流量转发.md

流量转发

firewalld流量转发

firewalld是CentOS7/8默认的防火墙前端软件，绝大多数主机商提供的镜像都已经安装。如果执行 firewall-cmd --state的输出不是 running，请使用下面命令安装并开启firewalld：

yum install -y firewalld
systemctl enable firewalld
systemctl start firewalld

接着配置转发。假设你将国内服务器8080端口流量转发到国外vps的443端口，转发命令如下：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
firewall-cmd --permanent --add-masquerade
# 8080可以改成其他端口
firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --permanent --add-port=8080/udp
# 8080和上面保持一致，国外ip改成你国外vps的ip，443改成国外ss/ssr/v2ray等软件的端口
firewall-cmd --permanent --add-forward-port=port=8080:proto=tcp:toaddr=国外ip:toport=443
firewall-cmd --permanent --add-forward-port=port=8080:proto=udp:toaddr=国外ip:toport=443
firewall-cmd --reload

运行上述命令后，打开ss/ssr/v2ray等客户端软件，把ip和端口 改成国内vps的ip和端口号，应该同样能正常上外网。

firewalld转发的好处是效率高，直接在内核执行。

Nginx流量转发

Nginx是非常强大的四层、七层反向代理软件，功能强大，在互联网上广泛应用。本节介绍Nginx转发配置。

1. 首先安装nginx：yum install -y epel-release && yum install -y nginx；

2. 配置nginx：编辑/etc/nginx/nginx.conf文件，加入转发配置：

   # For more information on configuration, see:
   #   * Official English Documentation: http://nginx.org/en/docs/
   #   * Official Russian Documentation: http://nginx.org/ru/docs/
   
   user nginx;
   worker_processes auto;
   error_log /var/log/nginx/error.log;
   pid /run/nginx.pid;
   
   # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
   include /usr/share/nginx/modules/*.conf;
   
   events {
       worker_connections 1024;
   }
   
   # 增加的配置
   stream {
       server {
           listen 端口号;  # 1-65535的任意一个数字，无需与境外服务器的端口号相同
           proxy_pass 境外ip:境外端口号; # 用境外ip和端口号替换
       }
   }
   # 转发配置结束
   
   http {
       log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" '
                         '"$http_user_agent" "$http_x_forwarded_for"';
   
       access_log  /var/log/nginx/access.log  main;
   
       sendfile            on;
       tcp_nopush          on;
       tcp_nodelay         on;
       keepalive_timeout   65;
       types_hash_max_size 2048;
       ....
   }
   

配置中增加了以 stream 开头的那一段，其他都是自带的。将上面代码中的ip和端口换成你的，然后保存文件。用nginx -t检查配置有没有错误，有如下输出说明配置正确：

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

如果有问题，请按照提示更改。

3. 改好后设置开机启动并启动nginx：systemctl enable nginx && systemctl start nginx。接着用ss -ntlp| grep -i nginx查看软件是否正常运行。如果输出为空，可能的问题是端口号冲突，改成其他端口号试试；或者是selinux的限制，用下面命令禁用selinux：

sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/configsetenforce 0

4. 如果服务器启动了防火墙，放行nginx监听的端口。怎么看防火墙是否开启呢？输入firewall-cmd --state，输出是”running”表示防火墙正在运行。用如下命令把端口放行：

   firewall-cmd --permanent --add-port=nginx中配置的端口号/tcp
   fireawll-cmd --reload
   

5. 如果服务器厂商上层还有防火墙/安全组(阿里云/腾讯云等购买的vps)，请记得到控制台放行相应端口。

   完成上述操作后，搭建手机、电脑上的ss/ssr/v2ray等客户端，把ip和端口 改成国内vps的ip和端口号，应该同样能正常上外网。

Nginx效率不如firewalld/iptables，但是配置更灵活，使用上更便利。

配置境外服务器

原则上只要境外服务器没被墙或者端口没有被封，配置好国内服务器就直接能用且有加速效果。对境外服务器做配置，主要是为了降低墙的干扰，减少ip被墙的机率。如果你不清楚下面的操作，请不要做这一步！

配置境外服务器的重点：除ssh的22、正常服务的端口(例如网站)，其他端口只允许国内服务器连接。操作如下：

1. 启动系统防火墙：systemctl enable firewalld && systemctl start firewalld

2. 删除之前放行过的ss/ssr/v2ray等端口（如果配置过）：firewall-cmd --permanent --remove-port=端口/tcp

3. 仅允许国内ip连接该服务器：

   firewall-cmd --permanent --add-source=国内ip/32
   fireawll-cmd --reload
   

   经过如上配置后，gfw探测你的vps，除了ssh、网站等常用端口，ss/ssr/v2ray的端口直接无法连接，被墙的概率自然就降低了。

其他

一些注意事项：

1. nginx支持转发流量到多个服务器实现负载均衡，配置上需要用到upstream块，请参考文档或留言；
2. 如果用的是iptables，把firewalld命令替换成iptables命令执行就可以
3. 如果动手能力强，最好把境外vps配置得像一个业务机器，例如一个有各种爬虫访问的网站，基本上就稳如狗了（本人用的就是这种）；
4. 配置客户端时，ip和端口填国内服务器的，其他信息（密码、加密方式等）和国外服务器保持一致；
5. NAT VPS需要端口映射，因此客户端配置的ip和端口应该是NAT VPS映射获取到的公网ip和端口号。

【国外VPS推荐】 Vultr全球16个数据中心，高速SSD硬盘，月付2.5$起，注册充10$送100$