GOPROXY 使用文档

http  
-t tcp  
-p :33080  
--forever

http://username:password@host:port  
http://host:port  
https://username:password@host:port  
https://host:port  
socks5://username:password@host:port  
socks5://host:port  
socks5s://username:password@host:port  
socks5s://host:port  
ss://method:password@host:port

**.baidu.com  
*.taobao.com  
a.com  
192.168.1.1  
192.168.*.*  
?.qq.com

192.168.1.1  
192.168.*.*  
192.168.1?.*

-p ":8081"  监听8081
  -p ":8081,:8082"  监听8081和8082
  -p ":8081,:8082,:9000-9999" 监听8081和8082以及9000,9001至9999，共1002个端口

注意: 后面二级代理使用的proxy.crt和proxy.key应与一级代理一致

• IP是2.2.2.2， ssh端口是22， ssh用户名是:user， ssh用户密码是:demo

• 用户user的ssh私钥名称是user.key

#上级proxy服务端服务器IP地址:  
proxy_server_ip=2.2.2.2  

#路由器运行proxy监听的端口:  
proxy_local_port=33080  

#下面的就不用修改了  
#create a new chain named PROXY  
iptables -t nat -N PROXY  

# Ignore your PROXY server's addresses  
# It's very IMPORTANT， just be careful。  

iptables -t nat -A PROXY -d $proxy_server_ip -j RETURN  

# Ignore LANs IP address  
iptables -t nat -A PROXY -d 0.0.0.0/8 -j RETURN  
iptables -t nat -A PROXY -d 10.0.0.0/8 -j RETURN  
iptables -t nat -A PROXY -d 127.0.0.0/8 -j RETURN  
iptables -t nat -A PROXY -d 169.254.0.0/16 -j RETURN  
iptables -t nat -A PROXY -d 172.16.0.0/12 -j RETURN  
iptables -t nat -A PROXY -d 192.168.0.0/16 -j RETURN  
iptables -t nat -A PROXY -d 224.0.0.0/4 -j RETURN  
iptables -t nat -A PROXY -d 240.0.0.0/4 -j RETURN  

# Anything to port 80 443 should be redirected to PROXY's local port  
iptables -t nat -A PROXY -p tcp --dport 80 -j REDIRECT --to-ports $proxy_local_port  
iptables -t nat -A PROXY -p tcp --dport 443 -j REDIRECT --to-ports $proxy_local_port  

# Apply the rules to nat client  
iptables -t nat -A PREROUTING -p tcp -j PROXY  
# Apply the rules to localhost  
iptables -t nat -A OUTPUT -p tcp -j PROXY

• 清空整个链 iptables -F 链名比如iptables -t nat -F PROXY

• 删除指定的用户自定义链 iptables -X 链名 比如 iptables -t nat -X PROXY

• 从所选链中删除规则 iptables -D 链名 规则详情 比如 iptables -t nat -D PROXY -d 223.223.192.0/255.255.240.0 -j RETURN

-p ":8081"  监听8081
  -p ":8081,:8082"  监听8081和8082
  -p ":8081,:8082,:9000-9999" 监听8081和8082以及9000,9001至9999，共1002个端口

-p ":8081"  监听8081
  -p ":8081,:8082"  监听8081和8082
  -p ":8081,:8082,:9000-9999" 监听8081和8082以及9000,9001至9999，共1002个端口

1. 多链接版本，对应的子命令是tserver，tclient，tbridge。

2. 多路复用版本，对应的子命令是server，client，bridge。

3. 多链接版本和多路复用版本的参数和使用方式完全一样。

4. 多路复用版本的server，client可以开启压缩传输，参数是--c。

5. server，client要么都开启压缩，要么都不开启，不能只开一个。

• 公司机器A提供了web服务80端口

• 有VPS一个，公网IP:22.22.22.22

1. 在vps上执行proxy bridge -p ":33080" -C proxy.crt -K proxy.keyproxy server -r ":28080@:80" -P "127.0.0.1:33080" -C proxy.crt -K proxy.key

