https://blog.csdn.net/junmuzi/article/details/51508802

一般用Linux的話都是用全域性代理都是用http_proxy以及https_proxy這兩個環境環境變數來實現的, 但是缺點是這種方式並不是真正的全域性代理, 即使設定了代理的話,對於某些應用還是無效的,比如w3m,而且這種方式並不支援socks協議.

我在實驗室環境使用shadowsocks作為代理用來訪問外網, 沒有用來翻牆,原因是個人感覺shadosocks比其他socks軟體好部署,雖然加密損失點效能,但是table加密那點計算量也不算什麼.在windows環境的話用proxifity就可以很好得解決全域性代理的問題,在Linux上,上面也說了,確實是一件比較麻煩的事情.

shadowsocks的伺服器端就不介紹了, 推薦安裝C with libev版本, 這個版本包含了ss-server ss-redir ss-local ss-tunnel,其他版本貌似沒有實現本文功能的ss-redir. 除了ss-server是作為服務端的,其餘三個都是做作為客戶端的.ss-redir是用來做透明代理的, ss-local是做本地socks5代理的, ss-tunnel是做隧道的(這個目前還不知道實際的用途). 本文要說的就是用ss-redir配合Linux強大的iptable來實現全域性代理.

下面以ubuntu14.04的環境來介紹

# cat juli-start-iptables.sh 
#!/bin/sh
#建立一個叫SOCKS的鏈
 
iptables -t nat -N SOCKS
 
#忽略伺服器的地址,如果不屬於內網IP的話一定要注意加上.
 
#其實下面這句可以省略的, 因為它屬於172.16.0.0/12
 
iptables -t nat -A SOCKS -d 172.23.45.19 -j RETURN
 
# 忽略本地地址
 
iptables -t nat -A SOCKS -d 0.0.0.0/8 -j RETURN
 
iptables -t nat -A SOCKS -d 10.0.0.0/8 -j RETURN
 
iptables -t nat -A SOCKS -d 127.0.0.0/8 -j RETURN
 
iptables -t nat -A SOCKS -d 169.254.0.0/16 -j RETURN
 
iptables -t nat -A SOCKS -d 172.16.0.0/12 -j RETURN
 
iptables -t nat -A SOCKS -d 192.168.0.0/16 -j RETURN
 
iptables -t nat -A SOCKS -d 224.0.0.0/4 -j RETURN
 
iptables -t nat -A SOCKS -d 240.0.0.0/4 -j RETURN
 
# Anything else should be redirected to shadowsocks's local port
 
#除上面之外的所有流量都跳轉到socks的本地埠(local_port),這裡使用shadosock預設埠1080
 
iptables -t nat -A SOCKS -p tcp -j REDIRECT --to-ports 1080
 
# 最後是應用上面的規則,將OUTPUT出去的tcp流量全部經過SOCKS鏈
 
#如果是在openwrt上實現透明代理的話,使用下面被註釋了的規則
 
iptables -t nat -A PREROUTING -p tcp -j SOCKS
iptables -t nat -A PREROUTING -p udp -j SOCKS
iptables -t nat -A PREROUTING -p icmp -j SOCKS
 
#iptables -t nat -A OUTPUT -p tcp -j SOCKS
 

可以將這段指令碼儲存為一個sh,加入開機自啟

將防火牆規則加入系統後,啟動ss-redir,其實兩者順序調換了也無所謂

#ss-redir -c /etc/shadosocks.json

shadosocks.json的內容和設定ss-local是一致的.shadosocks的好處是server/client共用一套配置.shadosocks官網即使對客戶端伺服器有分類, 但是客戶端只是伺服器端的一個子集,所以推薦用伺服器的版本.

經過這樣一番設定的話, 本機的所有tcp流量都會經過代理機器出去了,目前ss-redir不知處udp轉發.