在mac机器上。
git clone https://github.com/regret1537/dnsforwarder dnsforwarder-by-regret1537
cd dnsforwarder-by-regret1537
./configure
make
(会在当前目录下，生成可执行文件dnsforwarder）
nano default-en.config
其内容如下：
LogOn false
LogFileThresholdLength 102400
LogFileFolder
LocalInterface 127.0.0.1
LocalPort 53
OpenLocalTCP true
PrimaryServer TCP
TCPServer 8.8.4.4,8.8.8.8
TCPProxy 127.0.0.1:1080
UDPServer 208.67.220.220
UDPFilter true
UDPBlock_IP 243.185.187.39,46.82.174.68,37.61.54.158,93.46.8.89,59.24.3.173,203.98.7.65,8.7.198.45,78.16.49.15,159.106.121.75
IPSubstituting
ExcludedDomain
ExcludedList
AlwaysTCP
Hosts
HostsUpdateInterval 18000
HostsDownloadPath
HostsScript
HostsRetryInterval 30
AppendHosts
DisableIpv6WhenIpv4Exists false
UseCache false
CacheSize 1048576
MemoryCache true
CacheFile
IgnoreTTL false
OverrideTTL -1
MultipleTTL 1
ReloadCache false
OverwriteCache false
DisabledType
DisabledDomain
DisabledList
RefusingResponseCode 0
DomainStatistic false
DomainStatisticTempletFile
StatisticUpdateInterval 29

然后运行：
sudo ./dnsforwarder -f default-en.config
不要关闭此terminal窗口。

看见配置文件里面的TCPProxy 127.0.0.1:1080了吗？这个dnsforwarder-by-regret1537其实是修改自https://github.com/holmium/dnsforwarder ，但是https://github.com/holmium/dnsforwarder/blob/6/default.config和https://github.com/holmium/dnsforwarder/blob/6/default.en.config里面均没有TCPProxy这一项。但是https://github.com/regret1537/dnsforwarder/blob/5/default.config里面有TCPProxy这一项。所以我们可以替dnsforwarder-by-regret1537套一层socks proxy，比如ss.

实际使用例子：
sudo wg-quick up wg0 

sudo networksetup -setdnsservers "Wi-Fi" 127.0.0.1
cd ~/dnsforwarder-by-regret1537 && sudo ./dnsforwarder -f default-en.config

项目地址：https://github.com/regret1537/dnsforwarder

此文https://briteming.blogspot.com/2019/07/dns-querysocks.html又要添上一员了。

ps.其实https://github.com/holmium/dnsforwarder/blob/5/default.config里面有TCPProxy这一项，所以https://github.com/holmium/dnsforwarder的v5版也是支持TCPProxy这一项的。

Docker + DigitalOcean + Shadowsocks 5分钟科学上网

    Shadowsocks for OSX: https://github.com/shadowsocks/shadowsocks-iOS/wiki/Shadowsocks-for-OSX-%E5%B8%AE%E5%8A%A9
    Shadowsocks clients: https://shadowsocks.com/client.html
    choose docker 16.2 on 14.04
    add ssh keys
   
安装 Shadowsocks：
     docker pull oddrationale/docker-shadowsocks
    docker run -d -p 1984:1984 oddrationale/docker-shadowsocks -s 0.0.0.0 -p 1984 -k paaassswwword -m aes-256-cfb

    paaassswwword 就是等下配置客户端需要的密码
    check

    docker ps

    客户端配置： ip, port, password, and aes-256-cfb

Shadowsocks的小白使用教程

    http://51.ruyo.net/p/412.html
    http://t.cn/Ry42Kbx

chrome浏览器配合代理扩展的设置，下拉记事本滑块到底，看附3 首先明确一点，不管 Shadowsocks 有几种版本，都分为服务端和客户端，服务端是部署在服务器（VPS）上的，客户端是在你的电脑上使用的。简单说一下windows系统，你有shadowsocks节点的情况下，Shadowsocks客户端的设置代理使用教程一定要有有效SS节点才行 一定要有有效SS节点才行网或群共享下载Windows系统的Shadowsocks客户端软件为绿色免安装，下载 解压到任意目录，如： D:/Program Files/shadowsocksshadowsocks的账号(本地客户端配置参数)一般包括这么几个部分

4-1 ：服务器 IP （一般为域名或数字ip）

4-2： Port ：服务器端口 （不同的账号的端口也都是不同的）

4-3 ：Password：你的密码

4-4 ：加密模式：鼠标点击下拉小三角选取

依次手动输入以下3项 shadowsocks 服务器域名或IP服务器端口密码并选择ss服务商提供的节点对应的加密方式点击“确定”右下角的 代理端口 指的是本地监听端口，一般保持默认1080就可以，不用你填。现在的ss站都提供二维码形式的ss节点配置参数文件对于二维码形式的ss节点配置文件，也可以用客户端自带的二维码扫描功能快速添加右键>任务栏>ss客户端图标>服务器>扫描屏幕二维码客户端支持添加多线路节点，方便你切换，选择相对你网络环境质量较好，速度快的节点。 shadowsocks节点速度快慢，影响shadowsocks节点速度的因素：你的机房（地理位置，影响节点路由），运营商（网络封锁程度、丢包率、延迟），时间段（高峰期），运营商QoS限速，你的本地物理宽带等等。总结起来就是一句话：无法预测。一般免费或付费shadowsocks站都会提供多个不同vps的节点供你选择切换。

    桌面右下角 任务栏 右键ss图标 选择 启用系统代理。系统代理模式 根据自己需要选择pac或全局代理 ，一般建议pac
    打开IE浏览器，访问https://www.youtube.com/

其他浏览器的shadowsocks代理设置参考上面的教程链接或下面的说明网上找了几个客户端的使用教程 供参考

    http://www.awolau.com/shadowsocks/shadowsocks-win7-xp.html
    http://cnwall.tk/useage-muti-plat-shadowsocks/
    https://cnlic.com/?paged=2

如果使用Shadowsocks，请清除或还原以前修改过的hosts文件，也请务必关闭其他占用1080等端口的代理、翻墙软件
付费的shadowsocks节点

提供商鱼龙混杂，没个统一的流量和收费标准确需购买，建议多比较几家的节点和流量能提供试用当然最好，有月付，季付尽量不要选择年付。现在基本所有的shadowsocks站都提供收费服务以下链接是一部分提供收费服务的shadowsocks商家非广告，非推广，来源网络，仅供参考

shadowsocks各种版本及教程:

    www.wegotofqss.info
    www.wegotofqss.info
    https://www.fyzhuji.com/shadow.html
    https://www.start-ss.biz/
    https://www.deepss.org/index.php
    http://my.ssjsq.net/
    http://playss.co/
    http://www.qiushiss.com/cart.php
    https://www.bluecloud.pw/
    http://www.hishadowsocks.com/
    https://my.ssh91.net/
    http://www.pgfastss.org/order.php
    http://my.ssh91.net/cart.php
    http://www.pgfastss.com/index.php
    http://blog.onlybird.com/%E6%94%B6%E8%B4%B9ssh%E4%BB%A3%E7%90%86
    http://itti.xyz/
    https://www.ezlink.hk/order
    https://vnet.link/ 微林（中转）