2. 在公司机器A上面执行proxy client -P "22.22.22.22:33080" -C proxy.crt -K proxy.key

3. 完成

• 自己的笔记本提供了nginx服务80端口

• 有VPS一个，公网IP:22.22.22.22

1. 在vps上执行，确保vps的80端口没被其它程序占用。proxy bridge -p ":33080" -C proxy.crt -K proxy.keyproxy server -r ":80@:80" -P "22.22.22.22:33080" -C proxy.crt -K proxy.key

2. 在自己笔记本上面执行proxy client -P "22.22.22.22:33080" -C proxy.crt -K proxy.key

3. 完成

• 公司机器A提供了DNS解析服务，UDP:53端口

• 有VPS一个，公网IP:22.22.22.22

1. 在vps上执行proxy bridge -p ":33080" -C proxy.crt -K proxy.keyproxy server --udp -r ":53@:53" -P "127.0.0.1:33080" -C proxy.crt -K proxy.key

2. 在公司机器A上面执行proxy client -P "22.22.22.22:33080" -C proxy.crt -K proxy.key

3. 完成

• 公司机器A提供了web服务80端口

• 有VPS一个，公网IP:22.22.22.22

1. 在vps上执行proxy bridge -p ":33080" -C proxy.crt -K proxy.key

2. 在公司机器A上面执行proxy client -P "22.22.22.22:33080" -C proxy.crt -K proxy.key

3. 在家里电脑上执行proxy server -r ":28080@:80" -P "22.22.22.22:33080" -C proxy.crt -K proxy.key

4. 完成

• 公司机器A提供了web服务80端口，ftp服务21端口

• 有VPS一个，公网IP:22.22.22.22

1. 在vps上执行proxy bridge -p ":33080" -C proxy.crt -K proxy.keyproxy server -r ":28080@:80" -r ":29090@:21" --k test -P "127.0.0.1:33080" -C proxy.crt -K proxy.key

2. 在公司机器A上面执行proxy client --k test -P "22.22.22.22:33080" -C proxy.crt -K proxy.key

3. 完成

-p ":8081"  监听8081
  -p ":8081,:8082"  监听8081和8082
  -p ":8081,:8082,:9000-9999" 监听8081和8082以及9000,9001至9999，共1002个端口

• IP是2.2.2.2， ssh端口是22， ssh用户名是:user， ssh用户密码是:demo

• 用户user的ssh私钥名称是user.key

-p ":8081"  监听8081
  -p ":8081,:8082"  监听8081和8082
  -p ":8081,:8082,:9000-9999" 监听8081和8082以及9000,9001至9999，共1002个端口

http  等价于 -S http -T tcp  
https  等价于 -S http -T tls --parent-tls-single ， 也就是http(s)代理 over TLS  
https2 等价于 -S http -T tls  
socks5  等价于 -S socks -T tcp  
socks5s 等价于 -S socks -T tls --parent-tls-single ， 也就是socks over TLS  
socks5s2 等价于 -S socks -T tls  
ss     等价于 -S ss -T tcp  
httpws    等价于  -S http -T ws  
httpwss   等价于  -S http -T wss  
socks5ws  等价于  -S socks -T ws  
socks5wss 等价于  -S socks -T wss

# example  
www.a.com:80     10.0.0.2:8080  
**.b.com:80      10.0.0.2:80  
192.168.0.11:80  10.0.0.2:8080

#上级proxy服务端服务器IP地址:  
proxy_server_ip=1.1.1.1

#路由器运行proxy监听的端口:  
proxy_local_port=33080  

#下面的就不用修改了  
#create a new chain named PROXY  
iptables -t nat -N PROXY  

# Ignore your PROXY server's addresses  
# It's very IMPORTANT， just be careful。  

iptables -t nat -A PROXY -d $proxy_server_ip -j RETURN  

# Ignore LANs IP address  
iptables -t nat -A PROXY -d 0.0.0.0/8 -j RETURN  
iptables -t nat -A PROXY -d 10.0.0.0/8 -j RETURN  
iptables -t nat -A PROXY -d 127.0.0.0/8 -j RETURN  
iptables -t nat -A PROXY -d 169.254.0.0/16 -j RETURN  
iptables -t nat -A PROXY -d 172.16.0.0/12 -j RETURN  
iptables -t nat -A PROXY -d 192.168.0.0/16 -j RETURN  
iptables -t nat -A PROXY -d 224.0.0.0/4 -j RETURN  
iptables -t nat -A PROXY -d 240.0.0.0/4 -j RETURN  

