sokcs5软件dante配置指南_dante 代理配置pam用户名密码模式-程序员宅基地

技术标签： socks5

近来公司业务有需要做socks5代理的需求，研究了一下，主要的开源实现有2个:
dante http://www.inet.no/dante/
ss5 http://ss5.sourceforge.net/

比较了一下，还是比较倾向于dante,因为看到有人这样评价ss5：

Project has an incredibly poor source code quality. There are lot of buffer overflows caused by inconsistencies of hard coded and real buffer sizes or broken error detection due to signed/unsigned mismatch. Developer uses either an very compiler or is unaware of flags like '-W' or '-D_FORTIFY_SOURCE' which would detect most of these issues.

当然，这个是人家的评价，不代表我的观点。

闲话少说，下边进入正题。

1.安装Dante

Redhat/CentOS:
#yum install gcc make bison flex rpm-build.x86_64
#yum install openldap-devel.x86_64 pam-devel.x86_64 openssl-devel.x86_64 libgssapi-devel.x86_64 libgssapi-devel.x86_64
#wget -c wget http://www.inet.no/dante/files/dante-1.4.0-pre1.tar.gz
#rpmbuild -ta dante-1.4.0-pre1.tar.gz
#cd rpmbuild/RPMS
#rpm -ivh dante-1.4.0-0.pre1.el6.x86_64.rpm dante-server-1.4.0-0.pre1.el6.x86_64.rpm
#useradd sockd
#usermod -s /sbin/nologin sockd

或者源码安装:
#tar -zxvf dante-1.4.0-pre1.tar.gz
#cd dante-1.4.0-pre1
#./configure --with-sockd-conf=/etc/danted.conf
#make
#make install

2.Dnate配置文件解析

默认的配置文件是/etc/sockd.conf，在debian下则是/etc/danted.conf

整个配置文件由3个大部分组成。

1)server settings 控制dante的一般行为；
2)rules 用户的访问控制；
3)routes 通常用于"server-chaining"；

配置由关键字组成，关键字后边跟":"指定值。

配置文件的推荐书写顺序如下:
#   Server settings:
#               logoutput
#               internal
#               external
#               method
#               clientmethod
#               users
#               compatibility
#               extension
#               timeout
#               srchost
#
#  Rules:
#        client block/pass
#                from to
#                libwrap
#                log
#
#        block/pass
#                from to
#                method
#                command
#                libwrap
#                log
#                protocol
#                proxyprotocol
#
#  Routes:

下边就举一个简单的配置说明一下:

logoutput: /var/log/sockd.log
internal: eth0 port = 1080
external: 111.111.1111.111
method: username none
user.privileged: sockd
user.unprivileged: sockd

#定义"client-rules",明确指明哪些IP可以访问这个socks5 server
client pass {
from: <your ip here>/32 port 1-65535 to: 0.0.0.0/0
}

#Loopback地址也允许访问
client pass {
from: 127.0.0.0/8 port 1-65535 to: 0.0.0.0/0
}

#封闭其他所有人访问,避免成为公共的proxy
client block {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect error
}

# 定义"socks-rules",指明允许连接的这些IP可以通过这个socks5 server访问哪些地址
# 禁止所有地址访问本地loopback地址
block {
from: 0.0.0.0/0 to: 127.0.0.0/8
log: connect error
}

# 允许自己的IP访问任何地址
pass {
from: <your ip here>/32 to: 0.0.0.0/0
protocol: tcp udp
}

pass {
from: 127.0.0.0/8 to: 0.0.0.0/0
protocol: tcp udp
}

#封闭其他任何人的访问
block {
from: 0.0.0.0/0 to: 0.0.0.0/0
log: connect error
}

logoutput 关键字
定义了日志的输出位置，可以是syslog[/facility], stdout, stderr，一个指定文件，或者上述的组合。

internal关键字
定义了接受用户连接的IP地址，也可以写接口名称，如eth0

external关键字
定义了向外访问的IP地址，也可以写接口名称，如果有多个地址可以写多个。

method关键字
控制用户认证的方法，可以是以下之一或组合。
none 不需要认证
username 用户名密码
gssapi kerberos认证
rfc931 需要用户主机提供一个rfc931 reply，这个reply必须匹配一个/etc/passwd中的用户名
pam 通过PAM方式认证
badauth 通过BSD认证系统