*注意*：Shadowsocks.com不是shadowsocks官网，就是一个纯提供商业服务的网站，所售服务和其他shadowsocks商业站一样。

公开的shadowsocks线路极易遭到恶意流量消耗和DDoS攻击或恶意破解ssh 现在明码公开的免费线路，网上论坛和v2ex 还有G+ twitter几乎已经没有了，你可以试着自己搜一下 http://t.cn/RLTGXfn%E6%88%96http://t.cn/RLTGoxm
获取shadowsocks节点的几种方式

    抢码获取免费流量 免费或免费+收费的shadowsocks站，现在注册码都由站长或管理员严格控制发放了。肉少狼多，现在抢码有难度
    自己买vps搭建。 安全，流量独享。缺点;节点单一，速度如何没保证，靠人品值。
    买现成的ss服务商提供的服务

缺点：一般都有流量限制。没有有效节点，想免费体验一把的只能自己想其他办法了。

    http://www.hishadowsocks.com/ 4小时更新一次密码
    http://www.ishadowsocks.com/ 6小时更新一次密码
    http://www.surperoneblog.com/shadowsocks.php 6小时更新一次密码
    http://sscat.cc/free/ 3小时更新一次密码
    http://kf0.cc/ 4小时更新一次密码
    https://www.ezlink.hk/free.php 密码每天0点更新
    http://freehide.co.uk/free-shadowsocks/
    https://namaho.com 半个月更换一次密码 不限速不限量不收费不负责
    http://www.htovpn.net/?View=FreeSS 3小时更新一次密码 需要注册
    http://sskuai.pw/
    https://plus.google.com/communities/104092405342699579599 shadowsocks免费帐号
    https://plus.google.com/communities/109962494203239446911
    https://plus.google.com/+GhostAssassin/posts/NrDZWoXVjSD 免费shadowsocks大集合
    http://www.fyhqy.com/356/
    http://yyf.sg/code 免费shadowsocks邀请码集合站
    QQ搜群 shadowsocks 有的shadowsocks qq群有免费ss线路或内部放邀请码
    以上链接或链接中的免费shadowsocks随时可能失效，这个就没啥好解释的了。有问题，自己随时google解决。
    1个shadowsocks讨论圈 https://plus.google.com/s/shadowsocks

提醒一下如非确实必要，尽量不要用shadowsocks全局可以通过软件自带pac或浏览器安装代理管理扩展，实现智能分流如何修改shadowsocks pac文件http://www.awolau.com/shadowsocks/start-pac.html

实现科学上网时，启用系统代理后，Shadowsocks客户端会自动配置一个IE代理，使用本地127.0.0.1:1080，默认会选择PAC模式。关于PAC，大家可以参考维基百科。选择PAC模式后，系统会根据PAC配置文件pac.txt(与Shadowsocks.exe同级目录)，当你的浏览器访问这个配置文件里面配置的URL时，会使用代理，否则则不会使用代理。这样既节省ss流量，也会提高国内网站的访问速度，这个很不错。最后，如果大家发现有什么网站被Qiang了，可以在pac.txt这个文件里面添加这个网站URL，即可通过ss的代理来访问了。同时，最好也定期从GFWList更新PAC。
如何制作便携版shadowsocks

下载2.5.6版（clowwindy）shadowsocks（只有高于这版的才支持制作便携版）在 shadowsocks.exe 所在目录创建一个 shadowsocksportablemode.txt 文件退出程序，重启程序https://github.com/shadowsocks/shadowsocks-windows/releases

源码下架，可以自行寻找注：SSR版貌似不支持此项功能
shadowsocks俗称 纸飞机

ShadowSocks是Clowwindy开发的，一个轻量级的几乎跨平台的开源翻墙应用。 Shadowsocks 是一个安全的socks5代理，由于服务端与终端都简便易用，目前配合VPS主机后十分稳定，已慢慢取代GAE等成为主流代理工具。
Shadowsocks功能特性：

    高性能：基于异步 I/O，事件驱动的程序实现；专为大并发、大流量的应用场景优化；无需保持连接状态，适用于移动设备及无线网络。
    低资源占用：完全以原生代码实现，后台服务内存占用不超过10MB。
    跨平台：可以在PC、MAC、智能手机（iPhone与Android）、甚至路由器（OpenWRT）中运行。
    安全：支持多种加密方案及多种加密强度，提供系统级别的网络数据加密。
    开源：由社区维护的开源项目，包括GPL及MIT两种协议的多种实现。

有必要先说明一下，用shadowsocks科学上网不是"免费"的。 shadowsocks软件是免费的,但必须要有架设好的服务器线路才能实现无障碍的“科学上网”。架设shadowsocks需要自己购买vps，在服务器端搭建，或买别人搭建好出售流量的线路。网上有免费分享的shadowsocks线路，这种是可以免费使用的。

shadowsocks官方信息

    http://shadowsocks.org/en/download/clients.html

shadowsocks官网

    http://shadowsocks.org/en/index.html

shadowsocks作者

    https://www.v2ex.com/member/clowwindy

shadowsocks官方 pac

    https://github.com/clowwindy/gfwlist2pac

shadowsocks官方的2种pac模式（无法更新了） fast mode pac

    https://raw.githubusercontent.com/clowwindy/gfwlist2pac/master/test/proxy.pac

precise mode pac

    https://raw.githubusercontent.com/clowwindy/gfwlist2pac/master/test/proxy_abp.pac 一个shadowsocks可用的可更新的pac
    https://raw.githubusercontent.com/KyonLi/ss-pac/master/ss.pac

shadowsocks客户端官网下载页面

    http://shadowsocks.org/en/download/clients.html

Windows系统shadowsocks旧版及MAC电脑客户端shadowsocks官方下载页面

    http://sourceforge.net/projects/shadowsocksgui/files/dist/

github的下载链接(最新版)

    https://github.com/shadowsocks/shadowsocks-windows/releases

低于2.5.2的旧版Shadowsocks-win-x.x.x.zip和Shadowsocks-win-dotnet4.0-x.x.x.zip的区别 For >= Windows 8 or with .Net 4.0, download Shadowsocks-win-dotnet4.0-x.x.x.zip. For <= Windows 7 or with .Net 2.0, download Shadowsocks-win-x.x.x.zip.
注意：

NET 2.0不能在Windows10良好运行，从2.5.2这个版本开始，我们不再支持.NET 2.0。最低要求 .Net 4.0 现在Shadowsocks-win-2.5.2.zip和Shadowsocks-win-dotnet4.0-2.5.2.zip是完全相同的文件。如果您使用的是Windows XP或7，请安装.NET 4.0或更高版本。负载均衡：就是多个连接分摊到各个服务器 随机选择服务器高可用：按最低延迟+最稳定的标准（丢包率）自动选择一个服务器进行连接累计丢包率：通过定时 ping 来测速和选择。如果要使用本功能，请打开菜单里的统计可用性

    shadowsocks作者关于windows2.0客户端功能性的说明 http://www.chinagfw.org/2014/11/shadowsocks-for-windows-20.html
    http://vc2tea.com/whats-shadowsocks/ 写给非专业人士看的 Shadowsocks 简介
    https://blog.linuxeye.com/423.html Shadowsocks原理

安卓客户端-影梭的官网下载页面

    https://play.google.com/store/apps/details?id=com.github.shadowsocks
    https://github.com/shadowsocks/shadowsocks-android/releases

