比用Wall---proxy之类的自在很多。
如果你还有问题的话，可以直接发邮件到我gmail邮箱，red---socks2 github上的那个，我处理得会比较及时。

chaihx

test0x01 发表于 2015-3-18 11:30
首先，非常感谢你对red---socks2的支持。
你这个情况，我建议你在iptables  最前面加一条
ptables -t nat - ...

谢谢 大拿出现了。。
1 我会学着自己去加个ss，只是有点强迫症，想把目前的方案跑通。。其实也没有多少透明兲朝上网的需求，只是开始尝试了，就想做到底。。
2 目前的难题我觉得是不会用iptables的原因。晚上先按上面的建议加上先。
多谢

test0x01

chaihx 发表于 2015-3-18 11:52
谢谢 大拿出现了。。
1 我会学着自己去加个ss，只是有点强迫症，想把目前的方案跑通。。其实也没有多 ...

那就好办。
既然你是思考目的，那就花一点时间理解一下iptables。
为快速定位问题，你应该首先通过在浏览器上设置Wall---proxy代理的方式验证Wall---proxy工作正常。
然后，再验证red---socks2的redirect是否正常（可以将type设置为direct，然后全局代理，看看能否正常访问普通网页）。最后，再把代理模式改回你需要的模式，进行测试。这个时候，你可以利用
netstat -na等命令看看red---socks2与Wall---proxy之间有没有连接，如果有的话，说明已经基本通了，剩下的就是防止循环代理（即Wall---proxy发出去的连接再次被redirect到red---socks2，然后又被转发到Wall---proxy，Wall---proxy又发出连接请求，如此循环）等问题。
还忘了说了，Wall---proxy+red---socks2我是没有测试过的。我只测试过gae。之前有版本在与gae配合有问题，后来修复了，你最好保证你的red---socks2是最新版本的。

flytigerzhang

哪哪都找了，也没找到适合kong大新版本的red---socks2，还是你厉害，自己编译了，不知可否共享，谢谢。