海运的博客

shadowsocks使用Iptables随机多端口

发布时间:October 11, 2014 // 分类: // 5 Comments

Openwrt下配置iptables将shadowsocks连接随机DNAT到特定端口:

iptables -t nat -A OUTPUT -p tcp --dport 5688 -m state --state NEW -m statistic --mode nth --every 4 --packet 0 -j DNAT --to-destination serverip:5688
iptables -t nat -A OUTPUT -p tcp --dport 5688 -m state --state NEW -m statistic --mode nth --every 4 --packet 1 -j DNAT --to-destination serverip:5689
iptables -t nat -A OUTPUT -p tcp --dport 5688 -m state --state NEW -m statistic --mode nth --every 4 --packet 2 -j DNAT --to-destination serverip:5690
iptables -t nat -A OUTPUT -p tcp --dport 5688 -m state --state NEW -m statistic --mode nth --every 4 --packet 3 -j DNAT --to-destination serverip:5691

服务器端将客户端连接的端口DNAT到shadowsocks监听的端口:

iptables -t nat -A PREROUTING -p tcp --dport 5689:5691 -j DNAT --to-destination serverip:5688
#如果是分散的端口:
iptables -t nat -A PREROUTING -p tcp -m multiport --dports 3000,10000 -j DNAT --to-destination serverip:5688

新版本:

#OpenWRT:
iptables -t nat -A OUTPUT -d serverip -p tcp --dport 5688-j DNAT --to-destination serverip:50000-60000 --random
#Server:
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 50000:60000 -j REDIRECT --to-ports 5688

标签:none

有 5 条 关于" shadowsocks使用Iptables随机多端口 "的评论

  1. kxmp kxmp

    可以直接用端口范围的. 这样更方便.
    iptables -t nat -A OUTPUT -p tcp --dport 5688 -m state --state NEW -m statistic --mode nth --every 4 --packet 0 -j DNAT --to-destination 1.2.3.4:10000-12000

  2. noone noone

    较新的内核可以这样写
    iptables -t nat -A OUTPUT -p tcp -m tcp --dport $DPORT -m state --state NEW -j DNAT --random --to-destination :$PORTSTART-$PORTEND

    1. 海运 海运

      谢谢提醒。

  3. FADAD FADAD

    能否使用 SNAT 让服务端的发送端口 随机化?

  4. linhua linhua

    只需配置 服务端 的接收端口随机化就行了, 发送端口 因为 连接追踪(conntrack)的缘故,自然会随机化。发出的包 会复用 进来的包建立的 TCP/UDP连接

发表评论

分类
最新文章
最近回复
  • track: NAT 部分没处理,这块感觉有问题。
  • yu: 查到有用的资料很幸福!
  • boscotsang: 请问下服务器端如何控制权限让通过权限认证的客户端才能连接?现在这样只要有自编译的客户端程序都可...
  • yck932: 大侠,请问哪里有 tunnels 详细参考资料,谢谢
  • bubble: 现在linux 4.9以上的内核有个bbr的参数,用这个bbr比用锐速效果更好,可参考我的博文...
  • wang: openwrt 只有 tmp/etc/miniupnpd.conf 修改后又重置了,其他路径找...
  • wbq: 可以了 只是https透明代理如何做呢?
  • wbq: 你的这个配置需要浏览器设置代理ip+port, 现在假设不设置,只配置客户端网关为Nginx那...
  • wbq: 您好,想用Nginx做个透明代理,客户端机器配置下网关(即Nginx那台机器),客户端dns配...
  • ccc: 可以提供易调用openssl常用函数吗?