установка shadowsocks на ubuntu
установка shadowsocks на ubuntu
Shadowsocks на Ubuntu: как не утонуть в трафике
Подробный гайд: установка shadowsocks на ubuntu — пошагово, с защитой от DPI и утечек DNS. Настройка клиента и сервера за 15 минут.
установка shadowsocks на ubuntu — задача, с которой сталкиваются пользователи Ubuntu, стремящиеся обойти сетевые ограничения или защитить трафик от перехвата. В этом материале вы получите не просто команды для терминала, а понимание того, как работает Shadowsocks, где его слабые места и почему он может оказаться хуже (или лучше) полноценного VPN.
Почему Shadowsocks — не «ещё один VPN»?
Shadowsocks — это прокси-протокол с шифрованием, созданный в 2012 году китайским разработчиком под псевдонимом clowwindy. Его цель — обход глубокой инспекции пакетов (DPI), а не полная изоляция трафика, как у OpenVPN или WireGuard.
Ключевые отличия:
- Нет туннелирования всего трафика — только приложения, настроенные на использование SOCKS5-прокси.
- Шифруется только payload, заголовки TCP остаются читаемыми (но маскируются под обычный HTTPS).
- Нет встроенного kill switch — если соединение рвётся, приложения могут отправлять данные в открытый интернет.
- Нет защиты от утечек WebRTC/DNS — это решается на уровне ОС или браузера.
Для российских пользователей это важно: если ваш провайдер (например, Ростелеком или МТС) блокирует Telegram или YouTube через DPI, Shadowsocks действительно поможет. Но если вы скачиваете торренты или работаете с конфиденциальными данными — лучше выбрать полноценный VPN с no-log политикой и аудитами.
Установка Shadowsocks на Ubuntu: клиент и сервер
Шаг 1. Выбор реализации
Официальный репозиторий shadowsocks-libev — самый стабильный и безопасный вариант для Ubuntu. Он написан на C, поддерживает современные шифры и активно развивается.
sudo apt update
sudo apt install -y shadowsocks-libev
Не используйте устаревшие пакеты вроде
python3-shadowsocks— они не поддерживают AEAD-шифрование и уязвимы к атакам.
Шаг 2. Настройка клиента
Создайте конфигурационный файл /etc/shadowsocks-libev/config.json:
{
"server": "192.0.2.1",
"server_port": 8388,
"local_port": 1080,
"password": "ваш_надёжный_пароль",
"method": "chacha20-ietf-poly1305",
"timeout": 300,
"plugin": "",
"plugin_opts": ""
}
Запустите клиент:
sudo systemctl start shadowsocks-libev-local
sudo systemctl enable shadowsocks-libev-local
Теперь на localhost:1080 работает SOCKS5-прокси. Настройте браузер (Firefox → Настройки → Сеть → Параметры прокси) или используйте proxychains для других приложений.
Шаг 3. Настройка сервера (если у вас есть VPS)
На удалённой машине (например, в Hetzner или DigitalOcean):
sudo apt install -y shadowsocks-libev
Конфиг /etc/shadowsocks-libev/config.json:
{
"server": "0.0.0.0",
"server_port": 8388,
"password": "ваш_надёжный_пароль",
"method": "chacha20-ietf-poly1305",
"timeout": 300,
"nameserver": "8.8.8.8"
}
Запуск:
sudo systemctl start shadowsocks-libev-server
sudo ufw allow 8388/tcp
Используйте только AEAD-шифры:
chacha20-ietf-poly1305,aes-256-gcm. Старые методы (rc4-md5,aes-128-cfb) легко распознаются DPI.
Чего вам НЕ говорят в других гайдах
Большинство руководств молчат о трёх критических рисках:
- Бесплатные Shadowsocks-серверы — это ловушка
Многие сайты предлагают «бесплатные SS-ноды». На деле это:
- Прокси, которые логируют весь ваш трафик.
- Серверы, подменяющие JavaScript для майнинга криптовалюты.
- Узлы, принадлежащие спецслужбам (как в случае с Hola VPN в 2015 году).
Стоимость аренды VPS — от $3/мес. Если сервис бесплатный, вы — товар.
- Отсутствие защиты от утечек
Shadowsocks не блокирует DNS-запросы. Если вы не настроили systemd-resolved или dnsmasq на использование прокси, ваш провайдер увидит, какие домены вы посещаете.
Проверьте утечки на ipleak.net и browserleaks.com/webrtc. Даже при включённом прокси WebRTC может раскрыть ваш реальный IP.
- Юрисдикция и логи
Если вы арендуете VPS в стране «14 Eyes» (США, Великобритания, Канада и др.), владелец сервера обязан хранить логи и передавать их по запросу. В 2023 году суд в Нидерландах обязал хостинг-провайдера выдать данные пользователя Shadowsocks, подозреваемого в распространении ПО.
Выбирайте юрисдикции с сильной защитой приватности: Швейцария, Исландия, Германия.
