开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > 代理服务器 > 查看源码
socks5.conf.5
资源名称:socks5.zip [点击查看]
上传用户:sddyfurun
上传日期:2007-01-04
资源大小:525k
文件大小:14k
源码类别:

代理服务器

开发平台:

Unix_Linux

socks5.conf.5:源码内容
  1. .TH socks5.conf 5 "02 May 1997"
  2. .SH NAME
  3. socks5.conf - Configuration file for the socks5 daemon
  4. .SH SYNOPSIS
  5. The socks5 daemon usually reads the configuration file in /etc/socks5.conf. When you configure and build socks5 with the
  6. .PP
  7. .RS 5
  8. --with-srvconffile=fIfilenamefP
  9. .RE
  10. .PP
  11. option, you can change the directory. Under FreeBSD's UNIX port, the configuration file resides in /usr/local/etc/socks5.conf.
  12. .SH DESCRIPTION
  13. The socks5 daemon reads the configuration file when it starts and each time it receives an HUP signal. The configuration file contains the information the server needs to determine:
  14. .RS 5
  15. - the interface to use to reach an address
  16. .br 
  17. - when the server should connect directly to an address
  18. .br
  19. - when the server should use another proxy server
  20. .br
  21. - the necessary requirements to make a proxy connection
  22. .RE
  23. .PP
  24. The configuration file contains six sections:
  25. .RS 5
  26. - ban host 
  27. .br
  28. - authentication
  29. .br 
  30. - interfaces
  31. .br
  32. - variables and flags
  33. .br
  34. - proxies
  35. .br
  36. - access control
  37. .RE
  38. .PP
  39. In each section, the socks5 daemon sequentially reads each line until it encounters a matching line for that section. The order of sections and the order of lines within a section are crucial to achieving the desired result. Every entry in a line must match.
  41. .SH BAN HOST ENTRIES
  42. Ban host entries identify hosts from which the socks5 daemon should not accept connections and use the syntax:
  43. .PP
  44. .RS 5
  45. ban fIsource-host source-portfP
  46. .RE
  47. .TP 15
  48. .B ban
  49. Indicates not to attempt authentication
  50. .TP
  51. .B fIsource-hostfP
  52. Must be a valid fIhostpatternfP
  53. .TP
  54. fIsource-portfP
  55. Must be a valid fIportpatternfP
  56. .PP
  57. The socks5 daemon refuses connections originating from clients on fIsource-portfP at fIsource-hostfP.
  58. .SH AUTHENTICATION ENTRIES
  59. Authentication entries identify the types of authentication the socks5 daemon can use. Authentication lines use the syntax:
  60. .PP
  61. .RS 5
  62. auth fIsource-host source-port auth-methodsfP
  63. .RE
  64. .TP 15
  65. .B auth
  66. Identifies the entry as an authentication entry
  67. .TP
  68. .B fIsource-hostfP
  69. Must be a valid fIhostpatternfP
  70. .TP
  71. fIsource-portfP
  72. Must be a valid fIportpatternfP
  73. .TP 
  74. .B fIauth-methodsfP
  75. Must be a valid fIauthpatternfP
  76. .PP
  77. The socks5 daemon authenicates clients that originate on fIsource-portfP at fIsource-hostfP using fIauth-methodsfP.
  78. .PP
  79. When the configuration file does not contain fB authfP lines, any authentication works. Omitting auth lines is the same as specifying an fIauthpatternfP containing -, any authentication.  If fBauthfP lines are used, clients not matching will be refused.
  80. .PP
  81. When the socks5 daemon does not require authentication, it receives no user information unless socks5 configuration requires ident responses. Use the SOCKS5_DEMAND_IDENT environment variable to require ident responses. See socks5(1) for a complete description of socks5 environment variables.
  83. To ensure that the socks5 daemon receives usernames from the client, and to allow socks4 clients to use the server, set the fIauthpatternfP order to n,u. With socks5 clients, the socks daemon chooses Username/Password authentication before no authentication.
  84. .PP
  85. The socks5 daemon checks fIauth-methodsfP in reverse order, beginning with the last fIauth-methodfP in fIauthpatternfP. 
  86. .PP
  87. .SH INTERFACE ENTRIES
  88. On machines with multiple interfaces, and therefore multiple IP addresses, frequently administrators want to ensure that socks5 uses certain interfaces with certain addresses. This prevents outside machines from impersonating inside machines by requiring inside machines to use the inside interface and outside machines to use the outside interface. It also allows socks5 to determine on which interface to bind when accepting a bind request, or when issuing a sendto request. 
