Ubuntu 24.04 Üzerinde Shadowsocks-libev Proxy Sunucusunun Kurulumu ve Yapılandırılması

Ubuntu 24.04'te düşük gecikmeli, güvenli ve hafif bir proxy nasıl kurulur?

Bu adım adım kılavuz, hafif, düşük gecikmeli ve güvenli bir proxy'ye ihtiyaç duyan sunucu yöneticileri, geliştiriciler, ağ yöneticileri ve kullanıcılar için yazılmıştır. Shadowsocks-libev Bu, filtrelemeyi atlatmak ve güvenli bir proxy tüneli oluşturmak için tasarlanmış, Shadowsocks protokolünün hafif ve hızlı bir uygulamasıdır.

Aşağıda Ubuntu 24.04 üzerine kurulum, doğru yapılandırma (AEAD dahil), güvenlik duvarı kurulumu, ağ optimizasyonu (BBR, TCP Fast Open) ve alım satım, oyun ve web hizmetlerinde kullanım için güvenlik ve pratik ipuçları açıklanmaktadır. Ayrıca, konum ve plan seçimini kolaylaştırmak için 85'ten fazla küresel konum, alım satıma özel VPS ve DDoS saldırılarına karşı koruma sağlayan sunucular gibi hizmetlerden de bahsedilmektedir.

Ön koşullar ve konum seçimi

Önkoşullar:

• Ubuntu 24.04 sunucusu, erişim imkanıyla birlikte. kök Veya bir kullanıcı ile sudo.
• Portu (örneğin 8388) ve güvenlik duvarını açın.
• Doğru konumu seçin: Oyunda veya ticarette en düşük ping için hedef sunucuya yakın bir konum seçin (örneğin Frankfurt, Londra, Singapur, Tokyo, New York).
• DDoS saldırılarından endişe ediyorsanız, DDoS karşıtı sunucular veya CDN/BGP hizmetleri kullanın.

Ubuntu 24.04'e Shadowsocks-libev Kurulumu

Resmi apt paketini kullanan hızlı ve istikrarlı yöntem, kullanıcıların büyük çoğunluğu için uygundur. En yeni özelliklere veya yeni eklentilere ihtiyacınız varsa, GitHub paketlerini veya PPA'ları kullanabilirsiniz, ancak çoğu durumda apt yeterli olacaktır.

Hızlı yöntem (resmi apt paketinden)

sudo apt update && sudo apt install -y shadowsocks-libev

Kurulumu onaylamak için:

ss-server --version

Temel bir yapılandırma dosyası oluşturun.

Varsayılan yapılandırma dosyası: /etc/shadowsocks-libev/config.json

{
  "server":"0.0.0.0",
  "server_port":8388,
  "password":"VeryStrongPasswordHere!",
  "method":"chacha20-ietf-poly1305",
  "mode":"tcp_and_udp",
  "timeout":300,
  "fast_open":true
}

Önemli noktalar:

• yöntem: AEAD yöntemlerinden, örneğin chacha20-ietf-poly1305 Veya aes-256-gcm Bu yöntemleri kullanın; daha güvenli ve daha etkilidirler.
• mod: Miktar “tcp_ve_udp” UDP yönlendirmesine ihtiyacınız varsa (oyun veya VoIP için) etkinleştirin.
• hızlı_açılış: Sysctl'i yalnızca çekirdek destekliyorsa ve uygun şekilde yapılandırılmışsa etkinleştirin.

sudo chown root:root /etc/shadowsocks-libev/config.json
sudo chmod 600 /etc/shadowsocks-libev/config.json

systemd servislerini başlatma ve yönetme

Hizmeti varsayılan olarak veya birden fazla yapılandırma/bağlantı noktası için bir örnek adı ile çalıştırabilirsiniz.

A) Varsayılan dosyayı kullanma

sudo systemctl enable --now shadowsocks-libev
sudo systemctl status shadowsocks-libev

b) Bir örnek kullanmak (birden fazla yapılandırma/bağlantı noktası için)

Dosyayı şu şekilde kaydederseniz: /etc/shadowsocks-libev/config-server1.json Kaydetmek:

sudo systemctl enable --now shadowsocks-libev@config-server1
sudo systemctl status shadowsocks-libev@config-server1

Günlüğü görüntüle:

sudo journalctl -u shadowsocks-libev -f
sudo journalctl -u shadowsocks-libev@config-server1 -f

Güvenlik duvarı ve ağ kurallarının yapılandırılması

UFW (basit)

sudo ufw allow 22/tcp                # SSH
sudo ufw allow 8388/tcp
sudo ufw allow 8388/udp
sudo ufw enable
sudo ufw status

iptables (güvenlik amacıyla bağlantıları sınırlama örneği)

sudo iptables -I INPUT -p tcp --dport 8388 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -I INPUT -p udp --dport 8388 -j ACCEPT

# rate limiting to mitigate brute-force
sudo iptables -A INPUT -p tcp --dport 8388 -m recent --name ss --set
sudo iptables -A INPUT -p tcp --dport 8388 -m recent --name ss --update --seconds 10 --hitcount 20 -j DROP

Kuralları kaydetmek için:

sudo apt install -y iptables-persistent
sudo netfilter-persistent save

Ağ ve performans optimizasyonu (BBR, TCP Fast Open, sysctl)

Gecikmeyi azaltmak ve veri aktarım hızını artırmak için BBR'yi ve bazı sysctl ayarlarını etkinleştirmeniz önerilir.