# Anything to port 80 443 should be redirected to PROXY's local port  
iptables -t nat -A PROXY -p tcp  -j REDIRECT --to-ports $proxy_local_port
# Apply the rules to nat client  
iptables -t nat -A PREROUTING -p tcp -j PROXY  
# Apply the rules to localhost  
iptables -t nat -A OUTPUT -p tcp -j PROXY

• 清空整个链 iptables -F 链名比如iptables -t nat -F PROXY

• 删除指定的用户自定义链 iptables -X 链名 比如 iptables -t nat -X PROXY

• 从所选链中删除规则 iptables -D 链名 规则详情 比如 iptables -t nat -D PROXY -d 223.223.192.0/255.255.240.0 -j RETURN

--kcp-key="secrect"        pre-shared secret between client and server  
--kcp-method="aes"         encrypt/decrypt method， can be: aes， aes-128， aes-192， salsa20， blowfish，  
twofish， cast5， 3des， tea， xtea， xor， sm4， none  
--kcp-mode="fast"       profiles: fast3， fast2， fast， normal， manual  
--kcp-mtu=1350             set maximum transmission unit for UDP packets  
--kcp-sndwnd=1024          set send window size(num of packets)  
--kcp-rcvwnd=1024          set receive window size(num of packets)  
--kcp-ds=10                set reed-solomon erasure coding - datashard  
--kcp-ps=3                 set reed-solomon erasure coding - parityshard  
--kcp-dscp=0               set DSCP(6bit)  
--kcp-nocomp               disable compression  
--kcp-acknodelay           be carefull! flush ack immediately when a packet is received  
--kcp-nodelay=0            be carefull!  
--kcp-interval=50          be carefull!  
--kcp-resend=0             be carefull!  
--kcp-nc=0                 be carefull! no congestion  
--kcp-sockbuf=4194304      be carefull!  
--kcp-keepalive=10         be carefull!

• 用户维度，控制单个连接速率，控制最大连接数。

• IP维度，控制单个连接速率，控制最大连接数。

• 动态上级，可以根据用户或者客户端IP，动态的从API获取其上级，支持http(s)/socks5/ss上级。

• 认证每一个连接，无论是否要求客户端认证。

• 缓存认证结果，时间可以设置，减轻API压力。

<?php  
$proxy_ip=$_GET['local_addr'];  
$user_ip=$_GET['client_addr'];  
$service=$_GET['service'];  
$is_sps=$_GET['sps']=='1';  
$user=$_GET['user'];  
$pass=$_GET['pass'];  
$target=$_GET['target'];  
//业务逻辑判断  
//....  

//设置认证结果  
header("userconns:1000");  
header("ipconns:2000");  
header("userrate:3000");  
header("iprate:8000");  
header("UPSTREAM:http://127.0.0.1:3500?parent-type=tcp");  
header("HTTP/1.1 204 No Content");

1. parent-type : 上级底层传输类型，支持 tcp,tls,ws,wss。

2. parent-ws-method : 上级底层ws传输类型的加密方法，支持的值和命令行支持的值范围一样。

3. parent-ws-password : 上级底层ws传输类型的加密密码，数字字母组成的密码。

4. parent-tls-single : 上级底层tls传输类型是否是单向tls，可以是：true | false。

5. timeout : 建立tcp连接的超时时间，数字，单位毫秒。

6. ca : 上级底层tls传输类型的ca证书文件经过base64编码后的字符串。

7. cert : 上级底层tls传输类型的证书文件经过base64编码后的字符串。

8. key : 上级底层tls传输类型的证书密钥文件经过base64编码后的字符串。