  89. .PP
  90. When socks5 fails to find a match in the configuration file, it uses INADDR_ANY to bind, and receives a connection on any interface. 
  91. .PP
  92. Single-homed hosts do not require interface entries. Only machines with more than one interface should use interface entries.
  93. .PP 
  94. Use this format for interface entries in the socks5.conf file:
  95. .RS 5
  96. .TP
  97.  interface fIhostpattern portpattern interface-addressfP
  98. .RE
  99. .TP 18
  100. .B interface
  101. Identifies interface entries
  102. .TP
  103. fIhostpatternfP
  104. Contains a source or destination host for a connection
  106. .TP
  107. fIportpatternfP
  108. Contains a source or destination port for a connection
  109. patternfP
  110. .TP
  111. .B fIinterface-addressfP
  112. Identifies the IP address of an interface card or the name of the interface, for example le0.
  113. .PP
  114. When fIhostpatternfP or fIportpatternfP specify a source address, the patterns define the fIinterface-addressfP clients must use to connect to the socks5 server when connecting from the host defined in fIhostpatternfP or the port defined in fIportpatternfP. Connection attempts from interface addresses other than fIinterface-addressfP fail.
  116. When fIhostpatternfP or fIportpatternfP specify a destination address, the patterns define the interface address the socks5 daemon uses to connect to the host defined in fIhostpatternfP or the port defined in fIportpatternfP.
  118. The fIinterfacefP entry replaces the fIroutefP entry of previous releases.  For the current release, the entries are equivalent.  In future releases, support for fIroutefP entries may be removed. 
  119. .pp
  120. .PP
  121. .SH VARIABLE ENTRIES
  122. Variables and flags in the configuration file control the amount and types of logging and information messages. The configuration file syntax for initializing variables is:
  123. .RS 5
  124. .TP
  125. set fIvariablefP fIvaluefP
  126. .RE
  127. .PP
  128. .TP 10
  129. set
  130. Identifies entries that initialize environment variables for internal use.
  131. .P
  132. Refer to the socks5(1) ENVIRONMENT section for complete details about socks5 environment variables and values.
  133. .PP
  134. .SH PROXY ENTRIES
  135. Proxy entries describe the addresses clients can only reach through other SOCKS servers and identify how the daemon contacts the host. The daemon contacts the host directly when the configuration file does not contain an entry for that host.
  136. .RS 5
  137. .PP
  138. .I proxy-type dest-host dest-port proxy-list
  139. .RE
  140. .PP
  141. .TP 15
  142. fIproxy-typefP
  143. Specifies the type of proxy server. Valid entries include: 
  144. .RS 20
  145. .TP 10
  146. socks5
  147. SOCKSv5
  148. .TP
  149. socks4
  150. SOCKS version 4
  151. .TP
  152. noproxy
  153. Make direct connection
  154. .RE
  155. .TP 15
  156. .B fIdest-hostfP
  157. Must be a valid fIhostpatternfP
  158. .TP
  159. .B fIdest-portfP
  160. Must be a valid fIportpatternfP
  161. .TP
  162. .B fIproxy-listfP
  163. Must be a valid fIproxypatternfP and identifies the proxy server(s) to use. 
  164. .PP
  165. The daemon uses the servers in fIproxy-listfP to connect to fIdest-portfP on fIdest-hostfP. The servers is fIproxy-listfP must be the same type servers as fIproxy-typefP.
  166. .PP
  167. .SH ACCESS CONTROL ENTRIES
  168. The access control section determines when the server permits or denies a request to establish a connection. The socks5 daemon denies a request if an access control line does not match the request, even after it has authenticated the host. 
