SOCKS5 прокси на офшорном NVMe VPS

3proxy - лёгкий многофункциональный прокси-сервер, поддерживающий HTTP, SOCKS4/5, FTP-прокси в одном бинарнике. Размер бинарника около 200 KB, потребление RAM 5-20 MB - что делает 3proxy идеальным для VPS любого размера. Установка через сборку из исходников: apt install build-essential git, git clone github.com/3proxy/3proxy, cd 3proxy, make -f Makefile.Linux, make -f Makefile.Linux install.

Минимальный конфиг /etc/3proxy/3proxy.cfg для SOCKS5: nserver 1.1.1.1 (или другой DNS), users логин:CL:пароль (CL означает clear-text password), auth strong (требовать аутентификацию), socks -p1080 -i0.0.0.0 (слушать на 1080 порту). Запуск как systemd-сервиса через unit-файл /etc/systemd/system/3proxy.service.

Несколько пользователей с разными логинами поднимаются добавлением строк users логин1:CL:пароль1, users логин2:CL:пароль2. ACL можно ограничить по IP клиента (allow логин1 192.168.1.0/24), по портам назначения (deny * * 25 для блокировки SMTP), по времени работы. Логирование настраивается переменной log /var/log/3proxy/3proxy.log или вообще отключается nolog.

В странах с глубокой инспекцией трафика (DPI) обычный SOCKS5 детектируется по сигнатурам и блокируется. Shadowsocks - модифицированный SOCKS5 с шифрованием AES-256-GCM и опциональной TLS-обфускацией через v2ray-plugin, который маскирует трафик под HTTPS-соединение к CDN.

Установка Shadowsocks-rust (современная Rust-реализация) на офшорном VPS: cargo install shadowsocks-rust или скачивание готового binary с GitHub releases. Конфиг JSON: server 0.0.0.0, server_port 8388, password длинный_пароль, method aes-256-gcm. Запуск ssserver -c /etc/shadowsocks-rust/config.json, на клиенте используется любой Shadowsocks-клиент (Shadowsocks-Windows, ShadowsocksX-NG, Outline).

Для маскировки под HTTPS добавляется v2ray-plugin: server_plugin v2ray-plugin, server_plugin_opts server;tls;host=example.com. Трафик от клиента к серверу выглядит как обычный HTTPS-запрос к example.com, что обходит большинство DPI-систем. Это критично для пользователей в Иране, Китае, России - где простой Shadowsocks может детектироваться.

В отличие от HTTP-прокси, SOCKS5 поддерживает UDP-трафик через UDP ASSOCIATE команду. Это даёт возможность проксировать DNS-запросы (UDP 53), DTLS-трафик WebRTC и других протоколов, основанных на UDP. На офшорном VPS UDP-проксирование настраивается в 3proxy директивой allow * * * 0-65535 udp или в Shadowsocks-rust через mode tcp_and_udp.

DNS через прокси - важная функция для приватности. Без него браузер делает DNS-запросы напрямую к ISP, что раскрывает посещаемые домены даже при работе через прокси. Через SOCKS5 с UDP-поддержкой DNS-запросы тоже идут через прокси - можно использовать DoH-серверы (Cloudflare 1.1.1.1, Quad9 9.9.9.9) с шифрованием трафика DNS-запросов.

Для приложений, которые не умеют SOCKS5 (например, мобильные приложения), используется wrapper типа proxychains-ng или transparent SOCKS-прокси через iptables redirect. На офшорном VPS можно поднять transparent proxy для всех приложений на машине клиента, что упрощает жизнь без настройки каждой программы отдельно.