BBR'yi ve önerilen ayarları etkinleştirme

sudo tee /etc/sysctl.d/99-sysctl.conf <<EOF
net.core.default_qdisc = fq
net.ipv4.tcp_congestion_control = bbr
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_syncookies = 1
net.core.somaxconn = 4096
net.core.netdev_max_backlog = 5000
net.ipv4.ip_forward = 1
EOF
sudo sysctl --system

Onaylamak için:

sysctl net.ipv4.tcp_congestion_control
ss -tuna | grep bbr

İstemciler ve bağlantı testi

(1080 portunda ss-local çalıştırdıktan sonra) curl ile basit bir test.

Müşteri tarafında:

ss-local -s SERVER_IP -p 8388 -l 1080 -k "VeryStrongPasswordHere!" -m chacha20-ietf-poly1305 &
curl --socks5-hostname 127.0.0.1:1080 https://api.ipify.org

Döndürülen IP adresi sunucu IP adresi ise bağlantı başarılıdır.

Ortak müşteriler

• Windows: Shadowsocks-Windows Veya V2RayN
• macOS: ShadowsocksX-NG
• Android: Gölge çorapları (F-Droid veya PlayStore)
• Linux: ss-yerel/ss-yönlendirme Paketin içinden gölgeçorap-libev Veya Outline gibi grafik kullanıcı arayüzleri

UDP yönlendirmesi (Oyun veya VoIP için) Her iki tarafta da UDP desteği ve kurulumu gereklidir. “mod”:”tcp_and_udp” Öyledir.

Pratik güvenlik ve kullanıcı yönetimi

• Güçlü parola: Benzersiz ve güçlü şifreler kullanın ve AEAD yöntemlerini tercih edin.
• Günlük kaydı izleme: İtibaren günlükctl Veya izleme araçlarını kullanın.
• IP erişim kısıtlaması: Güvenlik duvarında yalnızca belirli IP adreslerine izin verin (örneğin, VPS işlemleri için aracı kurumun IP adresi).

Fail2ban'ı kullanmak

cat > /etc/fail2ban/jail.d/shadowsocks.conf <<EOF
[shadowsocks]
enabled = true
filter = shadowsocks
port = 8388
logpath = /var/log/syslog
maxretry = 5
bantime = 3600
EOF

Gelişmiş senaryolar: çoklu portlar, şeffaf proxy ve eklentiler

Çoklu hizmetler ve limanlar

Birden fazla hesap/bağlantı noktası sağlamak için birden fazla yapılandırma dosyası ve systemd örneği kullanın:

/etc/shadowsocks-libev/config-user1.json
/etc/shadowsocks-libev/config-user2.json

sudo systemctl enable --now shadowsocks-libev@config-user1
sudo systemctl enable --now shadowsocks-libev@config-user2

ss-redir ile şeffaf proxy

Trafiği dahili sunuculara yönlendirmeye ilişkin örnek:

ss-redir -c /etc/shadowsocks-libev/redir-config.json &

sudo iptables -t nat -N SHADOWSOCKS
sudo iptables -t nat -A PREROUTING -p tcp -j SHADOWSOCKS
sudo iptables -t nat -A SHADOWSOCKS -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 12345

(12345 numaralı port, ss-redir portudur)

Eklentiler kullanarak (v2ray-plugin veya obfs)

DPI'yı atlamak ve eklentilerden gelen paketleri tespit etmek için, v2ray-eklentisi Kullanım. Yapılandırma dosyasındaki örnek seçenekler:

{
  "plugin":"v2ray-plugin",
  "plugin_opts":"server;tls;host=example.com;path=/ws"
}

Bakım, izleme ve ölçeklenebilirlik

Prometheus + Grafana gibi izleme araçlarını veya daha basit yöntemleri kullanarak netdata İzleme amacıyla kullanılır.

Tüketimi kontrol etmek için: tepe, htop, iftop, nload.

Yük artarsa, otomatik ölçeklendirme veya yük dengeleyici özelliğine sahip bir bulut sunucusu kullanın veya güçlü paket yönlendirme ve BGP ağ planlarına sahip sunucuları tercih edin.

Hizmetler ve konum seçimiyle ilgili son ipuçları

85'ten fazla küresel lokasyona sahip olmak, sunucuların ticaret noktasına, oyun sunucusuna veya son kullanıcılara en yakın yere yerleştirilmesini sağlayarak en düşük ping ve istikrarsızlığı elde etmemize olanak tanır.

Düşük ping gereksinimleriyle işlem yapmak için Frankfurt, Londra, New York ve Singapur gibi lokasyonlar uygundur. Optimize edilmiş ping ve DDoS saldırılarına karşı korumalı sunucular içeren özel VPS hizmetleri de mevcuttur.

Büyük veri transferleri (örneğin yapay zeka işleme veya görüntü oluşturma) için yüksek bant genişliğine ihtiyacınız olacaktır; GPU hizmetleri bir proxy çözümüyle birleştirilebilir, ancak bant genişliğini de göz önünde bulundurun.

Sıkça Sorulan Sorular