Поднимаем SOCKS прокси для Telegram

[surefire]

справится даже далекий

sudo: yum: command not found

сомневаюсь, что справится

[AHDPEu]

Centos7

[crazyman777]

та не знает он, ты бы еще ifconfig попросил показать (sarcasm)

[solalex]

Еще есть ss5
sourceforge.net/projects/ss5/files/ss5/3.8.9-8/ss5-3.8.9-8.src.rpm
sourceforge.net/projects/ss5/files/ss5/3.8.9-8/ss5-3.8.9-8.tar.gz
работает без проблем

[Megard]

если собрать получится

[interprise]

у socks есть огромный недостаток, по сути нету шифрования и как следствия все знаю куда вы подключаетесь. Нужно сделать socks over ssl и добавить поддержку этого протокола в клиенты.

[chuikoffru]

Может поделитесь как?!

[lleo_aha]

[linux] лучше всего socks over ssh:

ssh server -D8765

данная команда просто использует ssh подключение для того чтобы открыть локальный (127.0.0.1) socks5 proxy на указанном порту

при этом, на удаленный сервер ставить вообще ничего не нужно
не слишком удобно для постоянного использования, но зато работает везде и сразу

[Chugumoto]

работает везде и сразу

Win8.1 — не работает :)
использую plink
и да. везде? вы к цысковскому оборудованию пытались так подключиться? :)

[lleo_aha]

Эммм… Во первых, я указал что это способ для linux — причём тут win 8.1?
Во вторых, причём тут цысовское оборудование? Статья про запуск прокси на centos == «на своём забугорном сервере». Я просто написал что если нужен по быстрому шифрованный socks proxy через свой серевер — оно работает само

[mihmig]

Присоединяюсь,
также можно настроить и Firefox на работу через прокси, дополнительно решается проблема в подменой DNS провайдерами.

[chelaxe]

CentOS 7

вместо:

sudo ifconfig

, которого нет, но можно поставить:

sudo yum -y install net-tools

использовать нужно:

ip addr

Далее

Разрешаем порт в фаерволе

вернее будет:

sudo vim /usr/lib/firewalld/services/sockd.xml

Описываем наш сервис:

<?xml version="1.0" encoding="utf-8"?>
<service>
    <short>sockd</short>
    <description>My sockd Server.</description>
    <port port="433" protocol="tcp" />
</service>

И добавляем правило:

sudo firewall-cmd --reload
sudo firewall-cmd --get-services
sudo firewall-cmd --permanent --zone=public --add-service=sockd
sudo firewall-cmd --permanent --list-all
sudo firewall-cmd --reload

рекомендую также перенести ssh порт на другой, запретить подключение по ssh для всех пользователей кроме основного

Так же запретить соединение для root, авторизацию по паролю — только ключи и настроить разрыв сессии при простое.

[chelaxe]

Вообще лучше VPN сервер поднять, а чтобы не светить его можно к нему через TOR соединяться (OpenVPN умеет). TOR с обфусцированным мостом. Так надежнее и спокойнее =)

[dmitry_dvm]

Купил впс за 1 евро в чехии, поднял там ikev2, все работает с компа и мобилы. 2 дня пытаюсь завести в него весь трафик с роутера Ubiquiti EdgeRouterX, который под debian wheezy. Это просто ад какой-то поднять ikev2 клиент на линухе. После кровавых боев он наконец-то подключается, но как, черт бы его побрал, отправить через впн весь трафик, учитывая, что инет в него идет через pppoe?

[nckma]

Если не секрет где впс по 1евро? Дешевле двух не видел.

[vtulin]

Аруба.

[kirillzak]

Если не сложно, то можно поделиться настройки EdgeRouterX?

[dmitry_dvm]

Отправил в личку

[Andrusha]

Зачем все таскают из конфигурации в конфигурацию эту портянку из отдельных адресов? Есть же список AS'ок, где всё это в нормальном виде:
91.108.12.0/22
149.154.172.0/22
91.108.16.0/22
91.108.56.0/23
149.154.168.0/22
91.108.4.0/22
91.108.8.0/22
91.108.56.0/22
149.154.160.0/20
149.154.164.0/22

[Andrusha]

С IPv6 аналогично: трёх последних записей с /48 вполне достаточно.
91.108.56.0/23, кстати, тоже можно выкинуть, есть /22, просто скопипастил так.

[chuikoffru]

А как же sudo useradd --shell /usr/sbin/nologin proxyuser?
Чтобы юзер по ssh не гонял на сервер.

[Taburen]

sudo vim — не справится.

