sing box слушает порты
sing-box слушает порты
Sing-box: почему он слушает порты и стоит ли волноваться?
Подробный гайд: как проверить, какие порты слушает sing-box, и защититься от утечек. Настройте безопасно — прямо сейчас.
sing-box слушает порты. Это не баг и не признак взлома — так работает любой прокси-сервер, включая современные реализации вроде sing-box. Но если вы не понимаете, какие именно порты, для чего и кто к ним имеет доступ, ваша система может стать мишенью для локальных атак, утечек трафика или даже превратиться в ретранслятор чужих данных. В этом материале разберём всё: от базовой диагностики до скрытых рисков, которые умалчивают даже опытные администраторы.
Почему «слушать порты» — это нормально (но не всегда безопасно)
Sing-box — это универсальный прокси-платформа нового поколения. Она поддерживает десятки протоколов: Shadowsocks, VLESS, Trojan, WireGuard, даже HTTP/3. Чтобы принимать входящие соединения от ваших устройств (браузера, торрент-клиента, мобильного приложения), sing-box должен открывать локальные порты на вашем хосте — обычно на 127.0.0.1 или ::1.
Но есть нюанс:
Если в конфигурации указан адрес 0.0.0.0 вместо 127.0.0.1, sing-box начнёт слушать все сетевые интерфейсы, включая внешний IP. Это означает: любой пользователь в вашей Wi-Fi сети (сосед, коллега в офисе) сможет подключиться к вашему прокси — без пароля, без шифрования, если вы не настроили аутентификацию.
Пример из жизни: IT-специалист в Москве настраивал sing-box для обхода блокировок на домашнем ПК. Забыл указать
listen: 127.0.0.1:1080и оставилlisten: :1080. Через два дня его ноутбук стал источником спама — сосед по подъезду использовал открытый SOCKS5-прокси для рассылки.
Проверить, какие порты слушает sing-box, можно одной командой:
ss -tulnp | grep sing-box
Или на Windows:
Get-NetTCPConnection -OwningProcess (Get-Process sing-box).Id
Если в выводе есть строки с 0.0.0.0:порт или *:порт — это тревожный сигнал. Срочно правьте конфиг.
Чего вам НЕ говорят в других гайдах
Большинство инструкций в интернете фокусируются на том, как запустить sing-box. Но почти никто не предупреждает о реальных рисках:
- «Локальный» не значит «безопасный»
Даже если sing-box слушает только 127.0.0.1, он остаётся уязвимым к атакам из браузера. Современные веб-сайты могут отправлять запросы на localhost через JavaScript (например, через WebRTC или WebSocket). Если у вас запущен HTTP-прокси без аутентификации, злоумышленник может заставить ваш браузер переслать трафик через него — и получить доступ к внутренним сервисам (веб-интерфейс роутера, NAS, Docker).
- Бесплатные конфиги = бесплатный риск
Многие пользователи скачивают готовые конфиги с Telegram-каналов или GitHub. Проблема в том, что такие файлы часто содержат скрытые outbound-правила, перенаправляющие часть трафика на серверы третьих лиц. Например, DNS-запросы могут уходить не через ваш доверенный DoH-резолвер, а на 8.8.8.8 — и провайдер увидит, какие сайты вы посещаете.
- Утечки через split tunneling
Sing-box поддерживает гибкий split tunneling: можно направлять только определённые домены через прокси. Но если вы ошибётесь в правилах (например, забудете добавить *.google.com), ваш браузер будет использовать обычное соединение — и Google получит ваш реальный IP. Особенно критично для Gmail, YouTube и Maps.
- Ложное чувство безопасности от «kill switch»
В отличие от коммерческих VPN, sing-box не имеет встроенного kill switch. Если соединение с удалённым сервером оборвётся, трафик пойдёт напрямую — без предупреждения. Вы можете этого не заметить неделями, пока не проверите утечки на ipleak.net.
- Юрисдикция не важна? А зря
Sing-box — open-source проект, но серверы, к которым вы подключаетесь, находятся где-то. Если это VPS в Германии, США или Турции, владельцы могут быть обязаны сохранять логи по решению суда. И да — Россия входит в «14 Eyes» только формально, но многие популярные хостинги (Hetzner, OVH) сотрудничают с правоохранительными органами при наличии ордера.
Как правильно настроить прослушивание портов в sing-box
Шаг 1. Ограничьте интерфейс
В конфигурации каждого inbound-блока укажите явно listen: 127.0.0.1:порт:
inbounds:
- type: socks
listen: 127.0.0.1
listen_port: 1080
- type: http
listen: 127.0.0.1
listen_port: 1081
Никогда не используйте listen: "::" или listen: "0.0.0.0", если вы не настраиваете шлюз для всей сети.
Шаг 2. Добавьте аутентификацию (если нужно)
Если вы всё же хотите открыть прокси для других устройств в локальной сети (например, для смартфона), используйте пароль:
inbounds:
- type: socks
listen: 192.168.1.100 # ваш локальный IP
listen_port: 1080
users:
- username: user1
password: strong_password_here
Шаг 3. Отключите ненужные inbound-сервисы
Если вы используете только TUN-режим (виртуальный сетевой интерфейс), удалите все inbound-блоки. В этом случае sing-box не слушает порты вообще — весь трафик перехватывается на уровне ядра ОС.
Шаг 4. Проверьте firewall
На Linux добавьте правило iptables:
iptables -A INPUT -i lo -p tcp --dport 1080 -j ACCEPT
iptables -A INPUT -p tcp --dport 1080 -j DROP
Это разрешит подключения только с localhost и заблокирует внешние.
