了解 SOCKS5 协议 RFC

Posted 2023-02-24

【中文标题】了解 SOCKS5 协议 RFC

【英文标题】：Understanding the SOCKS5 protocol RFC

【发布时间】：2016-04-23 10:08:29

【问题描述】：

我正在阅读 SOCKS5 RFC，它有：

连接

在对 CONNECT 的回复中，BND.PORT 包含连接的端口号 服务器分配连接到目标主机，而 BND.ADDR 包含关联的 IP 地址。提供的 BND.ADDR 通常是 不同于客户端用于访问 SOCKS 的 IP 地址 服务器，因为此类服务器通常是多宿主的。预计 SOCKS 服务器将使用 DST.ADDR 和 DST.PORT，并且 评估 CONNECT 时的客户端源地址和端口 请求。

对于本段的最后一部分，我有两个问题：

文档指出 SOCKS 服务器通常是多宿主的，并且会回复客户端的绑定地址和端口，而不是客户端最初连接的绑定地址和端口。这是否意味着客户端连接的 SOCKS 服务器将连接重定向到另一个 SOCKS 服务器？如果是这样，让客户端感知重定向的 SOCKS 服务器的存在有什么意义？客户端通常会如何处理 SOCKS 服务器回复的绑定地址和端口？ 文档中说预计SOCKS服务器会使用DST.ADDR和DST.PORT，以及客户端源地址和端口来评估CONNECT请求，到底是什么意思通过评估 CONNECT 请求？如果我正在实施 SOCKS 服务器，我应该在这个评估过程中做什么？

【参考方案1】：

SOCKS 代理是多宿主的，因为它们通常安装在防火墙等网络边界处。客户端连接到防火墙的内部接口，但传出地址是外部地址。由于某些协议（如 FTP）需要包含外部可见 IP 地址和带内端口（请参阅 FTP 数据传输，即 PORT 和 PASV），因此它们需要知道这个外部可见 IP 和端口。 普通的 socks 代理将连接到客户端想要的位置，即 DST。但是，当配置了上游代理或防火墙 ACL 声明不同时，代理的行为可能会有所不同。

【参考方案2】：

没有。这意味着服务器有 2 个（或更多）网卡/连接 - 您在 cardA 上与服务器通信，但当该服务器连接到下游设备时，它使用 cardB。 这完全取决于您...也许您想将某些客户端/服务器/端口列入黑名单/白名单（例如，仅允许来自您所在国家/地区的客户端，或仅允许连接到特定国家/地区）。很好的例子是不让客户端连接回自身（？）。只是一个猜测。通常 RFC 很擅长说“必须、可能、不得等”……如果它说“预期”，对我来说这听起来像是“可能”，基本上意味着“可以，但不必这样做”。