重构代理解析流程,引入端口混合协议转发
This commit is contained in:
@@ -3,212 +3,90 @@ package socks
|
||||
import (
|
||||
"bufio"
|
||||
"context"
|
||||
"encoding/binary"
|
||||
"fmt"
|
||||
"io"
|
||||
"log"
|
||||
"log/slog"
|
||||
"net"
|
||||
"os"
|
||||
"proxy-server/pkg/utils"
|
||||
"strconv"
|
||||
"time"
|
||||
"proxy-server/server/fwd/core"
|
||||
"slices"
|
||||
|
||||
"github.com/pkg/errors"
|
||||
)
|
||||
|
||||
const (
|
||||
Version = byte(5)
|
||||
Version = byte(5)
|
||||
AuthVersion = byte(1)
|
||||
)
|
||||
|
||||
type Config struct {
|
||||
Name string
|
||||
const (
|
||||
NoAuth = byte(0)
|
||||
UserPassAuth = byte(2)
|
||||
NoAcceptable = byte(0xFF)
|
||||
)
|
||||
|
||||
Host string
|
||||
Port uint16
|
||||
const (
|
||||
AuthSuccess = byte(0)
|
||||
AuthFailure = byte(1)
|
||||
)
|
||||
|
||||
// 认证方法
|
||||
AuthMethods []Authenticator
|
||||
const (
|
||||
ConnectCommand = byte(1)
|
||||
BindCommand = byte(2)
|
||||
AssociateCommand = byte(3)
|
||||
)
|
||||
|
||||
// 域名解析
|
||||
Resolver NameResolver
|
||||
const (
|
||||
ipv4Address = byte(1)
|
||||
fqdnAddress = byte(3)
|
||||
ipv6Address = byte(4)
|
||||
)
|
||||
|
||||
// 自定义认证规则
|
||||
Rules RuleSet
|
||||
|
||||
// 地址重写
|
||||
Rewriter AddressRewriter
|
||||
|
||||
// 用于 bind 和 associate
|
||||
BindIP net.IP
|
||||
|
||||
// Logger
|
||||
Logger *log.Logger
|
||||
|
||||
// 自定义连接流程
|
||||
Dial func(network, addr string) (net.Conn, error)
|
||||
}
|
||||
|
||||
type Server struct {
|
||||
config *Config
|
||||
ctx context.Context
|
||||
cancel context.CancelFunc
|
||||
wg utils.CountWaitGroup
|
||||
Name string
|
||||
Port uint16
|
||||
Conn chan ProxyConn
|
||||
}
|
||||
|
||||
// New 创建服务器
|
||||
func New(conf *Config) (*Server, error) {
|
||||
if conf == nil {
|
||||
conf = &Config{}
|
||||
}
|
||||
|
||||
if len(conf.AuthMethods) == 0 {
|
||||
return nil, ConfigError("认证方法不能为空")
|
||||
}
|
||||
|
||||
if conf.Resolver == nil {
|
||||
conf.Resolver = DNSResolver{}
|
||||
}
|
||||
|
||||
if conf.Rules == nil {
|
||||
conf.Rules = PermitAll()
|
||||
}
|
||||
|
||||
if conf.Logger == nil {
|
||||
conf.Logger = log.New(os.Stdout, "", log.LstdFlags)
|
||||
}
|
||||
|
||||
if conf.Dial == nil {
|
||||
conf.Dial = func(network, addr string) (net.Conn, error) {
|
||||
return net.Dial(network, addr)
|
||||
}
|
||||
}
|
||||
|
||||
ctx, cancel := context.WithCancel(context.Background())
|
||||
return &Server{
|
||||
config: conf,
|
||||
ctx: ctx,
|
||||
cancel: cancel,
|
||||
wg: utils.CountWaitGroup{},
|
||||
Name: conf.Name,
|
||||
Port: conf.Port,
|
||||
Conn: make(chan ProxyConn),
|
||||
}, nil
|
||||
}
|
||||
|
||||
// Run 监听端口
|
||||
func (s *Server) Run() error {
|
||||
slog.Debug("启动 socks5 代理服务")
|
||||
|
||||
// 监听端口
|
||||
host := s.config.Host
|
||||
port := s.config.Port
|
||||
addr := net.JoinHostPort(host, strconv.Itoa(int(port)))
|
||||
ls, err := net.Listen("tcp", addr)
|
||||
if err != nil {
|
||||
return errors.Wrap(err, "监听端口失败")
|
||||
}
|
||||
defer utils.Close(ls)
|
||||
slog.Debug("正在监听端口", slog.Uint64("port", uint64(port)))
|
||||
|
||||
// 处理连接
|
||||
connCh := utils.ChanConnAccept(s.ctx, ls)
|
||||
defer close(connCh)
|
||||
|
||||
err = nil
|
||||
for loop := true; loop; {
|
||||
select {
|
||||
case <-s.ctx.Done():
|
||||
slog.Debug("socks 服务主动停止")
|
||||
loop = false
|
||||
case conn, ok := <-connCh:
|
||||
if !ok {