user.privileged关键字
如果需要读取sockd.conf，写入sockd.pid等文件，或使用密码认证等需要特权的操作，则最好将此值设为root，如果不需要特权操作，则可以设成user.unprivileged相同的用户即可。

user.unprivileged关键字
用于运行dante进程的用户名

pass/block
定义rules，放行或者阻断。在dante的配置中，有两个层面的rules，一个是"client-rules",另一个是"socks-rules"。
"client-rules"和"socks-rules"都由pass和block关键字组成，区别在于client-rules带有"client"前缀。
"client-rules"会首先被检查，用来判别用户是否可以与sockd通讯，这些规则工作在TCP层。
"socks-rules"是在通过client-rules判定，确认用户可以与sockd通讯以后，用来判别用户发送的连接的具体请求内容，并根据这些内容判定通过还是拒绝。
"client-rules"和"socks-rules"都遵循"first match is best match"原则，即如果有多条规则匹配，则第一个匹配指定client或socket的规则会被执行。

在以上两种rules中，针对IP地址这个值，还有一套可选的关键字，其中client-rules中的可选关键字是socks-rules中的一个子集。
对于每条规则，规则中所有的条件类关键字都会被检查，如果匹配用户请求，则所有的动作都会被执行。

IP地址中可选关键字主要包含两类:

条件类:
to
from
port
user
group
method
protocol
proxyprotocol
clientcompatibility
command

动作类:
bandwidth
libwrap
log
maxsessions
redirect
timeout.connect
timeout.negotiate
timeout.io
timeout.tcp_fin_wait
udp.portrange

参考资料:

Dante官方网站 http://www.inet.no/dante/

本文链接：https://blog.csdn.net/qq_29663071/article/details/53337850

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

邻接矩阵-建立图-程序员宅基地

文章浏览阅读358次。1.介绍图的相关概念　　图是由顶点的有穷非空集和一个描述顶点之间关系-边（或者弧）的集合组成。通常，图中的数据元素被称为顶点，顶点间的关系用边表示，图通常用字母G表示，图的顶点通常用字母V表示，所以图可以定义为:　　G=(V,E)其中，V(G)是图中顶点的有穷非空集合，E(G)是V(G)中顶点的边的有穷集合1.1 无向图：图中任意两个顶点构成的边是没有方向的1.2 有向图：图中..._给定一个邻接矩阵未必能够造出一个图

IAR调试程序闪退问题_iar在debug时停止工作-程序员宅基地

文章浏览阅读1.7k次。问题:IAR调试STM32程序，点击调试按钮后软件自动关闭，并弹出报错提示框解决：将调试的接口模式改为SWD模式即可。我的原先设置为JTAG模式。_iar在debug时停止工作

100M宽带是多少网速_100m的宽带网速是多少兆-程序员宅基地

文章浏览阅读742次。100兆宽带的网速通常指的是每秒可以传输的数据量为100兆比特（Mb）。在此情况下，1兆比特（Mb）等于100万比特（Mbps），而1字节（B）等于8比特（bps）。因此，100兆宽带的网速可以计算如下：100兆比特/秒=100/8 兆字节/秒= 12.5兆字节/秒所以，100兆宽带的网速约为12.5MBps（兆字节/秒），也可以说为100Mbps（兆比特/秒）。但是需要注意的是，实际的下载和上传速度可能受到各种因素的影响，如网络拥堵、设备性能等。因此，实际使用中您可能会感受到较低的速度。_100m的宽带网速是多少兆