  169. .PP
  170. There are two types of lines, permit lines and deny lines, with this syntax:
  171. .PP
  172. .RS 5
  173. permit fIauth cmd src-host dest-hostfP \
  174. .RE
  175. .RS 8
  176. fIsrc-port dest-port [user-list]fP
  177. .RE
  178. .PP
  179. .RS 5
  180. deny fIauth cmd src-host dest-hostfP \
  181. .RE
  182. .RS 8
  183. fI src-port dest-port [user-list]fP
  184. .RE
  185. .PP
  186. .TP 12
  187. .B fIauthfP
  188. Must be a valid fIauthpatternfP and specifies a list of authentication methods.
  189. .TP
  190. .B fIcmdfP
  191. Must be a valid fIcommandpatternfP and specifies the commands clients on fIsrc-hostfP can execute on fIdest-hostfP.
  192. .TP
  193. .B fIsrc-hostfP
  194. Must be a valid fIhostpatternfP
  195. .TP
  196. .B fIdest-hostfP
  197. Must be a valid fIhostpatternfP
  198. .TP
  199. .B fIsrc-portfP
  200. Must be a valid fIportpatternfP
  201. .TP
  202. .B fIdest-portfP
  203. Must be a valid fIportpatternfP 
  204. .TP 
  205. .B fIuser-listfP
  206. Must be a valid fIuserpatternfP.
  207. .PP
  208. The entire line matches only when all the entries match.
  209. .PP
  210. .SH PATTERNS
  211. .SH fIhostpatternfP
  212. socks5 requires host addresses and netmasks to determine the hosts that apply to a socks5.conf entry. Specify the host/mask pair as a fIhostpatternfP, using the format: 
  213. .TP 15
  214. .B hostip/mask
  215. Matches when a host address bitwise anded with the mask equals the hostip anded with the mask. Use the hostip/mask to mask the host portion of the address from the network or subnetwork portion.
  216. .TP
  217. .B -
  218. all hosts match
  219. .TP
  220. .B n1.
  221. equivalent to n1.0.0.0/255.0.0.0
  222. .TP
  223. .B n1.n2.
  224. equivalent to n1.n2.0.0/255.255.0.0
  225. .TP
  226. .B n1.n2.n3.
  227. equivalent to n1.n2.n3.0/255.255.255.0
  228. .TP
  229. .B .domain.name
  230. hostname must end with .domain.name
  231. .TP
  232. .B a.host.name
  233. hostname must match exactly with a.host.name.
  234. .PP
  235. Although socks5.conf supports older fIhostpatternfP syntax, we recommend using the newer method. The newer method is also easier to read. The older fIhostpatternfP syntax is:
  236. .RS 5
  237. .TP 15
  238. .B hostip/a
  239. all hosts match, same as "-"
  240. .TP
  241. .B hostip/n
  242. network match. Masks the host and subnet portions of the address, leaving the network portion. The IP address class for hostip determines the mask.
  243. .TP
  244. .B hostip/s
  245. subnet match. Masks the host portion of the address, leaving the subnetwork and network portion. The IP address class for hostip determines the mask.
  246. .TP
  247. .B hostip/h
  248. host match, the same as hostip
  249. .RE
  250. .PP
  251. .SH fIportpatternfP
  252. Specify ports in a fIportpatternfP as a service name, number, or range. Enclose ranges in brackets to indicate the range is inclusive, or parentheses to indicate the range is non-inclusive. Specify the range as two port names or numbers, separated by a comma, with no white space.
  253. .RS 5
  254. .TP 15
  255. .B tftp
  256. the service port for tftp, usually port 69
  257. .TP
  258. .B 80
  259. port 80
  260. .TP
  261. .B -
  262. all ports
  263. .TP
  264. .B [100,1000]
  265. ports 100 through 1000
  266. .TP
  267. .B (100,1000)
  268. ports 101 through 999
  269. .TP
  270. .B (100,1000]
  271. ports 101 through 1000
  272. .RE
  273. .PP
  274. .SH fIauthpatternfP
  275. Specify authentication methods in an fIauthpatternfP as a comma separated list of letters, with no white space. The socks5 daemon checks fI auth-methodsfP in reverse order, beginning with the last fIauth-methodfP in fI authpatternfP. socks5.conf recognizes these authentication methods:
  276. .RS 5
  277. .TP
  278. .B n
  279. No authentication. If you built the socks5 daemon with ident, the server authenticates UNIX users.
  280. .TP
  281. .B u
  282. Username/Password
  283. .TP
  284. .B k
  285. Kerberos 5 (GSS-API)
  286. .TP
  287. .B -
  288. any authentication method 
  289. .RE
  290. .PP
  291. The last fIauth-methodfP listed takes precedence over the methods listed first. For example, if you list:
  292. .RS 5
  293. .PP
  294. n,u,k 
  295. .PP
  296. .RE
  297. the server requests Kerberos authentication for socks5 clients. If the socks5 client is not set up to use Kerberos, the server uses Username/Password authentication. 
