通过国内服务器转发流量

经本人亲身实践，通过国内服务器转发科学上网流量不仅能有效避免墙的干扰，还有加速的作用。流量转发说白了就是从“国内<->境外vps”变成了“国内<->国内vps<->境外vps”，看起来多此一举，实际上是有道理的：国内服务器延迟一般在50ms内，但出入境流量走高级线路，加起来一算延迟实际上是降低了。

中转属于 硬件加速 ，代价是额外需要一台国内的服务器（大概几十块钱一个月），优点是更稳定、能（比较）有效防止境外ip或端口被封。一些付费翻墙工具的高级线路也使用中转，提供更优质的体验。中转服务器建议使用NAT/IPLC VPS，推荐商家请参考：NAT VPS的正确食用方式

本教程详细介绍转发的过程，如有不明白的地方，欢迎留言讨论。

配置国内服务器

既然要通过国内服务器转发流量，首先必须要一台国内服务器。国内服务器的选择有很多，阿里云、腾讯云等各种云基本上都可以。个人建议是购买大品牌的，不仅接入网络线路更好（BGP多线接入），而且服务质量更有保障。由于服务器仅做流量转发用，买最低配置的就可以，1核1G足够，看视频的话带宽买大点，也可以选择流量计费模式（不适合视频党）。

个人推荐安装的操作系统是CentOS 7/8，下文的操作基于该系统。

购买好服务器后，首先安装流量转发工具。本人常用的是 nginx 和 haproxy，因为 nginx 还可搭建迷惑性的网站，所以建议用nginx。

首先安装nginx：yum install -y epel-release && yum install -y nginx。

接着配置nginx，编辑/etc/nginx/nginx.conf文件，加入转发配置：

# For more information on configuration, see: #   * Official English Documentation: http://nginx.org/en/docs/ #   * Official Russian Documentation: http://nginx.org/ru/docs/  user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid;  # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic. include /usr/share/nginx/modules/*.conf;  events {     worker_connections 1024; }  # 增加的配置 stream {     server {         listen 端口号;  # 端口号改成1-65535中的任意一个数字，例如8081         proxy_pass 境外ip:境外端口号; # 用境外ip和端口号替换     } } # 转发配置结束  http {     log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                       '$status $body_bytes_sent "$http_referer" '                       '"$http_user_agent" "$http_x_forwarded_for"';      access_log  /var/log/nginx/access.log  main;      sendfile            on;     tcp_nopush          on;     tcp_nodelay         on;     keepalive_timeout   65;     types_hash_max_size 2048;     .... }

配置中增加了以 stream 开头的那一段，其他都是自带的。将上面代码中的ip和端口换成你的，然后保存文件。用nginx -t检查配置有没有错误，有如下输出说明配置正确：

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful 

如果有问题，请安装提示更改。改好后设置开机启动并启动nginx：systemctl enable nginx && systemctl start nginx。

如果你的服务器启动了防火墙，记得把nginx监听的端口放行。怎么看防火墙是否开启呢？输入firewall-cmd --state，输出是”running”表示防火墙正在运行。用如下命令把端口放行并且禁用selinux：

firewall-cmd --permanent --add-port=nginx中配置的端口号/tcp fireawll-cmd --reload sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/config setenforce 0 

如果服务器厂商上层还有防火墙/安全组，请记得到控制台放行相应端口。

配置好后，在你的ss/ssr/v2ray等软件里配置国内ip和端口号，看看能否正常连上。如果出现问题，用ss -ntlp查看端口是否被监听，以及firewall-cmd --list-all查看防火墙是否放行了端口。

配置境外服务器

原则上只要境外服务器没被墙或者端口被封，配置好国内服务器就能用且应该有加速效果。对境外服务器配置一番，主要是为了降低墙的干扰，减少ip被墙的机率。

首先还是安装nginx，安装和启动nginx的命令见上文。建议放一些静态页面（比如网上的网页模板）替换默认页面（上传到/usr/share/nginx/html目录下），让墙探测的时候看到托管了网站，并不是完全走看不懂的流量。

接下来才是配置境外服务器的重点：除了ssh的22端口，网站的80/443端口，其他端口只允许国内服务器连接。操作如下：

1. 首先启动系统防火墙（如果没开启过）：systemctl enable firewalld && systemctl start firewalld

2. 删除之前放行过SS/ssr/v2ray等端口（如果配置过）：firewall-cmd --permanent --remove-port=端口/tcp

3. 仅允许国内ip连接该服务器：

firewall-cmd --permanent --add-source=国内ip/32 fireawll-cmd --reload sed -i 's/SELINUX=enforcing/SELINUX=permissive/g' /etc/selinux/config setenforce 0 

经过如上配置后，gfw探测你的vps，除了ssh、网站等常用端口，ss/ssr/v2ray的端口根本无法连接，墙的概率自然就降低了。

其他

1. nginx支持转发流量到多个服务器实现负载均衡，配置上需要用到upstream块，请参考文档或留言；
2. 如果用的是iptables，把firewalld命令替换成iptables命令执行就可以
3. 如果动手能力强，最好把境外vps配置得像一个业务机器，例如一个有各种爬虫访问的网站，基本上就稳如狗了（本人用的就是这种）；
4. 配置客户端时，ip和端口填国内服务器的，其他信息（密码、加密方式等）和国外服务器保持一致。

文章最后修改日期：2020年3月14日