安卓未root，也可以使用shadowsocks

安卓版教程 http://51.ruyo.net/p/412.html 设置要点：路由-绕过局域网及中国大陆地址，全局代理-勾选“设置系统代理”。设置完成后，点击右上角的开关，即可开启Shadowsocks代理有特殊原因还在坚守fqrouter2的，可以添加自己的shadowsocks线路，添加后 fqrouter可满血复活
shadowsockR

    shadowsocks-rss版下载链接
    shadowsockR就是第三方shadowsocks编译版（群共享的神奇海螺版shadowsocks-SSR）
    shadowsockR官方链接：+ https://github.com/breakwa11/shadowsocks-rss
    ShadowsocksR 服务端安装教程
    https://github.com/breakwa11/shadowsocks-rss/wiki/Server-Setup
    https://plus.google.com/u/0/+MikotoMisakamm
    https://plus.google.com/u/0/118234153777431449917/posts 使用第三方shadowsocks编译版前，请务必仔细阅读shadowsockR主页的参数解释和说明

路由器端shadowsocks教程

    https://cokebar.info/
    https://php-rmcr7.rhcloud.com/openwrt-fq/
    http://hong.im/2014/03/16/configure-an-openwrt-based-router-to-use-shadowsocks-and-redirect-foreign-traffic/

具体哪些型号的路由器支持shadowsocks? 想自己动手的，淘宝搜 openWRT,QQ搜 群openWRT
iOS端 shadowsocks客户端教程

iOS使用shadowsocks的前提条件是必须越狱！越狱！越狱！

    http://www.pgssh.com/ios-shadowsocks.html

未越狱的话，ss客户端仅相当于一个内置浏览器，无法代理其他应用。直接在appstore搜索 Shadowsocks，下载地址：

    http://itunes.apple.com/us/app/shadowsocks/id665729974?ls=1&mt=8

iOS 越狱了的话，可以代理其他应用端。越狱的直接在 Cydia 里搜索 Shadowsocks ，然后安装。

    http://jas0n.me/2014/11/12/up_14_11_12/

未越狱的iOS端建议使用anyconnectvpn或最近的神器Surge

    http://www.cellsystech.com/docs/%E5%85%8D%E8%B4%B9%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%BF%A1%E6%81%AF%E5%8F%8A%E5%8D%8F%E8%AE%AE/

关于Surge 已经提交apple,在AppStore上架

    http://t.co/TF1WvOgq1c Surge AppStore 购买前说明。

购买直达链接：

    http://itunes.apple.com/cn/app/surge-web-developer-tool-proxy/id1040100637?ls=1&mt=8

Surge 新手使用指南

    http://medium.com/@scomper/surge-%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6-a1533c10e80b

如何配置surge在ios中使用shadowsocks科学上网

    http://ideafoc.us/2015/10/%E5%A6%82%E4%BD%95%E9%85%8D%E7%BD%AEsurge%E5%9C%A8ios%E4%B8%AD%E4%BD%BF%E7%94%A8shadowsocks%E7%A7%91%E5%AD%A6%E4%B8%8A%E7%BD%91/
    http://surge.run/
    http://gist.github.com/soffchen/05bc0f017a10486eb646
    http://twitter.com/Blankwonder
    http://plus.google.com/+LeoLiu/posts/GPvHQ7uj2iv
    http://www.pgyer.com/b7c37752060a55ceeae89159d6cedd52

Surge可以去twitter上找作者要测试版需要 OS X 10.10 / iOS 9.0 以上版本
shadowsocks客户端参数简单说明

"server"， 服务器名称 一般填写域名或ip
"server_port"， 服务端监听端口 填写ss提供者给你的服务器端口
"local_address"， 本地中转地址 通常为 127.0.0.1
"password"， 接入服务端密码
"method"， 加密方式 通常为 aes-256-cfb或rc4-md5
"local_port"， 本地监听端口， 默认为 1080 ，本地端口一般保持默认即可
"timeout"， 以秒为单位的连接超时时长

说明:ss://开头的地址是base64加密方式提供的shadowsocks线路，解密方法：复制ss:// 后面的字符串，解密后，就可以得到格式为method:password@IP:Port的服务器地址。一个base64解密网站 http://tool.chinaz.com/Tools/Base64.aspx?jdfwkey=cvvmy

注意：

    切记遵守vps所在国法律，勿做违法或法律禁止事宜。
    千万不要挂shadowsocks使用p2p BT下载。
    因为美国的vps需要遵从美国的DMCA版权法律，如果该vps被用于bt下载，
    使用的vps的ip就会被记录下来。VPS商家就会封号，vps就会被停止服务。
    如果不想失去这个翻墙手段，最好不要翻墙的时候用p2p。

自己部署shadowsocks服务器端的教程

以下为vps端自己部署shadowsocks服务器端的教程，不是自己部署的就略过大流量或重度用户建议自己搭建或购买适合自己流量,价位的shadowsocks服务对个人隐私和安全性比较重视的，就自己部署shadowsocks服务器端吧网上搭建和优化教程很多，自己动手搜一下。以下几个链接供参考官网教程

    https://github.com/shadowsocks/shadowsocks/wiki

网上搜集的一部分教程 打不开的链接挂代理访问

    http://vbird.dic.ksu.edu.tw/
    http://shadowsocks.blogspot.com/2015/01/shadowsocks.html
    http://www.dothinking.cn/ruan-jian-jing-pin-wu/shadowsocks-vps.html
    https://plus.google.com/103234343779069345365/posts/Xce4EJpLGhX
    http://shadowsocks.blogspot.com/2015/01/shadowsocks.html
    http://ju.outofmemory.cn/entry/114637
    http://www.abclite.org/602
    http://teddysun.com/399.html
    https://php-rmcr7.rhcloud.com/shadowsocks-server/
    http://www.fanyue.info/2015/02/shadowsocks.html 搬瓦工一键shadowsocks教程
    http://jannerchang.tumblr.com/post/114392917710/4-23
    http://www.cmsky.com/shadowsocks-manyuser-udp/ Shadowsocks-Manyuser开启UDP支持
    http://www.cmsky.com/serverspeeder-install/ 安装锐速为网络加速
    https://blog.linuxeye.com/423.html Shadowsocks一键安装脚本
    https://blog.linuxeye.com/426.html ShadowSocks多用户管理系统搭建（moeSS+manyuser）
    http://cnwall.tk/bandwagonhost-one-key-install-shadowsocks/
    http://www.tennfy.com/3334.html
    http://www.tennfy.com/2022.html
    http://capbone.com/shadowsocks/
    http://www.tennfy.com/2843.html
    http://www.tennfy.com/2148.html

iOS端搭建anyconnect教程

    https://plus.google.com/+McGhostGao/posts/Z4gJrZsiRyp
    http://lifehacker.io/post/108708838206/cisco-anyconnect-shadowsocks
    http://ifreedomlife.com/2015/04/20/Setup-Cisco-AnyConnect-VPN-on-CentOS7/
    http://jannerchang.tumblr.com/post/108814743720/centos7-strongswan-ios-vpn
    http://goo.gl/WRW8ns
    http://www.cmsky.com/anyconnect/

关于VPS（虚拟专用服务器）的基础知识

    http://cnwall.tk/about-vps/
    https://www.v2ex.com/go/vps
    http://cnwall.tk/about-vps-ssh-client/
    http://www.vpser.net/vps-howto
    http://since1989.org/digitalocean/vps-vpn-shadowsocks.html
    https://www.appfordev.com/68.html

