[问题求助]如何让iptables 支持 SOCKS5 [复制链接]

我开了IPTABLES的1080端口,但是发现SOCKS5.的UDP端口是随时变换的,.我如何才能让IPTABLES支持SOCKS5?外贸

大家帮帮忙,我问的问题都没找到答案

那就都打开了。。。。。

都打开就不用防火墙了!我有了点想法:在socks5.conf 里用
set SOCKS5_UDPPORTRANGE 8000-8010
指定UDP端口,然后在IPTABLES中让这些端口可以自由出入
iptables -I OUTPUT -p udp --sport 8000:8010 -j ACCEPT
iptables -I INPUT -p udp --sport 8000:8010 -j ACCEPT
但测试不成功啊!

怎么这么乱啊。。你用的socks5做反相代理？代理的是什么服务啊？

还有，能用socks5的都应该是tcp协议的吧，怎么会是udp？

还有，你的set SOCKS5_UDPPORTRANGE 8000-8010 是那里来得？我记得应该是：permit auth cmd src-host dest-host src-port dest-port [user-list]
这种格式吧。。。

老大!我用socks5-v1.0r11.tar.gz做的SOCKS代理(用公网IP),而且这台机器有IPTABLES,我自己(另一个公网IP)测试把tcp 的1080开了,用QQ测试我的SOCKS机器,没有问题,说代理服务器正常,但就是登陆不了,我看了一下,机器上多了很多UDP端口(我认为正常,因为SOCKS5相比SOCKS4而言多了UDP支持),但每次UDP端口都不一样,所以就有了我如上的在IPTABLES下用SOCKS5的解决方法,但测试不成功,但关了防火墙就没有问题!

如果你的iptable中设置了某个范围的端口是打开的，就可以设置socks来实现的。
例如：关于ftp的socks5代理规则
permit u - - 公网ip [1025,65534] 21  用户名
permit u - - 共网ip  [1025,65534] [1025,65534] 用户名

估计是我没搞明白,我的机器开了SOCKS服务和IPTABLES防火墙.让其他人(在其他网段)可以通过我的机器上的SOCKS服务去别的他原来去不了的地方,这样呢,我就开了1080端口做SOCKS服务端口,然后用
iptables -I INPUT -p tcp --dport 1080 -j ACCEPT
来允许大家访问我的1080端口
但后来测试的结果是其他机器上的QQ并不能通过我的SOCKS服务来连上,虽然测试的时候QQ认为代理服务器工作正常(估计是我开了1080的缘故)
我在SOCKS服务器上找原因时发现QQ连的时候,SOCKS5同时开了许多的UDP端口,但这些UDP端口IPTABLES是禁止进出的,所以其他机器的QQ连不上,找到原因后我就开是琢磨怎么办,搜索引擎都找了,有人碰到和我同样的问题但都没有解决方法,难道在IPTABLES下单机真的无法开SOCKS服务吗?

我顶一下！！

应该是你的理解socks5有错误。

我的理解是这样的，你用1080做响应的端口，这个没有错误。但是socks5的原理是1080做相应端口，在用户和socks5的1080的端口的相应服务认证通过后，socks5要随机的（或者你制定的端口范围内）建立一条数据或者服务连接，来和客户端的一个大于1024的没有占用的端口连接，来真正的跑服务！

这个就象你的ftp服务一样，21是ftp的server响应端口，如果用port的模式，20才是真正的传输数据的模式。如果你的ftp是pasv的模式，就是ftp serve通过21端口认证你的合法性后，随机的建立一个大于1024的端口和客户端大于1024的未占用的端口建立数据连接，来传输真正的数据。

你只开一个1080端口，是没有任何意义的！因为这仅仅是服务响应端口，而不是真正的数据端口！

我刚才不是给你了一个关于ftp的例子吗？
permit u - - 公网ip [1025,65534] 21 用户名
permit u - - 共网ip [1025,65534] [1025,65534] 用户名
这个的意思就是：
允许任何地址的1025-655534端口到某个共网ip的21端口访问
允许任何地址的1025-655534端口到某个共网ip的1025-655534端口访问。

这个应该能看懂吧。。

我想我说的应该是对的。不信你可以找个ftp软件，例如cute-ftp工具，找个ftp站点，你down点数据下来看看。一般的ftp都有连接时候建立的各种提示，看看数据真正的从那个端口来传输！