Windows 7 通用 CDC 串口驱动程序_cdcserial驱动 win7-程序员宅基地

文章浏览阅读2.4w次，点赞13次，收藏44次。Windows 7 通用 CDC 串口驱动程序Windows 7 自带 CDC 串口类设备的驱动程序文件 usbser.sys，所缺的是驱动配置文件 usbser.inf 文件，将 Windows 10 的 usbser.inf 文件拷贝到 Windows 7，注释掉 SourceDisksNames 和 SourceDisksFiles 部分就可以作为 Windows 7 的 CDC 串口类..._cdcserial驱动 win7

AI遮天传 NLP-词表示_nlp中词语的表示-程序员宅基地

文章浏览阅读2.5k次，点赞53次，收藏51次。NLP-词表示_nlp中词语的表示

sed 替换多个空格为一个-程序员宅基地

文章浏览阅读2.4k次。sed -i 's/[ ][ ]*/ /g' file.txt _sed 多个空格替换为1个

随便推点

什么是算法？-程序员宅基地

文章浏览阅读1.7w次，点赞15次，收藏129次。算法（algorithm）是解决一系列问题的清晰指令，也就是，能对一定规范的输入，在有限的时间内获得所要求的输出。简单来说，算法就是解决一个问题的具体方法和步骤。算法是程序的灵魂。二、算法的特征1.可行性算法中执行的任何计算步骤都可以分解为基本可执行的操作步，即每个计算步都可以在有限时间里完成（也称之为有效性）算法的每一步都要有确切的意义，不能有二义性。例如“增加x的值”，并没有说增加多少，计算机就无法执行明确的运算。 _算法

【网络安全】网络安全的标准和规范_网络安全标准规范-程序员宅基地

文章浏览阅读1.5k次，点赞18次，收藏26次。网络安全的标准和规范是网络安全领域的重要组成部分。它们为网络安全提供了技术依据，规定了网络安全的技术要求和操作方式，帮助我们构建安全的网络环境。下面，我们将详细介绍一些主要的网络安全标准和规范，以及它们在实际操作中的应用。_网络安全标准规范

Windows上的巧克力味Chocolatey详解_chocolate怎么卸载-程序员宅基地

文章浏览阅读1.5k次。Chocolatey是什么？很简单，Chocolatey就是Windows系统的yum或apt-get。一、Chocolatey介绍Chocolatey是一款专为Windows系统开发的、基于NuGet的包管理器工具，类似于Node.js的npm，MacOS的brew，Ubuntu的apt-get，它简称为choco。Chocolatey的设计目标是成为一个去中心化的框架，便于开发_chocolate怎么卸载

关于Python的三个谎言，别再盲目学Python了_关于python 盲目-程序员宅基地

文章浏览阅读2.3w次，点赞177次，收藏741次。Python作为21世纪最火的编程语言，市面上各种学习视频层出不穷，关于Python的学习氛围也逐渐浓厚，Python固然简单好上手，但事实上Python也不是那么容易学习的。如果不采取正确的学习方式，很容易走入误区。关于Python的三个谎言，你一定要清楚。1：学完Python，并不能立马拿一两万的工资，甚至可能找不到工作！2：Python也没有那么简单，不是有手就行！3：别想着1个星期、2个星期就能学会，你至少得腾出一两个月来连续学习！如果你还是执意要学Python，那么好，接下来我们看看怎._关于python 盲目

js 实现将json数据导出到excel表格-程序员宅基地

文章浏览阅读2.1k次。方法一将table标签，包括tr、td等对json数据进行拼接，将table输出到表格上实现，这种方法的弊端在于输出的是伪excel，虽说生成xls为后缀的文件，但文件形式上还是html，代码如下<html><head> <p style="font-size: 20px;color: red;">使用table标签方式将json导出xls文件</p..._如何把js数据转换成表格

IEEE协会会员权益，注册IEEE会员有必要了解下_ieee会员好处-程序员宅基地

IEEE协会是一个专注于航空与电子系统领域的组织，注册IEEE会员可以享受许多权益，包括免费访问协会资源中心和参加各种会议及活动。