几个vps测评网站（排名不分先后）：

    LEB: http://lowendbox.com/
    老左博客： http://www.laozuo.org/vps
    主机测评： http://www.zhujiceping.com/
    freehao123: http://www.freehao123.com/category/vps-zhuji/
    年付vps： http://www.yrvps.com/
    赵荣部落： http://www.zrblog.net/?
    VPS推荐网 http://vpsadd.com/
    主机博士 http://www.drpsafe.com/
    小夜博客 http://www.vpsmm.com/
    v2ex https://www.v2ex.com/go/vps

以后翻墙的方向，重点就是去中心化
fqrouter2作者:

为何有fqrouter？因为当年GFW还是一个入侵检测系统，不是一个防火墙。这就意味着可以利用很多入侵检测系统的漏洞来做无代理的翻墙，这是很有意思的事情。
为何关闭fqrouter？

因为今年GFW已经正式升级为一道防火墙了，google的成千上万个ip被封。这种行为相当于把部分国际互联网进行了物理层面的拔网线。今后的翻墙只有资源的比拼了，对于这种索然无味的事情我就不在这个上面浪费生命了。那我怎么翻墙？（文字作者）找渠道买shadowsocks帐号。这种零散的基于交易的行为是去中心化的，长期的，有生命力的。
shadowsocks 作者clowwindy:

从实际情况上来看，Shadowsocks 没有办法离开去中心化的服务器。要么自己花钱买 VPS，要么用有人分享的账号，要么用有人提供的付费服务，他们各有所长，适合不同的人。

    http://www.solidot.org/story?sid=45231

ShadowsocksBackup

    https://github.com/Long-live-shadowsocks
    https://github.com/ShadowsocksBackup

Shadowsocks Windows 官方使用说明
功能

    系统代理设置
    PAC 模式和全局模式
    GFWList 和用户规则
    支持 HTTP 代理
    支持多服务器切换
    支持 UDP 代理

下载

下载 最新版 https://github.com/shadowsocks/shadowsocks-windows/releases。

基本使用在任务栏找到 Shadowsocks 图标在 服务器 菜单添加多个服务器选择 启用系统代理 来启用系统代理。请禁用浏览器里的代理插件，或把它们设置为使用系统代理。除了设为系统代理，你也可以直接自己配置浏览器代理。在 SwitchyOmega 中把代理设置为 SOCKS5 或 HTTP 的 127.0.0.1:1080。这个 1080 端口可以在服务器设置中设置。
PAC

可以编辑 PAC 文件来修改 PAC 设置。Shadowsocks 会监听文件变化，修改后会自动生效。你也可以从 GFWList （由第三方维护）更新 PAC 文件。你也可以使用在线 PAC URL 服务器自动切换负载均衡：随机选择服务器高可用：根据延迟和丢包率自动选择服务器累计丢包率：通过定时 ping 来测速和选择。如果要使用本功能，请打开菜单里的统计可用性。也可以实现 IStrategy 接口来自定义切换规则，然后给我们发一个 pull request。
UDP

对于 UDP，请使用 SocksCap 或 ProxyCap 强制你想使用的程序走代理。
多实例

如果想使用其它工具如 SwitchyOmega 管理多个服务器，可以启动多个 Shadowsocks。 为了避免配置产生冲突，把 Shadowsocks 复制到一个新目录里，并给它设置一个新的本地端口。另外在 SwitchyOmega 中需要使用 SOCKS5 代理，因为 HTTP 代理还是只会启动一个。
服务器配置

请访问 服务器 https://github.com/shadowsocks/shadowsocks/wiki/Ports-and-Clients#linux--server-side 获取更多信息。
绿色模式

如果你想把所有临时文件放在 shadowsocks/temp 目录而不是系统的 temp 目录， 可以在shadowsocks 所在目录创建一个 shadowsocksportablemode.txt 文件。
开发

Visual Studio 2015 is required. 授权 GPLv3
附1 shadowsocks如何实现类VPN代理:

    Shadowsocks（Sock5代理）的PAC模式与全局模式与VPN的区别 http://t.cn/Ry4wJ6x
    使用Proxifier把shadowsocks代理转为全局代理(类VPN) http://t.cn/Ry42ih9
    Proxifier下载 Proxifier 3.28 吕达嵘汉化注册版（安装即为注册版） http://www.hanzify.org/software/13717.html
    Proxifier v3.28 破解版 Initex.Software.Proxifier.v3.28.Standard.Edition.Incl.Keymaker-ZWT http://www89.zippyshare.com/v/5iEwpCKM/file.htmlInitex.Software.Proxifier.v3.28.Portable.Edition.Incl.Keymaker-ZWT
    http://www12.zippyshare.com/v/BqNsbIiu/file.html
    本站系列教程： https://gochrome.info/tag/proxifier-series/

附2 shadowsocks如何代理本地游戏客户端或其他软件客户端：

shadowsocks如何代理本地游戏客户端或其他软件客户端

关于代理UDP（以TCP转发或UDP转发均可）官方shadowsocks和第三方客户端shadowsocksR最新版，都支持配合使用SocksCap64/SocksCap/ProxyCap等工具，把需要TCP和UDP代理的程序通过本版本程序转发。即不需要折腾OpenWrt或路由器即可在PC上获得UDP转发的能力，是游戏玩家的福音如果你是个人用户，可自行更新服务端或向你的ss站长提议更新后端。如果你是站长，可从https://github.com/breakwa11/shadowsocks/tree/manyuser 获取最新的多用户分支代码，与原版本兼容。

    需要第三方软件SocksCap64/SocksCap/ProxyCap
    需要有支持udp转发的shadowsocks节点
    SocksCap64教程（SocksCap/ProxyCap使用方法大同小异） http://www.cmsky.com/sockscap64-shadowsocks/
    SocksCap64免费 http://www.sockscap64.com/
    Sockscap 免费 http://www.socksproxychecker.com/sockscap.html
    Sockscap汉化版 http://www.hanzify.org/software/8898.html
    Proxycap http://www.proxycap.com/download.html

破解

    x86 http://www43.zippyshare.com/v/39892822/file.html
    x64 http://www74.zippyshare.com/v/12710611/file.html

注意：Proxifier 不支持处理 UDP 流量，Proxifier是靠实现类vpn方式实现第三方应用代理
附3 chrome浏览器SwitchyOmega扩展如何添加shadowsocks的代理设置:

chrome浏览器SwitchyOmega扩展如何添加shadowsocks的代理设置？

    添加shadowsocks的浏览器全局模式

右键SwitchyOmega扩展图标
选项>>
新建情景模式>>
名称：shadowsocks 全局(名称随便填)>>
类型：选择：代理服务器>>
点击：创建>>
代理协议：一定选择SOCKS5 ，代理服务器 填写127.0.0.1 ，代理端口填写
1080

    添加shadowsocks的浏览器pac模式

新建情景模式>>
名称：shadowsocks pac(名称随便填)>>
类型：选择：pac情景模式>>
点击：创建>>
pac网址>>复制下面这个链接到pac网址一栏
https://raw.githubusercontent.com/KyonLi/ss-pac/master/ss.pac
点击：立即更新情景模式
shadowsocks官方有2种pac模式，用哪个或都添加这个随你便
fast mode pac（快速）和precise mode pac（精确）

3.添加shadowsocks的"自动切换"代理模式， +beginsrc html 有个步骤用纯文字表诉的话，略微有点困难，这里掠过。需要的自己导入OmegaOptions.bak 群共享和网盘的OmegaOptions.bak (文件大小243KB那个) 包括shadowsocks"自动切换""shadowsockspac"和"shadowsocks全局" 3种情景模式，导入即可 #+endsrc

