先决条件
1. A机上可访问外网并且可以安装虚拟机。
2. 拥有一个外网的VPS服务器S(运行Debian 7.x)。推荐购买BandWagon的廉价VPS服务器(bandwagonhost/),一年100多元。
一、建立从内网机到外网服务器的反向隧道
1.1. 在A机上用虚拟机运行Ubuntu Server。首先安装VirtualBox虚拟机。
下载VirtualBox:/wiki/Downloads
最新版的VirtualBox不用配置网络即可从本地可用的网络连接上网。
ssh命令指定端口下载Ubuntu Server:www.ubuntu/download/server
在VirtualBox中安装Ubuntu Server,全部默认设置即可。
 
1.2. 由A机发起,建立从A到S的反向隧道连接,命令格式:
ssh -C -R <NPORT>:localhost:22 -p <RPORT> <SUSER>@<S_IP>
-C:允许数据压缩;
NPORT :指定在S机上进行侦听的端口。在S机上发往"localhost:NPORT"的数据包都将被直接转发到A机的22端口(SSH默认服务端口);
RPORT:S机的SSH服务端口;
SUSER:登录S机的用户名,一般为root;
S_IP:S机的公网IP。
执行此命令后,可能需要输入SUSER在S机的密码。反向隧道连接建立成功以后,即远程登录到S,接下来的操作都是将在S上执行。命令举例:
ssh -C -R 876:localhost:22 -p 26131 **********.83.20
 
1.3. 建立从S到A的SSH动态转发,可视为从S到A的SOCKS代理服务,命令格式:
ssh -C -f -N -D <SPORT> -p <NPORT> <LUSER>@localhost
-f -N:后台连接而不登录到主机,也不执行任何脚本;
SPORT:指定S机上SOCKS代理服务进行侦听的端口;
NPORT:S机上侦听的反向隧道端口,在第1.2步指定;
LUSER:登录A机的用户名。
执行此命令后,可能需要输入LUSER在A机的密码。至此,我们已将A作为S的SOCKS代理服务器。命令举例:
ssh -C -f -N -D 1080 -p 876 devymex@localhost
 
1.4. 用curl命令测试连接,命令格式:
curl --socks4 localhost:<SPORT> <URL>
SPORT:S机上SOCKS代理服务进行侦听的端口,在1.3步指定;
URL:任意网址,可指定内网资源。
此命令若执行成功,URL所指向的内容会打印在屏幕上。一般以简短的HTML页面为佳,太大的资源会很慢。命令举例:
curl --socks4 localhost:1080 www.baidu
如果未安装curl,需先安装:
apt-get install curl
若未到curl包,需先更新apt-get:
apt-get update
二、在服务器端用DeleGate实现二级HTTP代理
接下来要将SOCKS代理转换为HTTP代理,使用的软件是DeleGate。这是一个开源软件,但目前并不被apt-get、rpm和yum支持,因此必须先下载编译。
2.1.如果没有g++需要先安装g++,命令:
apt-get install g++
 
2.2. 下载和解压DeleGate(/),命令:
cd ~
wget ftp:///pub/DeleGate/delegate9.9.
tar -xzf delegate9.9.
wget:下载源码包到/home目录下,当然其它具有运行程序权限的目录亦可;
tar -xzf:/home/delegate9.9.13子目录并解压缩到此目录中。
注意,如果DeleGate发布了新版本,上面给出的下载链接和目录名可能不同,请关注DeleGate。
2.3. 编译DeleGate,命令:
cd ~/delegate9.9.13
make
make命令必须在DeleGate解压后的目录中执行。如果未安装make,需先安装:
apt-get install make
make执行的过程较慢,其间会提示输入,任意输入,然后按Y即可。
 
2.4. 启动DeleGate,命令格式:
src/delegated -P<HPORT> SERVER=http SOCKS=localhost:<SPORT>
HPORT:指定S机上HTTP代理服务进行侦听的端口;
SPORT:S机上SOCKS代理服务进行侦听的端口,在1.3步指定。
命令举例:
delegated -P8118 SERVER=http SOCKS=localhost:1080
 
2.5. 用curl命令测试连接,命令格式:
curl -x localhost:<HPORT> <URL>
HPORT:S机上HTTP代理服务进行侦听的端口,在2.4步指定。
URL:任意网址,可指定内网资源。
命令举例:
curl -x localhost:8118 www.baidu
三、在服务器端建立端口转发
现在S机上已经有本地的HTTP代理了,接下来要将
3.1 如有必要,先清除已有nat规则,命令:
iptables -t nat -F
iptables是一个非常强大的防火墙/路由程序,用法也比较复杂,具体可参考相关文档,此处不做赘述。
3.2 建立http协议的端口转发,命令格式:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports <HPORT>
HPORT:S机上HTTP代理服务进行侦听的端口,在2.4步指定。
命令执行后,由S机发出的HTTP请求(80端口)都将被转发到HPORT端口上。
命令举例:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8118
 
3.3. 用curl命令测试连接,命令格式:
curl <URL>
URL:任意网址,可指定内网资源。
命令举例:
curl www.baidu
四、在外网机通过SSH隧道连接到外网服务器
1. 在B机安装Bitvise SSH客户端软件
 
2. 配置Bitvise SSH客户端的Login页
Host:S机的服务器IP;Port:SSH服务端口;Username:登录用户名;Initial method:password;Password:登录密码。
 
3. 配置Bitvise SSH客户端的Services页
SOCKS/HTTP Proxy Forwarding:Enabled;Listen interface:127.0.0.1;Listen port:1080。
 
4. 在B机安装Privoxy。
下载地址:sourceforge/projects/ijbswa/files/
 
5. 配置Privoxy目录下的文件,并运行Privoxy:
listen-address  0.0.0.0:1984
forward-socks5  /  127.0.0.1:1080 .
 
6. B机上的任意程序,以localhost:1984为HTTP代理,即可通过A机访问内网资源。
备注
1. kill掉delegate进程即可终止S机上的HTTP代理服务,删除delegate的目录即可完全卸载DeleGate。
 
2. 执行如下命令可取消80端口数据包的转发:
iptables -t nat -F
 
3. 断开从A机到S机的连接,即可终止S机上的SOCKS代理服务。
 
4. 查看侦听指定端口的进程ID,命令格式:
fuser -un tcp <PORT>
5. B机上建议使用Firefox+AutoProxy进行访问。
AutoProxy下载地址:fxthunder/blog/archives/2866/

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。