|
||||
err = errors.New("意外错误,无法获取连接")
|
||||
loop = false
|
||||
s.Close()
|
||||
break
|
||||
}
|
||||
s.wg.Add(1)
|
||||
go func() {
|
||||
defer s.wg.Done()
|
||||
// 连接要传出,不能在这里关闭连接
|
||||
err := s.process(conn)
|
||||
if err != nil {
|
||||
slog.Error("处理连接失败", err)
|
||||
}
|
||||
}()
|
||||
}
|
||||
}
|
||||
|
||||
// 关闭服务
|
||||
timeout, cancel := context.WithTimeout(context.Background(), 5*time.Second)
|
||||
defer cancel()
|
||||
wgCh := utils.ChanWgWait(timeout, &s.wg)
|
||||
|
||||
err = nil
|
||||
select {
|
||||
case <-timeout.Done():
|
||||
err = errors.New("关闭超时(强制关闭)")
|
||||
case <-wgCh:
|
||||
}
|
||||
|
||||
close(s.Conn)
|
||||
return err
|
||||
}
|
||||
|
||||
// Close 关闭服务
|
||||
func (s *Server) Close() {
|
||||
s.cancel()
|
||||
}
|
||||
|
||||
// process 建立连接
|
||||
func (s *Server) process(conn net.Conn) error {
|
||||
slog.Info("收到来自" + conn.RemoteAddr().String() + "的连接")
|
||||
const (
|
||||
successReply byte = iota
|
||||
serverFailure
|
||||
ruleFailure
|
||||
networkUnreachable
|
||||
hostUnreachable
|
||||
connectionRefused
|
||||
ttlExpired
|
||||
commandNotSupported
|
||||
addrTypeNotSupported
|
||||
)
|
||||
|
||||
// Process 处理连接
|
||||
func Process(ctx context.Context, conn net.Conn) (*core.Conn, error) {
|
||||
reader := bufio.NewReader(conn)
|
||||
|
||||
// 认证
|
||||
slog.Debug("开始认证流程")
|
||||
authContext, err := s.authenticate(reader, conn)
|
||||
auth, err := authenticate(ctx, reader, conn)
|
||||
if err != nil {
|
||||
utils.Close(conn)
|
||||
slog.Error("认证失败", err)
|
||||
return err
|
||||
} else {
|
||||
slog.Debug("认证完成")
|
||||
return nil, errors.Wrap(err, "认证失败")
|
||||
}
|
||||
|
||||
// 处理连接请求
|
||||
slog.Debug("处理连接请求")
|
||||
request, err := s.request(reader, conn)
|
||||
request, err := request(ctx, reader, conn)
|
||||
if err != nil {
|
||||
slog.Error("连接请求处理失败", err)
|
||||
return err
|
||||
} else {
|
||||
slog.Debug("连接请求处理完成")
|
||||
return nil, errors.Wrap(err, "处理连接请求失败")
|
||||
}
|
||||
|
||||
request.Authentication = authContext
|
||||
user, ok := conn.RemoteAddr().(*net.TCPAddr)
|
||||
if !ok {
|
||||
return fmt.Errorf("获取用户地址失败")
|
||||
// 代理连接
|
||||
if request.Command != ConnectCommand {
|
||||
return nil, errors.New("不支持的连接指令")
|
||||
}
|
||||
|
||||
request.RemoteAddr = &AddrSpec{
|
||||
IP: user.IP,
|
||||
Port: user.Port,
|
||||
}
|
||||
// 响应成功
|
||||
err = sendReply(conn, successReply, request.DestAddr)
|
||||
|
||||
// 处理请求
|
||||
slog.Debug("开始代理流量")
|
||||
err = s.handle(request, conn)
|
||||
if err != nil {
|
||||
return err
|
||||
}
|
||||
|
||||
return nil
|
||||
return &core.Conn{
|
||||
Conn: conn,
|
||||
Reader: reader,
|
||||
Protocol: "socks5",
|
||||
Tag: conn.RemoteAddr().String() + "_" + conn.LocalAddr().String(),
|
||||
Dest: request.DestAddr,
|
||||
Auth: auth,
|
||||
}, nil
|
||||
}
|
||||
|
||||
// checkVersion 检查客户端版本
|
||||
@@ -218,11 +96,280 @@ func checkVersion(reader io.Reader) error {
|
||||
return err
|
||||
}
|
||||
|
||||
slog.Debug("客户端请求版本", "version", version)
|
||||
|
||||
if version != Version {
|
||||
return errors.New("客户端版本不兼容")
|
||||
}
|
||||
|
||||
return nil
|
||||
}
|
||||
|
||||
// authenticate 执行认证流程
|
||||
func authenticate(ctx context.Context, reader *bufio.Reader, conn net.Conn) (*core.AuthContext, error) {
|
||||
|
||||
// 版本检查
|
||||
err := checkVersion(reader)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