    SwitchyOmega 商店下载链接 https://chrome.google.com/webstore/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif
    SwitchyOmega官方备用下载地址 https://github.com/FelisCatus/SwitchyOmega/releases
    附：原gfwlist项目迁移到 https://github.com/gfwlist/gfwlist https://raw.githubusercontent.com/gfwlist/gfwlist/master/gfwlist.txt

本站原创switchyomega配置文件

    switchyomega自动切换版：https://gochrome.info/switchyomega-config/
    switchyomega虚拟情景版：https://gochrome.info/switchyomega-virtual/

站长推荐使用虚拟情景模式（共内置了8套模式）

    火狐浏览器添加规则和chrome大同小异
    Google 即将关闭 Google Code，原gfwlist项目主页
    https://code.google.com/p/autoproxy-gfwlist/

附4 全球付Globalcash虚拟信用卡和paypal申请教程：

全球付Globalcash虚拟信用卡和paypal注册申请教程

    http://www.cmsky.com/globalcash/
    http://jingyan.baidu.com/article/e73e26c0e3913b24adb6a7a4.html

附5 什么是cn2?：

    中国电信下一代承载网络（国际流量走的cn2线路） http://www.chinatelecom.com.cn/gjywpd/gj-qqwl/ https://www.netroby.com/view.php?id=3459http://baike.baidu.com/subview/2193652/2193652.htm http://cablemap.info/ Greg's Cable Map

    CN2网络延迟和丢包监控: http://183.91.49.53/public/sla/slaPerformanceNew.html

如果你连不上服务器，请首先检查SS客户端配置是否正确：服务器域名或ip ，服务器端口 ，密码 ，加密方式，检查上面四项，确认没有填错。如果均正常，依然连不上的话，请尝试Ping下 服务器域名或ip,看是否通；如果不通，一般是你的线路问题（电信、联通、地域、时间等相关，有可能是暂时性问题）。但注意在少数情况下，不管你是否能Ping通，都跟是否能连上ss服务器无关。最后说下，一般都不会是服务器的问题，也就是说最大的可能性是：1.客户端参数配置，2.浏览器代理设置。

Shadowsocks 为什么出现 500 Internal Privoxy Error 可能原因：

    客户端的服务器信息错误
    服务端未正常启动或线路问题（被墙？）
    如果有使用端口转发，有可能是转发线路问题

通俗点说

    客户端配置参数填错，或参数有变化,自己更新不及时
    服务器端挂了，或线路被墙 （可能性很小）
    使用端口转发的，联系你的服务商

可能有人会有觉得100多人同时在用一个服务器会非常慢，但实际上这点用户数对服务器造成的压力并没你想像中的大。根据过去的服务器监控数据来看，平时的带宽使用平均在12Mbps左右，间中会有去到20Mbps的突发流量，可以说完全没有压力。 CPU使用率长期在10%以下。内存方面没做太多优化，保持在60%左右。或者100人同时在看视频的话，带宽可能就真的有压力，但这种概率几乎不存在，而且就算你家有100Mbps的宽带，服务器也有100Mbps的带宽，你也会受中间线路最小带宽路段的限制，想像下木桶短板原理，而且“网络”中还有很多你意想不到的情况和条件存在，所以用（总带宽/使用人数来）算每人得到的带宽这种方法实在不合理。

本博客谈到多次，在mac上，用vpn翻墙时，可能会遇到dns污染。于是在此文https://briteming.blogspot.com/2019/07/dns-querysocks.html中总结了5款dns proxy程序来应对dns污染。不过有时在用vpn翻墙时，突然翻墙失败，原来是mac系统的dns server地址又莫名其妙的变回了isp的dns server地址，这样当然会翻墙失败。解决办法就是运行命令：
sudo networksetup -setdnsservers "Wi-Fi" 127.0.0.1 重新修改mac系统的dns server地址为127.0.0.1即可。

诚然，示威者关心《逃犯条例》修订草案，中国当局想要借机继续蚕食香港的法治。但是，这一切不仅仅事关那部法案。许多示威者感到自己的未来、自己的自由受到了威胁。当前的气氛，并非起因于对某一件具体事务的不满，而是出于对总体局势的愤怒。因此，即便中国当局在个别问题上让步，也于事无补。

在mac上。
先安装nodejs环境。然后，
npm -g install sinodns
然后，
sudo sinodns

实际使用例子：
sudo wg-quick up wg0
sudo networksetup -setdnsservers "Wi-Fi" 127.0.0.1
sudo sinodns

项目地址：https://github.com/isofew/sinodns

在mac机器上。先安装go环境。
git clone https://github.com/guonaihong/ChinaDNSGo
cd ChinaDNSGo

env GOPATH=`pwd` go get -u -v github.com/miekg/dns
env GOPATH=`pwd` go build src/chinadns.go

(在当前目录下，会生成可执行文件chinadns） 

sudo ./chinadns -fn chnroute.txt

项目地址：https://github.com/guonaihong/ChinaDNSGo

实际使用例子：
sudo wg-quick up wg0 
sudo networksetup -setdnsservers "Wi-Fi" 127.0.0.1

cd ~/ChinaDNSGo && sudo ./chinadns -fn chnroute.txt  

在mac上。
先安装nodejs环境。然后，
npm -g install lucky-dns
然后，
sudo ldns --external 208.67.222.222

实际使用例子：
sudo wg-quick up wg0
sudo networksetup -setdnsservers "Wi-Fi" 127.0.0.1
sudo ldns --external 208.67.222.222

项目地址：https://github.com/vilic/lucky-dns

使用openvpn, chinaroute, chinadns, dhcp等组合完成实现全公司的国内外访问流量分流的智能翻墙。
一个全局翻墙的组件，使用openvpn, chinaroute, chinadns, dhcp等组合完成实现全局的 国内外访问流量的 智能分流

安装步骤

1. 首先需要一台不在墙内的服务器，比如香港或是一个vpn专线服务器。在该服务器配置openvpn server, 在你的网关服务器配置openvpn client，在server端开启全局代理
   配置文件参考
   openvpn-server.conf
   openvpn-client.conf
   ccd/
   
2. 获取国内的IP列表http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest, 推列表中的IP段到本地国内网关，让流量从国内出去。github有项目可以提取国内的列表，或者自己写脚本筛
   配置文件参考
   ip-pre-up   #这是我筛完的
   
3. 获取正确的DNS，由于国内的DNS被污染，解析的地址不正确，所以使用ChinaDNS获取到正确的IP。在本地网关上搭建ChinaDNS，
   git clone https://github.com/shadowsocks/ChinaDNS 
   cd ChinaDNS
   ./configure && make
   src/chinadns-m -c chnroute.txt
   
4. 配置DHCP服务器，分发所有客户端的DNS为路由网关的IP
   
5. 配置nat
   -A POSTROUTING -s 192.168.x.0/24 ! -d 10.1.100.0/24 -j SNAT --to-source x.x.x.x #192.168.x.0/24为你的本地网络内网网段，掩码什么的自行匹配。x.x.x.x为你的额公网IP地址
   -A POSTROUTING -s 192.168.x.0/24 -o tun0 -j MASQUERADE #配置你的流量经过openvpn client 网络接口tun0（一般默认）出去
   
6. plugin目录里包含网络限速功能及openvpn自动恢复功能，后者需要添加到crond
   
7. 启动方式可以参考rc.local, 或者可以放在openvpn-client.conf里启动，不过后者更慢。
   
   from https://github.com/gayshub/global-over-greatfirewall
   

transparent proxy works on linux desktop, MacOS, router。

It's a solution like: (redsocks + ss-local)/ss-redir + ChinaDNS. But all in one binary, don't depend on dnsmasq.

