Shadowsocks：构建你的加密网络通道

互联网的边界正在逐渐模糊，而 Shadowsocks 正是连接你与全球网络的桥梁之一。它通过巧妙的网络转发机制，为你提供一个安全、私密的网络通道。

核心原理：穿透与加密

想象一下，你想要访问一个在本地“看不见”的网站。Shadowsocks 就像一个智能的信使：

1. 本地客户端 (sslocal)：当你发起一个网络请求时，你的电脑上运行的 sslocal 会将这个请求进行加密，然后发送到一个远程服务器。
2. 远程服务器 (ssserver)：部署在海外服务器上的 ssserver 接收到这个加密的请求后，会将其解密，然后代你去访问目标网站。
3. 数据回传：目标网站返回的数据，会先被 ssserver 接收并加密，然后发送回你的 sslocal。
4. 本地解密：sslocal 接收并解密数据后，最终呈现给你。

整个过程中，数据在传输时始终保持加密状态，这为你的网络活动提供了一层重要的隐私保护。

要开启这段探索之旅，你需要准备一台海外虚拟私人服务器（VPS），这是你加密通道的“落脚点”，建议选择距离你较近或网络质量较好的地区，如日本、新加坡或美国。

服务器端部署

我们将使用 shadowsocks-rust，这是一个高性能的 Shadowsocks 实现。以下是一个简化脚本，用于在 Debian / Ubuntu 系统上快速部署 ssserver，主要用于演示其基本原理：

#!/bin/bash
ssHome="/opt/shadowsocks"      # 安装目录
ssVersion="v1.22.0"            # Shadowsocks-Rust 版本
ssPort=12345                   # 服务监听端口
ssPassword="hello-ss"          # 强密码建议更换

# 安装必要工具
apt update
apt install -y curl tar xz-utils

# 创建安装目录
mkdir -p "$ssHome"

# 下载并解压 Shadowsocks-Rust（使用 curl）
if [[ ! -f "$ssHome/ssserver" ]]; then
  curl -sL -o "$ssHome/ss.tar.xz" \
    "https://github.com/shadowsocks/shadowsocks-rust/releases/download/$ssVersion/shadowsocks-${ssVersion}.x86_64-unknown-linux-gnu.tar.xz"
  tar -xf "$ssHome/ss.tar.xz" -C "$ssHome"
  rm "$ssHome/ss.tar.xz"
fi

# 后台运行 Shadowsocks 服务
nohup "$ssHome/ssserver" \
  --server-addr "[::]:$ssPort" \
  --encrypt-method "aes-256-gcm" \
  --password "$ssPassword" \
  -U > /dev/null 2>&1 &

#!/bin/bash
ssHome="/opt/shadowsocks"      # 安装目录
ssVersion="v1.22.0"            # Shadowsocks-Rust 版本
ssPort=12345                   # 服务监听端口
ssPassword="hello-ss"          # 强密码建议更换

# 安装必要工具
apt update
apt install -y curl tar xz-utils

# 创建安装目录
mkdir -p "$ssHome"

# 下载并解压 Shadowsocks-Rust（使用 curl）
if [[ ! -f "$ssHome/ssserver" ]]; then
  curl -sL -o "$ssHome/ss.tar.xz" \
    "https://github.com/shadowsocks/shadowsocks-rust/releases/download/$ssVersion/shadowsocks-${ssVersion}.x86_64-unknown-linux-gnu.tar.xz"
  tar -xf "$ssHome/ss.tar.xz" -C "$ssHome"
  rm "$ssHome/ss.tar.xz"
fi

# 后台运行 Shadowsocks 服务
nohup "$ssHome/ssserver" \
  --server-addr "[::]:$ssPort" \
  --encrypt-method "aes-256-gcm" \
  --password "$ssPassword" \
  -U > /dev/null 2>&1 &

重要提示：

• 请将 ssPort 修改为一个未被占用的端口号，别忘了确认您的云端防火墙（如果已启用）和本地防火墙（如果已启用）均已开放该端口。
• 将 ssPassword 替换为一个足够复杂的安全密码。
• aes-256-gcm 是推荐的加密方式。

脚本执行完毕后，你的服务器就已经准备就绪。请务必记下以下信息：

• 服务器 IP 地址
• 配置的端口号 (例如：12345)
• 设置的密码 (例如：hello-ss)
• 加密方式 (例如：aes-256-gcm)

客户端连接与监听

接下来，在你的本地电脑上，运行 sslocal 客户端，使其连接到远程服务器：

sslocal.exe --local-addr "127.0.0.1:1080" --server-addr "<服务器 IP>:12345" `
  --encrypt-method "aes-256-gcm" --password "hello-ss"

sslocal.exe --local-addr "127.0.0.1:1080" --server-addr "<服务器 IP>:12345" `
  --encrypt-method "aes-256-gcm" --password "hello-ss"

请将 <服务器 IP> 替换为你的 VPS 实际 IP 地址。这个命令的作用是：

• --server-addr：指定了你的 Shadowsocks 服务器的 IP 和端口。
• --encrypt-method 和 --password：必须与服务器端保持一致。
• --local-addr "127.0.0.1:1080"：意味着 sslocal 会在你的本地电脑上监听 1080 端口，并提供一个本地 SOCKS5 代理服务。这是你的应用程序连接 Shadowsocks 的入口。

配置系统代理

Shadowsocks 本地客户端提供的是 SOCKS5 代理服务。为了让你的浏览器或其他应用程序通过 Shadowsocks 访问网络，你需要将系统代理指向 sslocal 监听的本地地址和端口。

以 Windows 11 为例：

1. 打开 “设置” → “网络和 Internet” → “代理”。
2. 找到 “使用代理服务器” 选择 “代理设置”。
3. 启用 “代理服务器”。
4. 在地址栏填写：127.0.0.1。
5. 在端口栏填写：1080。
6. 点击 “保存”。

完成这些步骤后，你的系统流量将被引导至 Shadowsocks 客户端，从而实现国际网络的访问。

你的加密网络通道已就绪

你可以随时控制你的 Shadowsocks 连接：

• 本地断开：直接关闭运行 sslocal 的命令行窗口。
• 服务器端停止：在 VPS 上，你可以通过 kill 命令停止 ssserver 进程。
• 系统代理调整：在系统设置中关闭 SOCKS 代理。

整个 Shadowsocks 的构建流程可以概括为以下三个核心步骤：

1. 在远程服务器上运行 ssserver，作为你的加密数据中转站。
2. 在本地电脑上运行 sslocal，负责数据的加密、解密和转发。
3. 配置系统或应用程序使用 SOCKS 代理，将网络流量导向 sslocal。

通过这些步骤，你便拥有了一条由你掌控的加密、安全且稳定的国际网络通道。现在，你是否已经准备好开启你的网络探索之旅了呢？