// 获取客户端认证方式
|
||||
nAuth, err := utils.ReadByte(reader)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
methods, err := utils.ReadBuffer(reader, int(nAuth))
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
// 密码模式
|
||||
if slices.Contains(methods, UserPassAuth) {
|
||||
_, err := conn.Write([]byte{Version, byte(UserPassAuth)})
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "响应认证方式失败")
|
||||
}
|
||||
|
||||
// 检查认证版本
|
||||
slog.Debug("验证认证版本")
|
||||
v, err := utils.ReadByte(reader)
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "读取版本号失败")
|
||||
}
|
||||
if v != AuthVersion {
|
||||
_, err := conn.Write([]byte{Version, AuthFailure})
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "响应认证失败")
|
||||
}
|
||||
return nil, errors.New("认证版本参数不正确")
|
||||
}
|
||||
|
||||
// 读取账号
|
||||
slog.Debug("验证用户账号")
|
||||
uLen, err := utils.ReadByte(reader)
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "读取用户名长度失败")
|
||||
}
|
||||
usernameBuf, err := utils.ReadBuffer(reader, int(uLen))
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "读取用户名失败")
|
||||
}
|
||||
username := string(usernameBuf)
|
||||
|
||||
// 读取密码
|
||||
pLen, err := utils.ReadByte(reader)
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "读取密码长度失败")
|
||||
}
|
||||
passwordBuf, err := utils.ReadBuffer(reader, int(pLen))
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "读取密码失败")
|
||||
}
|
||||
password := string(passwordBuf)
|
||||
|
||||
// 检查权限
|
||||
authContext, err := core.CheckPass(conn, username, password)
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "权限检查失败")
|
||||
}
|
||||
|
||||
// 响应认证成功
|
||||
_, err = conn.Write([]byte{AuthVersion, AuthSuccess})
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "响应认证成功失败")
|
||||
}
|
||||
|
||||
return authContext, nil
|
||||
}
|
||||
|
||||
// 无认证
|
||||
if slices.Contains(methods, NoAuth) {
|
||||
_, err = conn.Write([]byte{Version, NoAuth})
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "响应认证方式失败")
|
||||
}
|
||||
|
||||
authContext, err := core.CheckIp(conn)
|
||||
if err != nil {
|
||||
return nil, errors.Wrap(err, "权限检查失败")
|
||||
}
|
||||
|
||||
return authContext, nil
|
||||
}
|
||||
|
||||
// 无适用的认证方式
|
||||
_, err = conn.Write([]byte{Version, NoAcceptable})
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
return nil, errors.New("没有适用的认证方式")
|
||||
}
|
||||
|
||||
type Request struct {
|
||||
Command uint8
|
||||
DestAddr *core.FwdAddr
|
||||
}
|
||||
|
||||
// request 处理连接请求
|
||||
func request(ctx context.Context, reader io.Reader, writer io.Writer) (*Request, error) {
|
||||
|
||||
// 检查版本
|
||||
err := checkVersion(reader)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
// 检查连接命令
|
||||
command, err := utils.ReadByte(reader)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
if command != ConnectCommand && command != BindCommand && command != AssociateCommand {
|
||||
err = sendReply(writer, commandNotSupported, nil)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
return nil, errors.New("不支持该连接指令")
|
||||
}
|
||||
|
||||
// 跳过保留字段 rsv
|
||||
_, err = utils.ReadByte(reader)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
// 获取目标地址
|
||||
dest, err := parseTarget(reader, writer)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
request := &Request{
|
||||
Command: command,