Features

• SS/http-tunnel as upstream server
• Sytemwide tcp proxy (via iptables redirect) on linux desktop/server, MacOS desktop
• Works on openwrt router
• Bypass traffic in China
• Handle DNS in the way like ChinaDNS, so website have CDN out of China won't be redirected to their overseas site
• Local DNS cache based on TTL
• block by domain name

Limation:

• tcp only (but dns is handled)
• ipv4 only

Tested on:

Desktop:

• manjaro
• ubuntu 18.04
• MacOS 10.13.6

Router:

• hiwifi2
• ubnt er-x

Usage

For linux: ensure iptables and ipset installed in your system.
For macos: pfctl is included by default, no extra dependences.
Example config.json:

{
"listen-host": "127.0.0.1",
"listen-port": 1111,
"proxy-type": "ss",
"proxy-timeout":  5,
    # `bypassCN` or `global`, default to `bypassCN`
"proxy-scope": "bypassCN",

    # config used when proxy-type is "http"
"http-proxy-host": "",
"http-proxy-port": 8080,
"http-proxy-auth-user": "",
"http-proxy-auth-password": "",

    # config used when proxy-type is "ss"
"ss-host": "ss.example.com",
"ss-port": 8080,
    # https://github.com/shadowsocks/shadowsocks-go/blob/1.2.1/shadowsocks/encrypt.go#L159
"ss-chpier-method": "aes-256-cfb",
"ss-passwd": "passwd",

"cn-dns": "114.114.114.114",  # dns in China
"fq-dns": "8.8.8.8",  # clean dns out of China
"enable-dns-cache": true,
"enforce-ttl": 0,  # if > 0, will use this value otherthan A record's TTL
"disable-qtypes": ["AAAA"], # return empty dns msg for those query types
"force-fq": ["*.cloudfront.net"], # domain pattern matched will skip cn-dns query
"host-map": {
"google.com": "2.2.2.2"  # map host and ip
    },
"block-host-file": "", # if set, domain name in this file will return 127.0.0.1 to client
"block-hosts": ["*.hpplay.cn"], # support block hosts with wildcard
"mode": "local"   # run on desktop: local, run on router: router
}

supported proxy-type:

• ss: use ss as upstream server
• http: use http proxy server as upstream server(should support CONNECT method, eg: squid)

Since snet will modify iptables/pf, root privilege is required.
sudo ./snet -config config.json
Test (proxy-scope = bypassCN):

• curl ifconfig.me, ip should be your ss server ip.
• curl myip.ipip.net, ip should be your local ip in China.

If proxy-scope is global, both should return ss server ip.
If you use it on router, change mode to router, and listen-host should be your router's ip or 0.0.0.0

Notice

If crash or force killed(kill -9), snet will have no chance to cleanup iptables/pf rules, it will make you have no internet access.
You need to clean them manually(If restart snet, it will try to cleanup) or restart your laptop :(
Linux:

sudo iptables -t nat -F  
# if you install docker, docker's iptable rules will be flushed as well, just restart docker it will recreate them.

MacOS:

sudo pfctl -d

Known issue:

• Manjaro's NetworkManager will create a ipv6 dns nameserver in /etc/resolv.conf, eg: nameserver fe80::1%enp51s0. If it's first nameserver, dns query will bypass snet(since I didn't handle ipv6), you need to disable ipv6 or put it on second line.
• Chrome's cache for google.com is wired.If you can visit youtube.com or twitter.com, but can't open google.com, try to restart chrome to clean dns cache.
• cn-dns should be different with the one in your /et/resolv.conf, otherwise dns lookup will by pass snet (iptable rules in SNET chain)

from https://github.com/monsterxx03/snet
(下载地址：
https://github.com/monsterxx03/snet/releases/download/v0.5.0/snet_darwin_amd64
https://github.com/monsterxx03/snet/releases/download/v0.5.0/snet_linux_amd64 ）
--------------

我的补充说明：
在mac机器上。
wget https://github.com/monsterxx03/snet/releases/download/v0.5.0/snet_darwin_amd64
chmod 755  snet_darwin_amd64
wget https://github.com/monsterxx03/snet/raw/master/config.json.example -O snet-config.json
nano snet-config.json
内容如下：
{
    "listen-host": "127.0.0.1",
    "listen-port": 1111,
    "proxy-type": "ss",
    "proxy-timeout": 5,
    "proxy-scope": "bypassCN",
    "http-proxy-host": "",
    "http-proxy-port": 8080,
    "http-proxy-auth-user": "",
    "http-proxy-auth-password": "",
    "ss-host": "vps-ip",
    "ss-port": vps上的ss的端口号,
    "ss-chpier-method": "aes-256-cfb",
    "ss-passwd": "vps上的ss的密码",
    "cn-dns": "223.6.6.6",
    "fq-dns": "8.8.8.8",
    "enable-dns-cache": true,
    "enforce-ttl": 0,
    "disable-qtypes": ["AAAA", "PTR"],
    "force-fq": ["*.cloudfront.net", "*.amazonaws.com"],
    "host-map": {},
    "block-host-file": "",
    "block-hosts": ["*.hpplay.cn"],
    "mode": "local"
}

sudo ./snet_darwin_amd64 -config snet-config.json
会显示：
2019/08/10 09:46:28 /Users/yejia/repos/snet/server.go:26: Info:Proxy server listen on tcp: 127.0.0.1:1111
2019/08/10 09:46:29 /Users/yejia/repos/snet/redirector/pfctl_darwin.go:78: Error:exit status 1
2019/08/10 09:46:29 /Users/yejia/repos/snet/main.go:124: Fatal:exit status 1
yudeMacBook-Air:~ brite$ ls /Users/yejia/
ls: /Users/yejia/: No such file or directory
yudeMacBook-Air:~ brite$ mkdir -p /Users/yejia/repos/
mkdir: /Users/yejia/repos/: Permission denied
yudeMacBook-Air:~ brite$ sudo mkdir -p /Users/yejia/repos/
Password:
yudeMacBook-Air:~ brite$ cd /Users/yejia/repos/
yudeMacBook-Air:repos brite$ ls
yudeMacBook-Air:repos brite$ git clone https://github.com/monsterxx03/snet
fatal: could not create work tree dir 'snet': Permission denied
yudeMacBook-Air:repos brite$ sudo git clone https://github.com/monsterxx03/snet
yudeMacBook-Air:repos brite$ cd ~
yudeMacBook-Air:~ brite$ sudo ./snet_darwin_amd64 -config snet-config.json
2019/08/10 09:56:23 /Users/yejia/repos/snet/server.go:26: Info:Proxy server listen on tcp: 127.0.0.1:1111
2019/08/10 09:56:23 /Users/yejia/repos/snet/dns/server.go:109: Info:DNS server listen on udp: 127.0.0.1:1211
不要关闭此terminal窗口。
然后，你的整台mac机器就处于翻墙状态了。就好像连上了vpn一样。
------