  298. .PP
  299. Since SOCKS4 clients can not use Kerberos or Username/Password authentication, the server does not require authentication for SOCKS4 clients. 
  300. .PP
  301. If you list:
  302. .RS 5
  303. .PP
  304. n,k,u
  305. .PP
  306. .RE
  307. the server requests Username/Password authentication for socks5 clients. Since SOCKS4 clients can not use Username/Password or Kerberos authentication, the server does not require authentication for SOCKS4 clients. 
  308. .PP
  309. .SH fIcommandpatternfP
  310. Specify commands in a fIcommandpatternfP as a comma separated list of letters, with no white space. socks5.conf recognizes these commands:
  311. .RS 5
  312. .TP
  313. .B c
  314. connect
  315. .TP
  316. .B b
  317. bind
  318. .TP
  319. .B u
  320. UDP
  321. .TP
  322. .B p
  323. ping
  324. .TP
  325. .B t
  326. traceroute
  327. .TP
  328. .B -
  329. all commands
  330. .RE
  331. .PP
  332. .SH fIuserpatternfP
  333. Specify multiple users in a fIuserpatternfP as a comma separated list of individual users, with no white space and no wild card patterns.
  334. .PP
  335. The user type must match the authentication method. For example, when you specify Username/Password authentication, the socks5 daemon expects socks5 users. When you specify Kerberos authentication, the socks5 daemon expects Kerberos users. A dash, -, matches all users.
  336. When you specify u and k in the fIauthpatternfP, fIuserpatternfP can contain valid Kerberos and socks5 users.
  337. .PP
  338. .SH fIproxypatternfP
  339. Specify socks5 daemons in a fIproxypatternfP as a comma separated list of fIserver-entriesfP, with no white space. 
  340. .PP
  341. Specify servers in order of preference. The client attempts to connect to servers in the order in which they are listed in the fIproxypatternfP. It only attempts connections to a server when the preceeding server is not available. 
  342. .PP
  343. .SH fIserver-entriesfP
  344. A server entry is a hostname or IP address, optionally followed by a colon and the port number, with no white space. When you omit the port number, socks5 uses the default port.
  345. .RS 5
  346. .TP 15
  347. .B host
  348. hostname, default port
  349. .TP
  350. .B host:port
  351. hostname, specified port
  352. .PP
  353. .RE
  354. .PP
  355. .SH EXAMPLES
  356. Refer to the examples directory for more complete examples.
  357. .PP
  358. .RS 5
  359. auth - - k
  360. .br
  361. permit k - 111.111.111. - - -
  362. .RE
  363. .PP
  364. Only kerberos authenticated users from the class C network 111.111.111.0 can use the server.
  365. .PP
  366. .RS 5
  367. socks5 - - s5srv1,s5srv2
  368. .br
  369. permit - - .mydomain.com - - -
  370. .RE
  371. .PP
  372. All socks5 requests connect through s5srv1. If s5srv1 is not available, all socks5 requests connect through s5srv2.  Only clients from .mydomain.com can use the server.
  373. .PP
  374. .RS 5
  375. auth otherserver - k
  376. .br
  377. noproxy .internal.net.com -
  378. .br
  379. socks5 - - otherserver
  380. .br
  381. permit - - .internal.net.com - - -
  382. .br
  383. permit k - otherserver - - -
  384. .br
  385. .RE
  386. .PP
  387. Clients from .internal.net.com can use the server without kerberos authentication.
  388. The socks5 server will connect directly to .internal.net.com hosts and proxy through
  389. another socks5 server, otherserver, for other hosts.  For the other socks5 server,
  390. otherserver, to proxy through this socks5 server, it must authenticate with kerberos.
  391. .PP
  392. .SH POOR CONFIGURATIONS
  393. As with any software that has security issues, proper configuration is a fBmustfP.  The 
  394. line
  395. .PP
  396. permit - - - - - -
  397. .PP
  398. should never be used.  With this configuration, malicious users could use the socks5
  399. server to hide their attack of other systems.  Always try to restrict based on source
  400. or destination host.
  401. .PP
  402. .SH SEE ALSO
  403. socks5(1), libsocks5.conf(5), sockd4_to_5.pl(1)
  404. .PP
  405. .SH AUTHORS
  406. NWSL SOCKS5 Development Team
  407. .PP
  408. Send comments to socks5-comments@socks.nec.com