|
||||
DestAddr: dest,
|
||||
}
|
||||
|
||||
return request, nil
|
||||
}
|
||||
|
||||
func parseTarget(reader io.Reader, writer io.Writer) (*core.FwdAddr, error) {
|
||||
dest := &core.FwdAddr{}
|
||||
|
||||
aTypeBuf, err := utils.ReadByte(reader)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
switch aTypeBuf {
|
||||
|
||||
case ipv4Address:
|
||||
addr := make([]byte, 4)
|
||||
_, err := io.ReadFull(reader, addr)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
dest.IP = addr
|
||||
|
||||
case ipv6Address:
|
||||
addr := make([]byte, 16)
|
||||
_, err := io.ReadFull(reader, addr)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
dest.IP = addr
|
||||
|
||||
case fqdnAddress:
|
||||
aLenBuf := make([]byte, 1)
|
||||
_, err := reader.Read(aLenBuf)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
|
||||
fqdnBuff := make([]byte, int(aLenBuf[0]))
|
||||
_, err = io.ReadFull(reader, fqdnBuff)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
dest.Domain = string(fqdnBuff)
|
||||
|
||||
// 域名解析
|
||||
addr, err := net.ResolveIPAddr("ip", dest.Domain)
|
||||
if err != nil {
|
||||
err := sendReply(writer, hostUnreachable, nil)
|
||||
if err != nil {
|
||||
return nil, fmt.Errorf("failed to send reply: %v", err)
|
||||
}
|
||||
return nil, fmt.Errorf("failed to resolve destination '%v': %v", dest.Domain, err)
|
||||
}
|
||||
dest.IP = addr.IP
|
||||
|
||||
default:
|
||||
err := sendReply(writer, addrTypeNotSupported, nil)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
return nil, fmt.Errorf("unrecognized address type")
|
||||
}
|
||||
|
||||
portBuf := make([]byte, 2)
|
||||
_, err = io.ReadFull(reader, portBuf)
|
||||
if err != nil {
|
||||
return nil, err
|
||||
}
|
||||
dest.Port = int(binary.BigEndian.Uint16(portBuf))
|
||||
|
||||
return dest, nil
|
||||
}
|
||||
|
||||
func sendReply(w io.Writer, resp uint8, addr *core.FwdAddr) error {
|
||||
var addrType uint8
|
||||
var addrBody []byte
|
||||
var addrPort uint16
|
||||
switch {
|
||||
case addr == nil:
|
||||
addrType = ipv4Address
|
||||
addrBody = []byte{0, 0, 0, 0}
|
||||
addrPort = 0
|
||||
|
||||
case addr.Domain != "":
|
||||
addrType = fqdnAddress
|
||||
addrBody = append([]byte{byte(len(addr.Domain))}, addr.Domain...)
|
||||
addrPort = uint16(addr.Port)
|
||||
|
||||
case addr.IP.To4() != nil:
|
||||
addrType = ipv4Address
|
||||
addrBody = addr.IP.To4()
|
||||
addrPort = uint16(addr.Port)
|
||||
|
||||
case addr.IP.To16() != nil:
|
||||
addrType = ipv6Address
|
||||
addrBody = addr.IP.To16()
|
||||
addrPort = uint16(addr.Port)
|
||||
|
||||
default:
|
||||
return fmt.Errorf("failed to format address: %v", addr)
|
||||
}
|
||||
|
||||
msg := make([]byte, 6+len(addrBody))
|
||||
msg[0] = Version
|
||||
msg[1] = resp
|
||||
msg[2] = 0 // Reserved
|
||||
msg[3] = addrType
|
||||
copy(msg[4:], addrBody)
|
||||
msg[4+len(addrBody)] = byte(addrPort >> 8)
|
||||
msg[4+len(addrBody)+1] = byte(addrPort & 0xff)
|
||||
|
||||
_, err := w.Write(msg)
|
||||
return err
|
||||
}
|
||||
|
||||
func SendSuccess(user net.Conn, target net.Conn) error {
|
||||
local := target.LocalAddr().(*net.TCPAddr)
|
||||
bind := core.FwdAddr{IP: local.IP, Port: local.Port}
|
||||
err := sendReply(user, successReply, &bind)
|
||||
if err != nil {
|
||||
return err
|
||||
}
|
||||
return nil
|
||||
}
|
||||
|
||||
Reference in New Issue
Block a user