技术文档

日常使用 Linux 工作, Linux 下实现全局透明代理可以用 iptables + ss-redir, 要有比较好的上网体验还需要 ChinaDNS 配合 dnsmasq, 这一整套在路由器上搞一遍就算了, 在本地太麻烦了. 仔细想想这几个加起来的功能实现起来也并不复杂, 前阵子就写了个小东西, 用一个进程完成全局透明代理 + ChinaDNS + 国内外分流: https://github.com/monsterxx03/snet
目前的限制:

• 不支持 ipv6
• 只支持 tcp (因为我的测试服务器不支持 udp, 以后再加上吧)
• 上游 server 只支持 ss

目的是一个进程 + 一个配置文件完成所有事情. 需要的 iptable 规则也全部内置了(包括 CN ip 段), 缺少灵活但对我够用了, 以后有需要再加上选项不自动配吧.
需要手工装下 ipset.
配置文件示例:

{
"listen-host": "127.0.0.1",
"listen-port": 1111,
"ss-host": "ss.example.com",
"ss-port": 8080,
"ss-chpier-method": "aes-256-cfb",
"ss-passwd": "passwd",
"cn-dns": "114.114.114.114",
"fq-dns": "8.8.8.8",
"enable-dns-cache": true,
"mode": "local"
}

ss 协议实现用的是 shadowsocks-go, 所以 cipher 就是 go 版支持的那些: https://github.com/shadowsocks/shadowsocks-go/blob/1.2.1/shadowsocks/encrypt.go#L159
cn-dns: 选择一个国内的 dns server.
fq-dns: 选择一个国外的干净的 dns server.
enable-dns-cache: 默认会按 A 记录的 TTL 缓存查询结果, 不需要可以关闭.
mode: 在桌面版 linux 上用选 local, 在 openwrt 路由器上选 router, 区别只是自动设置的 iptables 规则不一样.
sudo ./snet -config config.json就能跑起来啦, 并接管了全局的 TCP 流量.

实现

看一下用 local 模式启动时候到底干了什么, iptables -t nat -L:

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
SNET       tcp  --  0.0.0.0/0            0.0.0.0/0
SNET       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53

Chain SNET (2 references)
target     prot opt source               destination
RETURN     tcp  --  0.0.0.0/0            0.0.0.0/0            match-set BYPASS_SNET dst
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            redir ports 1111
RETURN     all  --  0.0.0.0/0            114.114.114.114
DNAT       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53 to:127.0.0.1:1111

我建了一张叫 SNET 的 chain, 并把所有出去的 tcp 流量和查询 53 端口的 udp 流量(dns) 转到这个 chain 里.
解释下 SNET chain 里的内容:

• 在 BYASS_SNET这个 ipset 中的 ip 全部跳过, 里面是保留 ip 段 + cn ip 段 + ss server ip(不然就死循环啦).
• 剩下的所有 tcp 流量全部重定向到本地的 1111 端口(snet 的监听端口)
• 所有 114 dns 的流量不处理(配置文件里 设置的 cn-dns).
• 剩余的发往 53 端口 udp 全部转发到 snet 监听的 udp 端口.

BYPASS_SNET的内容可以用 ipset list BYPASS_SNET查看.
除了设置 iptables, 这个程序具体只干了两件事:

• 将转发过来的 tcp 流量用 ss 协议转发到 ss server.
• 绕过 dns 污染, 并实现 ChinaDNS 的功能.

流量转发部分没什么好说的, 关键是要获取 tcp connection 的原始目标 ip + 端口, 因为被 iptables 重定向后目标就变成了 snet 的监听地址, 这里看了下 redsocks 的代码, 是通过 getsockopt(fd, SOL_IP, SO_ORIGINAL_DST, dstaddr, &socklen)实现的: https://github.com/darkk/redsocks/blob/release-0.5/base.c#L223
DNS 部分讨了个巧, 一般处理 DNS 污染两种方式: 查询支持 EDNS 之类的加密协议的 DNS server, 或隧道到国外查询.
我目前的实现不支持 UDP, 就算支持了, 我也不想让 DNS 查询依赖上游 ss server 必须开启 UDP. 但现在既然已经有了 tcp 的加密隧道, 直接用呗, 没必要必须用支持 EDNS 的 server 呀.
DNS 协议其实本来就是支持 TCP 的, 只不过一般的流程是 client 发送 udp 的 DNS 查询, 如果 response 超过 512 字节, DNS header 中有个 TC 比特位会被置为1, client 会用 tcp 再发起一次 DNS 查询, server 用 tcp 返回完成的 response.
直接用 tcp 向 server 发送 DNS 查询 也行: dig baidu.com @1114.114.114.114 +tcp.
所以现在 DNS 部分的实现是: 收到 iptables 转发过来的 DNS 查询后, 会同时向 cn-dns 和 fq-dns 发送 DNS 查询, cn-dns 直接走 udp(所以在 SNET 中跳过了 cn-dns), fq-dns 通过 ss 走tcp.
如果 cn-dns 的返回结果是国内 ip 就用 cn-dns 的结果, 是国外 ip 就用 fq-dns 的结果. 这是 ChinaDNS 的逻辑, 这么做的前提是目前墙对被污染的域名只会返回国外 ip, (不然国内就乱掉了). 如果该网站在国内外都有 CDN, 也不会出现被跳转到国外站点去的情况(淘宝, 微博...). 网易云之类的也不会因为用国外 ip 而无法使用.
顺便根据 A 记录的 TTL 对查询结果做了个缓存, 目前工作良好.

一些小坑

开始时候没看 RFC, 处理 tcp DNS 的时候直接把 UDP payload 通过 tcp 灌过去了, 以为 DNS 协议里是有 length, 结果怎么都不对, 后来才发现要在 UDP 的 DNS 数据包前面加两字节标记长度才行(DNS 协议的 header 里并没有包长度...)
测试 openwrt 的时候, 手头只有一台几年前的极路由2, 这东西架构是 32 位的 mips, 用 go 1.12 交叉编译后却跑不起来, 原来极路由的 cpu 不支持硬件浮点数运算指令, 需要在 openwrt 编译固件的时候开启 FPU 模拟, 重编译固件太麻烦啦, 后来查到 go 1.10 开始支持软件模拟浮点数,编译 mips 时加上环境变量 GOMIPS=softfloat就行了.
有的发行版开了 ipv6 后会在 /etc/resolv.conf 里加入一个本地 ipv6 的 dns server 地址, 如果它在第一行, snet 的 dns udp 重定向就没用了，需要关闭 ipv6 或把这条 nameserver 删掉.

后续

目前个人的需求基本已经满足啦, 可能还需要的是:

• 按域名指定使用 cn-dns 或 fq-dns 的结果(有时还真是需要访问海外站)
• 加点统计接口:域名查询, 流量分析...

from https://github.com/monsterxx03/blog/blob/master/content/posts/2019-03-31-snet-linux-transparent-proxy.md
------------------------------

完成 SNET初版后又做了些后续更新,　记录一点.

支持 http tunnel

配置文件里增加一个 proxy-type选项, 默认为 ss, 可改成 http, 这样可以将 支持 http tunnel 的代理服务器作为 upstream(例如 squid). 填上 http-proxy-开头 的选项就行.
实现上 client 端要对接 http tunnel 非常简单:

• client 发送请求: Connect tgt-host:tgt-port HTTP/1.1
• server response: HTTP/1.1 200, 即表示 server 端支持 http tunnel
• client 后续向该 tcp connection 写入的数据都会被 server 转发到 tgt-host:tgt-port

改动的时候把 upstream proxy 的部分重构了一下, 抽了个 Proxy interface 出来, 后续想对接其他协议方便扩展.