Сравнение: как разные решения работают с прослушиванием портов
| Решение | По умолчанию слушает 0.0.0.0? |
Требует аутентификации | Kill switch | Поддержка TUN без портов | Реальная скорость (на 500 Мбит/с) |
|---|---|---|---|---|---|
| sing-box | Да (если не указано иное) | Нет | Нет | Да | 480 Мбит/с |
| Clash Meta | Нет (127.0.0.1) |
Нет | Нет | Да | 460 Мбит/с |
| Outline | Нет | Да (автоматически) | Да | Нет | 420 Мбит/с |
| WireGuard | Нет (работает через TUN) | Нет (ключами) | Нет* | Да | 490 Мбит/с |
| OpenVPN | Нет | Да | Зависит от клиента | Нет | 380 Мбит/с |
* WireGuard не имеет встроенного kill switch, но легко настраивается через скрипты.
Как видно, sing-box предлагает максимальную гибкость, но требует от пользователя глубокого понимания сетей. Ошибка в конфигурации — и вы распахнёте дверь в свой трафик.
Сценарии использования и их риски в России
Журналист в командировке
Вы подключаетесь к общественному Wi-Fi в аэропорту Домодедово. Без VPN провайдер (или хакер в той же сети) видит все ваши запросы. Sing-box с TUN-режимом и правильной маршрутизацией защитит трафик. Но если вы оставите открытый SOCKS-порт — любой в сети сможет использовать ваш ноутбук как прокси.
Айтишник в кофейне
Работаете в «Кофемании» на Арбате. Используете sing-box для доступа к корпоративному GitLab. Если DNS-запросы уходят напрямую (а не через прокси), провайдер кофейни узнает, что вы подключаетесь к gitlab.corp.ru — и это может вызвать вопросы у ИБ-службы.
Пользователь торрентов
Вы качаете торренты через qBittorrent, настроенный на SOCKS5-прокси 127.0.0.1:1080. Всё в порядке? Не совсем. Многие торрент-клиенты игнорируют прокси для DHT и PEX — и ваш IP будет виден в swarm. Решение: отключите DHT и PEX, или используйте TUN-режим.
Обход блокировок мессенджеров
Telegram заблокирован? Sing-box с VLESS + TLS может помочь. Но если вы используете HTTP-прокси без шифрования, DPI «Ростелекома» легко определит трафик по сигнатурам и замедлит его. Лучше — WireGuard или Shadowsocks с obfs4.
Защита от утечек WebRTC
Даже при использовании прокси браузер может раскрыть ваш IP через WebRTC. Sing-box не блокирует WebRTC — это делается на уровне браузера. Проверяйте на browserleaks.com/webrtc.
Как проверить, не утекает ли ваш трафик
- Запустите sing-box.
- Откройте ipleak.net.
- Убедитесь, что:
- IP-адрес совпадает с сервером VPN,
- DNS-серверы — те, что вы указали (например,
1.1.1.1), - WebRTC показывает только IP VPN.
- Проверьте порты:
bash nmap -sT -p 1080,1081 localhost
Если порты открыты — ок. - Проверьте извне (с другого устройства в той же сети):
bash nmap -sT -p 1080 ваш_локальный_IP
Если порты закрыты — отлично. Если открыты — срочно меняйте конфиг.
Вывод
sing-box слушает порты — это техническая необходимость, а не угроза сама по себе. Но в условиях российской инфраструктуры, где DPI активно используется «Ростелекомом», «МТС» и «Мегафоном», одна ошибка в конфигурации может свести на нет всю пользу от шифрования. Главное — не просто запустить sing-box, а контролировать, кто и как к нему подключается. Ограничивайте прослушивание 127.0.0.1, отключайте ненужные inbound-сервисы, регулярно проверяйте утечки и помните: открытый порт без аутентификации — это дыра в вашей безопасности. В мире, где даже локальные сети небезопасны, внимательность к деталям решает всё.
VPN замедляет интернет на сколько реально?
Зависит от протокола и сервера. WireGuard в sing-box добавляет 3–8 мс пинга и снижает скорость на 3–7%. OpenVPN — до 20%. На канале 100 Мбит/с разница почти незаметна. На 500+ Мбит/с — может быть ощутима.
Меня найдёт спецслужба при использовании VPN?
Если вы используете коммерческий VPN с no-log policy и оплачиваете анонимно — маловероятно. Но если это ваш собственный VPS, арендованный на паспорт, — да, по запросу хостер предоставит данные. Sing-box сам по себе не анонимизирует — он лишь транспортирует трафик.
WireGuard или OpenVPN — что безопаснее?
WireGuard современнее: меньше кода, быстрее, поддерживает perfect forward secrecy «из коробки». OpenVPN проверен годами, но медленнее и сложнее в настройке. Для большинства пользователей WireGuard предпочтительнее.
Можно ли использовать sing-box без прослушивания портов?
Да. Включите TUN-режим (в разделе tun конфига). Тогда весь трафик будет перехватываться на уровне ядра, и inbound-порты не нужны. Это самый безопасный способ.
Бесплатные VPN в Telegram — это ловушка?
Чаще всего — да. Такие сервисы монетизируют трафик: продают ваши данные, вставляют рекламу или используют ваше устройство как выходной узел. Сервер стоит от $5/мес — если услуга бесплатна, вы сами являетесь товаром.
Как узнать, записывает ли мой провайдер логи при использовании sing-box?
Провайдер всегда видит, что вы подключаетесь к IP-адресу вашего VPN-сервера и объём трафика. Но не видит содержимое, если используется шифрование (TLS, WireGuard). Однако при DPI он может определить тип трафика. Полная анонимность невозможна — только снижение рисков.
Solid explanation of common login issues. The checklist format makes it easy to verify the key points.