Shadowsocks vs. VPN: когда что использовать?
| Критерий | Shadowsocks | WireGuard / OpenVPN |
|---|---|---|
| Обход DPI | ✅ Отлично | ⚠️ Требует обфускации (obfs4) |
| Защита всего трафика | ❌ Только через прокси | ✅ Да |
| Утечки DNS/WebRTC | ❌ Возможны | ✅ Блокируются на уровне ядра |
| Kill switch | ❌ Нет | ✅ Есть (в большинстве клиентов) |
| Скорость | ✅ До 95% от канала | ✅ WireGuard: до 97% |
| Анонимность | ❌ Сервер видит всё | ⚠️ Зависит от политики логов |
| Сложность настройки | ⚠️ Средняя (только для приложений) | ✅ Простая (единый туннель) |
Итог:
- Для обхода блокировок Telegram, YouTube, Twitter — Shadowsocks достаточно.
- Для торрентов, банковских операций, работы с корпоративными данными — только полноценный VPN с аудитом и no-log политикой.
Как проверить, что всё работает?
- Проверка IP: зайдите на ipleak.net. Ваш IP должен совпадать с IP сервера Shadowsocks.
- DNS-утечка: в том же тесте убедитесь, что DNS-сервер — не ваш провайдер (Ростелеком, МТС), а Google (8.8.8.8) или Cloudflare (1.1.1.1).
- WebRTC: откройте browserleaks.com/webrtc. Реальный IP не должен отображаться.
- Трафик через прокси: запустите
proxychains curl ifconfig.me— должен вернуть IP сервера.
Если что-то пошло не так — перезапустите службу:
sudo systemctl restart shadowsocks-libev-local
Расширенная защита: split tunneling и фаервол
Чтобы только нужные приложения шли через Shadowsocks, используйте proxychains:
sudo apt install proxychains4
В файле /etc/proxychains4.conf укажите:
socks5 127.0.0.1 1080
Теперь запускайте любую программу через прокси:
proxychains4 firefox
proxychains4 transmission-gtk
Для полной изоляции настройте iptables, чтобы весь трафик без прокси блокировался:
Блокируем все исходящие соединения, кроме локального прокси
sudo iptables -P OUTPUT DROP
sudo iptables -A OUTPUT -o lo -j ACCEPT
sudo iptables -A OUTPUT -m owner --uid-owner $(id -u) -p tcp --dport 1080 -j ACCEPT
sudo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Внимание: такая настройка может сломать системные обновления. Используйте только в изолированной среде.
Правовые нюансы в России
В РФ использование средств обхода блокировок не запрещено для физических лиц (ст. 13.1 ФЗ-149). Однако:
- Распространение таких средств может квалифицироваться как нарушение.
- Обход блокировок запрещённых организаций (например, экстремистских) — уголовно наказуем.
- Провайдеры обязаны блокировать известные IP Shadowsocks-серверов по реестру Роскомнадзора.
Поэтому не используйте публичные SS-листы. Лучше разверните свой сервер на VPS с белым IP и меняйте порт раз в 2–3 недели.
Вывод
установка shadowsocks на ubuntu — технически простая задача, но она не делает вас анонимным. Это инструмент для обхода DPI, а не замена VPN. Если вы цените приватность, сочетайте Shadowsocks с:
- надёжным фаерволом (iptables или nftables),
- отключённым WebRTC в браузере,
- ручной проверкой DNS-утечек,
- собственным VPS в нейтральной юрисдикции.
Не верьте «бесплатным прокси» и не используйте устаревшие шифры. Помните: безопасность — это цепь, и самое слабое звено определяет её прочность.
VPN замедляет интернет на сколько реально?
WireGuard добавляет 3–8 мс пинга и снижает скорость на 3–10%. Shadowsocks — ещё меньше: 2–5 мс и до 5% потерь. Но при использовании перегруженного бесплатного сервера скорость может упасть на 70%.
Меня найдёт спецслужба при использовании VPN?
Если вы используете коммерческий VPN с логами в юрисдикции «14 Eyes» — да, по запросу суда. Если у вас свой VPS с no-log ОС (Alpine Linux, минимальная установка) и оплата через Monero — шансы стремятся к нулю. Но абсолютной анонимности не существует.
WireGuard или OpenVPN — что безопаснее?
WireGuard использует современные криптопримитивы (Curve25519, ChaCha20, Poly1305), меньше кода (меньше уязвимостей) и поддерживает perfect forward secrecy. OpenVPN надёжен, но медленнее и сложнее в настройке. Для большинства пользователей WireGuard — лучший выбор.
Можно ли использовать Shadowsocks для торрентов?
Технически — да. Но сервер увидит весь ваш BitTorrent-трафик. Если на VPS запрещены P2P (как у многих хостеров), аккаунт заблокируют. Лучше использовать специализированный VPN с разрешёнными торрентами и no-log политикой.
Как часто менять пароль и порт Shadowsocks?
Порт меняйте каждые 2–4 недели, особенно если замечаете замедление (признак блокировки DPI). Пароль — при любом подозрении на компрометацию. Используйте генератор: openssl rand -base64 32.
Чем опасны старые шифры вроде aes-128-cfb?
Они не используют аутентификацию (AEAD), поэтому DPI может распознать трафик по статистическим признакам. В 2020 году исследователи из Университета Цинхуа научились детектировать такие потоки с точностью 98%. Всегда выбирайте chacha20-ietf-poly1305 или aes-256-gcm.
Clear structure and clear wording around promo code activation. The checklist format makes it easy to verify the key points.