简介:
在linux下有各种各样的代理程序可用,象最常用的Squid,是http/https代理,也能代理ftp请求,但它实际上 是个HTTP代理程序,不是ftp代理,但它能处理ftp代理请求,就象浏览器处理ftp请求一样的方法工作,有些 程序只能设置成使用socks代理,象CuteFTP;还有象Wu-FTP只能设置成使用ftp代理(这里的ftp代理是标准的 ftp代理,不是Squid所支持的那种方式);ICQ 2000能同时接受https代理和Socks代理;NetVampire能接受标准 的HTTP(GET/POST)代理(被Squid支持),和HTTP(CONNECT)代理(也被Squid支持)。
为了使用Cute-FTP,除了IP伪装的方法外,就要使用Socks代理,现在让我们来看看配置Socks5的过程:
1. 下载文件
从www.socks.nec.com下载最新版的socks5源文件到/tmp目录下。
socks5-v1.0r11.tgz
2. 在防火墙上编译并安装(该防火墙应直接连至internet,是安装了两块网卡的双宿主机,假设内部网段为 192.168.0.0/24)
cd /tmp
tar -xvfz socks5-v1.0r11.tgz
cd /tmp/socks5-v1.0r11
./configure --with-threads
make
make install
3. 配置文件
/etc/socks5.conf
# /etc/socks5.conf
set SOCKS5_MAXCHILD 3
set SOCKS5_NOIDENT
set SOCKS5_TIMEOUT 5
interface 192.168.0. - eth1
auth 192.168.0. - u
permit u - 192.168.0. - - - jephe
permit u - 192.168.0. - - - jack
deny - - - - - - -
4. 配置文件/etc/socks5.passwd
# /etc/socks5.passwd
jephe password_of_jephe_is_here
jack password_of_jephe_is_here
5.开始测试
/usr/local/bin/socks5 -f -s
如果出现下面的信息表示测试成功。
18210: Socks5 starting at Mon Dec 14 18:23:45 1998 in normal mode
然后退出socks5,开始正式运行它在背景模式:
6. 正式运行
/usr/local/bin/socks5 -t -s 2> /var/log/socks5
7. 最后,加到/etc/rc.d/rc.local
echo "/usr/local/bin/socks5 -t -s 2> /var/log/socks5" >> /etc/rc.d/rc.local
END.
通过SOCKS5上OICQ隐藏真实IP
by Sinbad
Jun 4, 2001
http://sinbad.dhs.org
1. 为什么要隐藏IP
众所周知,现在有很多工具或者补丁都可以查到OICQ在线用户的IP地址,再结合追捕还能知
道该IP所在的地理位置、主机信息等等。我们主要关心的是自己真实IP地址一旦暴露,他人
就可以利用系统的漏洞,来攻击我们的机器。
1.1 公司专线
公司里面的专线用户,本机一般都是用的内部IP地址,以192.168开头,通过网关/代理服务
器上网。这种情况下,阻止外部攻击的任务就交给网关了,个人机器相对比较安全。
1.2 家庭拨号
家庭用户一旦通过PPP接入Internet,登上OICQ,如果本机设置的不够安全,就很容易受到恶
意用户的攻击。如果能够隐藏真实IP,就可以在上OICQ的同时,保证本机的安全。
2. 如何隐藏IP
本文所讲的办法是通过socks5代理来隐藏IP地址。socks5支持UDP协议的proxy,这点正是OI
CQ所需要的(目前最新版本的OICQ支持HTTP代理,好像仅对付费员开放)。关于socks5协议
与应用层代理、NAT的区别,请参考其他文章,本文主要给出实践的内容。
2.1 安装socks5
我们用一台Red Hat linux机器来作为socks5 server,它具有Internet IP,为A.B.C.D。
下载:
http://matrix.tesi.dsi.unimi.it/pub/securitytools/socks5-v1.0r11.tar.gz
解压后进入目录:
./configure --with-threads
make
make install
启动和停止的命令:
/usr/local/bin/socks5
/usr/local/bin/stopsocks
如果要开机启动,请修改/etc/rc.d/rc.local。
2.2 配置socks5
策略:
* 允许Internet上任何机器的访问
* 通过user/password来验证
# vi /etc/socks5.conf
auth - - u
permit u - - - - - sinbad
interface - - A.B.C.D
第一行auth,u表示采用/user/password方式认证;
第二行permit,表示允许sinbad用户使用本代理;
第三行interface,A.B.C.D是服务器的外部IP,用实际的取代之。
# vi /etc/socks5.passwd
sinbad sinbad
这是密码文件,每行一个用户,用户名和密码用空格隔开。
本例中用户sinbad的密码是sinbad。
关于各个配置项的解释请man socks5.conf。
2.3 客户端配置
客户端是你安装了OICQ的机器,要能够直接访问到socks5服务器。
启动OICQ,主菜单-〉系统参数-〉网络设置,选中“使用PROXY SOCKET5防火墙”,输入服务
器的IP(A.B.C.D)、端口(默认1080端口)、用户名(sinbad)和密码(sinbad),测试成
功后重新启动OICQ,请别人帮你看一下,IP应该为为A.B.C.D,这样就达到隐藏自己真实IP的
目的了!
3. 安全问题
假设我们的服务器以前做过安全配置、打过补丁,是比较安全的。现在增加了一个socks5 p
roxy服务,就要注意了。
3.1 采用最新的版本
本文中提到的是v1.0r11版本,我也不确定是否为最新,在http://www.socks.nec.com上没找
到最新的版本号。有个远程溢出exploit(http://www.securiteam.com/exploits/6Q00R0A0
AQ.html),对此版本不起作用。而且我们配置的user/password方式认证,这个exploit在不
知道用户名和密码的情况下是无法成功的。
3.2 制定访问控制策略
如果只有很少人使用这个代理,那么可以加上IP限制。比如我在家通过95963上网,就修改/
etc/socks5.conf中的permit行,加上211.100.这个网段的访问权。
4. 参考资料
http://www.socks.nec.com/
http://www.securiteam.com/exploits/6Q00R0A0AQ.html
http://www.linuxaid.com.cn/engineer/bye2000/doc/socks.htm