ss 公共代理的必要设置(转)
转: https://gist.github.com/fqrouter/95c037f9a3ba196fd4dd
本文只关注于确保ss服务还“活着”,如果你希望让其跑得更快,请参考 https://github.com/clowwindy/shadowsocks/wiki/Optimizing-Shadowsocks 1、 ss的timeout设置 超时时间越长,连接被保持得也就越长,导致并发的tcp的连接数也就越多。对于公共代理,这个值应该调整得小一些。推荐60秒。 2、 检查操作系统的各种限制 对于openvz的vps,特别需要检查一下 shell# cat /proc/user_beancounters Version: 2.5 uid resource held maxheld barrier limit failcnt 1005: kmemsize 6499239 34332672 50331648 50331648 0 lockedpages 0 0 12288 12288 0 privvmpages 20185 89959 9223372036854775807 9223372036854775807 0 shmpages 654 670 9223372036854775807 9223372036854775807 0 dummy 0 0 9223372036854775807 9223372036854775807 0 numproc 26 102 9223372036854775807 9223372036854775807 0 physpages 12181 24887 0 24576 536 vmguarpages 0 0 9223372036854775807 9223372036854775807 0 oomguarpages 7054 30538 9223372036854775807 9223372036854775807 473 numtcpsock 52 1500 1500 2000 21583239 numflock 1 5 9223372036854775807 9223372036854775807 0 numpty 1 16 9223372036854775807 9223372036854775807 0 numsiginfo 0 63 9223372036854775807 9223372036854775807 0 tcpsndbuf 7497680 29165536 104857600 209715200 0 tcprcvbuf 18891984 88633288 104857600 209715200 0 othersockbuf 39304 386848 9223372036854775807 9223372036854775807 0 dgramrcvbuf 0 166480 9223372036854775807 9223372036854775807 0 numothersock 27 37 1500 2000 0 dcachesize 2293779 25165824 25165824 25165824 0 numfile 362 1910 9223372036854775807 9223372036854775807 0 dummy 0 0 9223372036854775807 9223372036854775807 0 dummy 0 0 9223372036854775807 9223372036854775807 0 dummy 0 0 9223372036854775807 9223372036854775807 0 numiptent 30 30 9223372036854775807 9223372036854775807 0 其中 numtcpsock 表示 tcp 连接数。像上面这样的情况,就不适合用于公共代理,因为vps商限制了并发的tcp连接数。 shell# ulimit -n 1024 这个命令检查默认的一个进程可以打开的文件数。1024这个默认值是不够的。推荐设置为8000 shell# ulimit -n 8000 shell# ss-server -s 0.0.0.0 -p 1080 -k xxxx -m rc4 上面启动ss-server的命令只是示意性的,请替换成你自己的启动命令。ulimit的设置是一次性的,每次启动ss-server之前都要设置一下。 3、 防止vps被用于暴力破解ssh密码等非法行为 只要ss被公开出去,肯定会有人拿代理用于暴力破解ssh的密码。 推荐你把ss限制为只允许访问443和80两个端口。如果你不添加这样的限制, 很多vps商都会因为ssh连接开得太多而暂停对你的服务。 shell# adduser http-ss shell# su http-ss -c "ss-server -s 0.0.0.0 -p 1080 -k xxxx -m rc4" 让ss-server以特定的用户启动 shell# iptables -t filter -A OUTPUT -d 127.0.0.1 -j ACCEPT shell# iptables -t filter -m owner --uid-owner http-ss -A OUTPUT -p tcp --sport 1080 -j ACCEPT shell# iptables -t filter -m owner --uid-owner http-ss -A OUTPUT -p tcp --dport 80 -j ACCEPT shell# iptables -t filter -m owner --uid-owner http-ss -A OUTPUT -p tcp --dport 443 -j ACCEPT shell# iptables -t filter -m owner --uid-owner http-ss -A OUTPUT -p tcp -j REJECT --reject-with tcp-reset 对于http-ss用户,限制其不能访问80,443之外的端口 4、 防止DMCA Compliant 虽然你已经把shadowsocks限制为只能访问80/443端口,但是对于美国的vps,仍然有额外的一点需要注意。 因为美国的vps需要遵从美国的DMCA版权法律,如果该vps被用于bt下载,而且正好遇上了电影公司设置的蜜罐的话, 你的vps的ip就会被记录下来。然后DMCA Compliant律师函会被送往你的vps商那,然后就会被停止服务。 为了避免shadowsocks帐号被用于bt下载,你不得不对80端口的流量再进一步进行限制 shell# apt-get update && apt-get install -y nginx 安装nginx server { listen 127.0.0.1:3128; server_name localhost; resolver 8.8.8.8; location / { set $upstream_host $host; if ($request_uri ~ "^/announce.*") { return 403; } if ($request_uri ~ "^.*torrent.*") { return 403; } proxy_set_header Host $upstream_host; proxy_pass http://$upstream_host; proxy_buffers 8 32k; proxy_buffering off; } } 然后配置nginx的server shell# iptables -t nat -m owner --uid-owner http-ss -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-port 3128 把所有的80端口流量转到nginx来处理
ss 公共代理的必要设置(转)的更多相关文章
- collectionView代理方法快速设置cell大小上下左右间隔
#define JianGe 25 #define GeShu 4 #define ScreenWidth ([UIScreen mainScreen].bounds.size.width) #def ...
