shadowsocks 公共代理的必要设置

2015/02/10
这是转载,原文链接http://18918.cc/2136.html

不想变成公车,被人分分钟爆菊的,建议看看。不要问我具体如何整,我也是小白,多谷歌吧。
good, 你已经有了一个自己的shadowsocks代理了,现在想要把这个代理公布出去给所有人分享。
但是没有两个小时,代理就没法使用了,为什么?因为你需要额外注意以下事项(以下步骤需要比较高的linux技能
本文只关注于确保shadowsocks服务还“活着”,如果你希望让其跑得更快,请参考
优化Shadowsocks

shadowsocks的timeout设置

超时时间越长,连接被保持得也就越长,导致并发的tcp的连接数也就越多。对于公共代理,这个值应该调整得小一些。推荐60秒。
检查操作系统的各种限制
对于openvz的vps,特别需要检查一下
其中 numtcpsock 表示 tcp 连接数。像上面这样的情况,就不适合用于公共代理,因为vps商限制了并发的tcp连接数。
这个命令检查默认的一个进程可以打开的文件数。1024这个默认值是不够的。推荐设置为8000
上面启动ss-server的命令只是示意性的,请替换成你自己的启动命令。ulimit的设置是一次性的,每次启动ss-server之前都要设置一下。

防止vps被用于暴力破解ssh密码等非法行为

只要shadowsocks被公开出去,肯定会有人拿代理用于暴力破解ssh的密码。
推荐你把shadowsocks限制为只允许访问443和80两个端口。如果你不添加这样的限制,
很多vps商都会因为ssh连接开得太多而暂停对你的服务。
让ss-server以特定的用户启动
对于http-ss用户,限制其不能访问80,443之外的端口

防止DMCA Compliant

虽然你已经把shadowsocks限制为只能访问80/443端口,但是对于美国的vps,仍然有额外的一点需要注意。
因为美国的vps需要遵从美国的DMCA版权法律,如果该vps被用于bt下载,而且正好遇上了电影公司设置的蜜罐的话,
你的vps的ip就会被记录下来。然后DMCA Compliant律师函会被送往你的vps商那,然后就会被停止服务。
为了避免shadowsocks帐号被用于bt下载,你不得不对80端口的流量再进一步进行限制
安装nginx
然后配置nginx的server
把所有的80端口流量转到nginx来处理。

Related Posts