对 udp 支持的尝试

对 tcp 流量的转发能通过 iptables REDIRECT 实现的, 通过 getsockoption 可以知道 tcp connection 的原目标, 但这对 udp 行不通, REDIRECT 之后拿不到原 target.
shadowsocks-libev 对 udp 转发的支持是通过 iptables 里的 tproxy target 实现的, 尝试了一下 tproxy, 但是 tproxy 只能 用在 prerouting chain 里. 那意味着只能当该程序所在机器作为网关的时候才能接收到流量, 我写这个主要不是为了在路由器上 而是本机用, tproxy 就 pass 了.
还有一种方式是通过 tun 设备来实现流量接管, tun 工作在 3 层上, 从上面读出来的流量是裸的 ip 数据包. badvpn 之类的工具 实现了 tun2socks 的方式, 用 lwip 来在用户态实现 ip/tcp reassembly, 得到 tcp 流之后再转发给 socks5 程序. 好处是可以实现跨平台的流量接管.
还看到了一种非常扭曲的实现方式, 通过 raw socket 得到出去的 udp, 再用 普通的 socket 连回 udp client socket, 将数据写回: https://github.com/EtiennePerot/sshuttle/blob/master/firewall.py#L201脑洞很大, 看上去很麻烦...没尝试.
目前我对 udp 实在没什么需求, 暂时没什么动力弄了, 要做的话估计只能通过 tun 来搞(引入 lwip 总有点杀鸡用牛刀的感觉).

dns 处理的一个 bug

用了一整子一直都很稳定, 但今天在用 kubectl 倒腾 k8s 的时候发现了问题, k8s cluster 在国外, api server 也是国外 ip. 开了 snet 后用 kubectl 巨慢无比, 而且经常 timeout. 关了 snet 直连却很快.
在 upsteam server 上试了下, 到 k8s api server 速度没问题.
kubectl version -v=10能打印出对应 http request 的 curl 命令, 拷贝出来用 curl 直接试了下, 也没问题, 只有用 kubectl 的时候才会 timeout.
抓包看了下 kubectl 发起 api 请求时候, 先尝试解析了 AAAA 记录, 如果 AAAA 记录不存在, 再尝试 A 记录, 貌似调用了 glibc 里 gethostname 函数的默认行为 都是这样的.
问题出在我实现的 DNS 缓存上, 简单的根据查询域名缓存了查询结果, 实际上我只解析 A 记录, 所以从缓存里取出来的都是 A 记录的结果.
重现方式:

• dig www.baidu.com
• dig -t AAAA www.baidu.com

第二次 dig 就会报 query result mismatch, 因为返回的是第一次的 A 记录. 比较坑的是 kubectl 报的是 dail timeout, 看上去像连不上 tcp 端口, 比较难看原因.
修复很简单, cache key 把 query type 也加上就行啦.

from https://github.com/monsterxx03/blog/blob/master/content/posts/2019-04-10-snet-dev-notes.md
-------------

这两天得了空, 让 snet 支持了下 MacOS.
snet 的大致原理是通过系统防火墙的流量重定向功能,将所有去往国外的流量导到 snet 监听的端口, 在程序内部 将流量传递给上游的 proxy server(ss, http), 拿到响应后再回给客户端.
实现关键是要在 snet 内部获取到流量的原目标地址, 因为重定向之后 tcp connnection 的目标地址变成了 snet 监听 的地址.
Linux 上的实现，以前讲过: https://blog.monsterxx03.com/2019/03/31/snet-transparent-ss-proxy-on-linux/是通过 SO_ORIGINAL_DST这个 socket option 实现的.
MacOS 上没有 iptables, 类似的工具是系统自带的 pfctl, 捣鼓了一下也能实现一样的功能.

用 pfctl 做流量重定向

pfctl 的文档可以通过 man pfctl, man pf.conf查看. 我也只是看了个大概, 细节并不清楚.
流量重定向需要用到 pf 的 rdr规则, 但是 rdr只能处理 incoming 的流量，对 outgoing 的流量无效.
tricky 的地方是要把流量先重路由到 lo0, 再对 lo0 上的流量实行 rdr, 例子(顺序很重要):

dev="en0"
lo="lo0"
rdr on $lo proto tcp from $dev to any port 1:65535 -> 127.0.0.1 port 1100  # let proxy handle tcp 
pass out on $dev route-to $lo proto tcp from $dev to any port 1:65535  # re-route outgoing tcp

获取重定向后流量的原始目标地址

darwin 上没有 SO_ORIGINAL_DST, 翻了点 OpenBSD 的资料, 找到了几段通过 C 获取原地址的代码, 尝试用 CGO 做 wrapper, 最后试成功了.
Mac 上坑爹的地方在于, 虽然 darwin 内核里有 pf 模块, 但 MacOS 系统里没有对应的头文件，需要自己下载:

• https://github.com/opensource-apple/xnu/blob/master/bsd/net/pfvar.h
• https://github.com/opensource-apple/xnu/blob/master/bsd/net/radix.h
• https://github.com/opensource-apple/xnu/blob/master/libkern/libkern/tree.h

做了个 poc 的例子, 可以直接跑起来: https://github.com/monsterxx03/pf_poc
大致流程是:

• 初始化 struct pfioc_natlook
• 填充 client socket 的 source ip, source port
• 填充 proxy bind socket 的 ip, port
• 打开 /dev/pf，执行 ioctl(fd, DIOCNATLOOK, )
• 然后　struct 的 rdaddr, rdxport 就被填充了，这就是我们需要的原始地址。

from https://github.com/monsterxx03/blog/blob/master/content/posts/2019-06-20-snet-support-macos.md

简介

本项目是 ChinaDNS在 OpenWrt 上的移植。
当前版本: 1.3.2-3
预编译 IPK 下载

编译

• 从 OpenWrt 的 SDK编译
  

  #以 ar71xx 平台为例
  tar xjf OpenWrt-SDK-ar71xx-for-linux-x86_64-gcc-4.8-linaro_uClibc-0.9.33.2.tar.bz2
  cd OpenWrt-SDK-ar71xx-*
  #获取 Makefile
  git clone https://github.com/aa65535/openwrt-chinadns.git package/chinadns
  #选择要编译的包 Network -> ChinaDNS
  make menuconfig
  #开始编译
  make package/chinadns/compile V=99

配置

• 默认 DNS 服务器端口为 5353, 可使用 LuCI进行配置
  
• 可搭配路由器自带的 Dnsmasq 使用 借助其 DNS 缓存提升查询速度
  

  LuCI 中定位至「网络 - DHCP/DNS」
  「基本设置」 本地服务器填写 127.0.0.1#5353
  「HOSTS和解析文件」勾选 忽略解析文件

• /etc/chinadns_chnroute.txt可以使用下面命令更新
  

   wget -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest'| awk -F\|'/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }'> /etc/chinadns_chnroute.txt

---

Name	Description
openwrt-dnsmasq	Dnsmasq Patch & Makefile for OpenWrt
openwrt-shadowsocks	Shadowsocks-libev for OpenWrt
openwrt-shadowvpn	ShadowVPN for OpenWrt
openwrt-dist-luci	LuCI Applications for OpenWrt-dist
openwrt-redsocks2	RedSocks2 for OpenWrt

from https://github.com/jiangxi14520/chinadns