- 【Nginx】nginx 代理 Haproxy 怎么设置?
由于Haproxy是通过 url 正则匹配 识别 的,nginx代理到 haproxy需要设置 proxy_set_header Host 为 haproxy的目标 url 直接上配置 upstrea ...
- IE代理文件自动设置
想如果代理可用就使用代理,代理不可用就直接连接网络. 新建文件放入javascript代码,保存为proxy.pac,保存路径c:\proxy.pac function FindProxyForURL ...
- 解决 IIS 反向代理ARR URLREWRITE 设置后,不能跨域跳转 return Redirect 问题
1.选择iis根节点,点击ARR 2.选择代理设置 3.去掉reverse rewrite host in response headers的勾选,点击应用即可
- laravel5.8笔记六:公共函数和常量设置
公共函数 创建bootstrap/common.php <?php // 发送短信 function sendSMS($mobile){ } // 发送邮件 function sendMail( ...
- linux使用http代理连接服务器设置方法
连接腾讯的额cvm服务器官方给出的也有个方法,详细可以看这里:http://wiki.open.qq.com/wiki/%E4%BB%8E%E6%9C%AC%E5%9C%B0linux%E6%9C%B ...
- 第二章 Burp Suite代理和浏览器设置
Burp Suite代理工具是以拦截代理的方式,拦截所有通过代理的网络流量,如客户端的请求数据.服务器端的返回信息等.Burp Suite主要拦截http和https协议的流量,通过拦截,Burp S ...
- EF中多表公共字段,以及设置EntityBase使所有实体类继承自定义类
使用EF框架访问数据库时,如果某些表具有公共字段,例如在审核流程中,对于各类申请单资料的创建人.创建时间.修改人.修改时间,这些可能多表都需要的字段,如果在每个实体中进行赋值操作显然是类似和重复的,下 ...
- npm安装使用淘宝代理的方法(设置registry参数)
公司防火墙问题导致 npm下载失败,安装使用cnpm不知道什么原因抽筋, 还有一个简单的办法,就是npm安装模块时,设置代理: npm install -g vue-cli --registry=ht ...
随机推荐
- ASIHTTPRequest实现https双向认证请求
什么是双向认证呢?简而言之,就是服务器端对请求它的客户端要进行身份验证,客户端对自己所请求的服务器也会做身份验证.服务端一旦验证到请求自己的客户端为不可信任的,服务端就拒绝继续通信.客户端如果发现服务 ...
- DMV to track the temp file usage for SQLServer
There are three DMVs you can use to track tempdb usage: sys.dm_db_task_space_usagesys.dm_db_session_ ...
- MySQL主从配置问题整理
前段时间线下数据库需要搭建主从库.由于不想备份数据库,打算直接克隆数据库虚拟机到新的一台,然后配置主从同步.以前没这么干过,所以也没有遇到过什么问题,今天把遇到的问题整理了一下. 192.168.3. ...
- install 命令用法详解
install 命令用法详解 http://man.linuxde.net/install install命令的作用是安装或升级软件或备份数据,它的使用权限是所有用户.install命令和cp命令类似 ...
- node.js render模板
在用node组织前端架构和后端的时候,如果不用nginx做反向代理,则会考虑怎么样render模板. 在现有的项目中没有以下几种方式render模板: 1.将.html当做静态文件,如果url定位到哪 ...
- 小白教你玩转php的闭包
php5.3有一个非常赞的新特性,那就是支持匿名函数(闭包).匿名函数可用于动态创建函数,并保存到一个变量中.举个栗子: $func = function(){ exit('Hello world!! ...
- c3p0参数解释
#最常用配置#initialPoolSize:连接池初始化时创建的连接数,default : 3,取值应在minPoolSize与maxPoolSize之间 c3p0.initialPoolSize= ...
- 堡垒机 paramiko 自动登陆代码
#!/usr/bin/env python # Copyright (C) - Robey Pointer <robeypointer@gmail.com> # # This file i ...
- [转] [环境搭建] VS-Visual Studio-IIS Express 支持局域网访问
------------------------------------------- 更正, 我发现Program一项只设置为iisexpress.exe是不可行的. 只能设置为Any才行(当然这是 ...
- WebService之Axis2(5):会话(Session)管理
WebService给人最直观的感觉就是由一个个方法组成,并在客户端通过SOAP协议调用这些方法.这些方法可能有返回值,也可能没有返回值.虽然这样可以完成一些工具,但这些被调用的方法是孤立的,当一个方 ...