[vconst]

Кстати да)))
Надо бы заменить на nano))

[to2n]

Можете подсказать чем отличается
client от socks в контексте конфигурационного файла? "clientmethod" vs "socksmethod", "client pass" vs "socks pass"?
В man sockd.conf не достаточно понятно для меня это изложено =(

[Allineer]

• clientmethod — список методов авторизации клиента, которые будут по-умолчанию применены при его подключении к прокси-серверу на internal интерфейс.
• socksmethod — список методов авторизации успешно подключившихся клиентов при их попытке выхода с сервера через external интерфейс.
• client pass|client drop — один или несколько блоков, которые описывают действия при подключении клиентов, соотвественно, разрешить подключение (client pass) или запретить подключение (client drop) клиентов, указанных в выражении from:, следующих в пункт назначения to:. Причем, подключение from -> to будет разрешено только если клиент еще и успешно прошел авторизацию по одному из методов, указанных в списке clientmethod. Методы авторизации для конкретного блока можно переназначить, указав новый clientmethod внутри блока.

client pass {
    from: 0/0 to: 0/0
    clientmethod: none
}

Этот блок разрешает подключаться к серверу всем подряд пользователям, следующим куда угодно без дополнительной авторизации.

• socks pass|socks drop — один или несколько блоков, по структуре и смыслу очень похожие на предыдущие, но обрабатывающие уже подключившихся клиентов на этапе их выхода через интерфейс external. Причем, подключение from -> to будет разрешено только если клиент еще и успешно прошел авторизацию по одному из методов, указанных в списке socksmethod. Методы авторизации для конкретного блока можно переназначить, указав новый socksmethod внутри блока.

Т.о. сначала мы принимаем решение, пускать ли подключение на сервер в блоке client pass, а потом отдельно принимаем решение, выпускать ли подключение наружу, дальше, в блоке socks pass.

Я могу ошибаться, но понял мануал именно так. И за неимением лучшего объяснения, предлагаю пользоваться пока моим.

[Vovan58]

А нравственные аспекты борьбы с терроризмом не мучают? — Если еще один норд-ост используя телегу данную устроят — то я ни причем?

[Free_ze]

Норд-Ост устроили без телеграма.

[WaveCut]

То-есть вы серьезно считаете, что если тг не будет, то и терроризма не будет?

[Vaitek]

когда в грузовикe, в баллоне тащили через страну бомбу, никакой телеграм не нужен был. только продажная милиция. запрет телеграмма эту проблему не решит.

[sintez]

Рекомендую обратить внимание на данный проект — getoutline.com

[dobriykot]

Правильно будет getoutline.org

[alexbers]

Вчера попробовал поднять dante, но уж больно он память любит.

Судя по документации 64 воркеров хватит, чтобы обслужить около 500 пользователей.

Попробовал найти что-то хорошее/асинхронное, но не удалось. Поэтому по-быстрому написал на питоне свой: https://github.com/alexbers/tgsocksproxy. Он потребляет мало памяти, одновременно держит очень много пользователей и просто поднимается.

Работаю под ним уже сутки, полёт нормальный.

[mihmig]

Сложно ли будет Вам «прикрутить» БД для ведения списка пользователей?

[alexbers]

В самом простом виде база данных пользователей прикручивается очень просто, примерно так: https://pastebin.com/4v7xJdXL.

Весь прокси-сервер по-сути состоит из одного файла, размером ~250 строк, поэтому добавлять туда новую функциональность, в соотвествии со своими потребностями (напр. логирование, интеграция с ldap, статистика, другие разрешённые адреса проксирования) должно быть несложно. Сейчас он заточен на максимально простое развёртывание и использование.

[alexbers]

По многочисленным просьбам применил этот патч к основной ветке. Ещё добавил вывод статистики раз в 10 минут. Её формат примерно такой:

Stats for 23.04.2018 23:01:22
tg: 4 connects (3 current), 0.00 MB
tg2: 0 connects (0 current), 0.00 MB

[meeshanya]

Ничего не работает, пишите инструкцию как это все снести )))
Я — ламер, кроме VPN ничего поднять не смог. Прокси не работает хоть об стену расшибись, пробовал уже и dante и ss5, все делал по инчтрукциям, видимо чегото не хватает.

[vconst]

Фаерволл есть? Порты открыты?

[danila_v]

Нубский вопрос наверное — а вот эти вот все VDS и прочее что я оплачу и настрою под себя, они сегодня вечером или завтра не попадут в очередной список РКН по примеру амазона и DigitalOcean?

[kirillzak]

Могут и попасть. Но никто не мешает поменять IP. Тот же Амазон и DigitalOcean это позволяют