最近使用sshuttle实现全局代理,顺便研究了一下实现的具体原理。
直接进入主题,先看一下启动的输出信息:
先绑定到本地的12300端口,将数据通过远端的ssh服务器进行路由转发。sshuttle和ssh的tunnle不同不是基于TCP-over-TCP的,而是叫data over tcp的,省去了一次包裹。然后建立端口映射,输出信息如下:
很明显是通过iptables的代理转发来实现的,具体步骤:
- 新建nat表的处理链sshuttle-12300
- 清空处理链
- 将OUTPUT数据路由给sshuttle-12300处理
- 添加sshuttle-12300的处理过程,目标是本机则返回,目标是远程主机的tcp转发REDIRECT到12300端口,目标是dns服务器的udp数据通过12300端口来转发
当然代理结束时就会将映射信息从iptables中删除:
sshuttle是使用python实现的,安装很方便几乎是直接portable的。当然如果条件限制可以先使用ssh tunnle然后通过iptables的转发来实现代理。其实不光是sshuttle,android的gae代理也是基于这个iptables来实现的。