UFW 防火墙配置端口转发实现 Hysteria 2 端口跳跃

status
Published
type
Post
slug
how-to-configure-ufw-port-forwarding-for-hysteria2-port-hopping
date
Oct 31, 2024
tags
Shell
Network
Linux
Config
summary
文章记录了 Hysteria 2 协议的简单配置,为了解决国内运营商对 UDP 连接的限制,文章介绍了端口跳跃的配置方法,涵盖了系统端口转发的开启、UFW 转发规则的配置和防火墙规则的设置。此外,还提供了故障排查建议和相关参考资源。

背景

早前曾简单体验过 Hysteria 2 协议
HK's note ✨ Hysteria 2 的简单配置记录
这是一份 Hysteria 2 的简单配置记录,其中包含了协议服务端和 sing-box 客户端的配置信息。配置包括了日志记录、DNS 服务器、路由规则、入站和出站设置等。其中,DNS 服务器配置了三个不同的标签,分别用于代理、直连和屏蔽,根据地理位置进行选择。路由规则根据地理位置和 IP 地址进行选择,分别设置了代理、直连和屏蔽。入站配置了一个 tun 类型的接口和一个 mixed 类型的接口,用于监听和处理网络流量。出站配置了四种类型的出站方式,分别是 hysteria2、direct、block 和 dns。最后,还包含了 ntp 和 experimental 配置信息。
HK's note ✨ Hysteria 2 的简单配置记录
https://okhk.net/hysteria2-protocol-simple-config
HK's note ✨ Hysteria 2 的简单配置记录
前段时间整理了个人的订阅服务,将 VPS 缩减了一下,成本倒是降了,但相对的体验也下滑了些——线路变差了。于是好好配置了下 Hysteria 2 协议,此处简要记录下。其实只是在原有的记录上扩充了些

Hysteria 2 服务端配置

服务端安装过程此处就不再赘述,如下为大致的配置
listen: :8443

tls:
  cert: /etc/ssl/cert.pem
  key: /etc/ssl/private.key

auth:
  type: password
  password: your-hysteria2-password

masquerade:
  type: proxy
  proxy:
    url: https://amazon.com/
    rewriteHost: true

disableUDP: false
udpIdleTimeout: 60s

quic:
  initStreamReceiveWindow: 8388608 
  maxStreamReceiveWindow: 8388608 
  initConnReceiveWindow: 20971520 
  maxConnReceiveWindow: 20971520 
  maxIdleTimeout: 30s 
  maxIncomingStreams: 1024 
  disablePathMTUDiscovery: false

# https://github.com/Loyalsoldier/v2ray-rules-dat
acl:
  file: /etc/hysteria/acl.txt 
  geoip: /etc/hysteria/geoip.dat 
  geosite: /etc/hysteria/geosite.dat

outbounds:
  - name: direct 
    type: direct
	
	# Cloudflare Warp 的 SOCKS5 代理
  - name: warp
    type: socks5
    socks5:
      addr: 127.0.0.1:1234

端口跳跃

国内运营商部分地区存在阻断或限速 UDP 连接的行为。不过,这些限制往往仅限单个端口。端口跳跃可用作此情况的解决方法。

开启系统端口转发

首先需要修改系统配置以启用端口转发功能:
# 编辑 sysctl.conf 文件
sudo vim /etc/sysctl.conf

# 添加或修改以下行,如已开启则跳过此步骤
net.ipv4.ip_forward=1

# 应用更改
sudo sysctl -p

配置 UFW 转发规则

编辑 UFW 的 before.rules 文件:
sudo vim /etc/ufw/before.rules
在文件开头的 *filter 部分之前添加以下内容:
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# 端口转发规则
# 将入站流量从端口范围转发到指定端口
-A PREROUTING -p udp --dport 10000:10010 -j REDIRECT --to-port 8443
-A PREROUTING -p udp --dport 18443 -j REDIRECT --to-port 8443

# 确保流量可以正确路由
-A POSTROUTING -j MASQUERADE

COMMIT

4. 配置防火墙规则

允许相关端口通过防火墙:
# 允许 Hysteria 2 主端口
sudo ufw allow 8443/udp

# 允许端口跳跃范围
sudo ufw allow 10000:10010/udp
sudo ufw allow 18443/udp

5. 重启 UFW 使配置生效

sudo ufw disable
sudo ufw enable

sudo ufw reload

验证配置

可以使用以下命令检查配置是否生效:
# 查看防火墙规则
sudo ufw status verbose

# 查看端口转发规则
sudo iptables -t nat -L -n -v

Clash Meta Hysteria 2 配置示例

在 Clash Meta 的配置文件中,可以这样配置 Hysteria 2 协议端口跳跃:
  - name: "Hysteria2"
    type: hysteria2
    server: your.server.ip.addr
    port: 8443
    ports: 18443,10000-10010
    hop-interval: 30
    password: your-hysteria2-password
    up: "100 Mbps"
    down: "100 Mbps"
    sni: amazon.com
    skip-cert-verify: true
    alpn:
      - h3

故障排查

如果配置后发现端口转发不生效,可以检查:
系统端口转发是否已启用:
cat /proc/sys/net/ipv4/ip_forward
UFW 规则是否正确加载:
sudo ufw status numbered
iptables 规则是否生效:
sudo iptables -t nat -L PREROUTING --line-numbers

注意事项

  1. 请确保端口范围不会与系统其他服务冲突
  1. 建议定期检查日志文件以监控转发状态
  1. 配置更改后必须重启 UFW 才能生效
  1. 建议在配置前备份相关配置文件
 

参考资源

端口跳跃 - Hysteria 2
客户端将随机选择一个端口进行初始连接,并定期随机跳跃到另一个端口。用于控制时间间隔的选项是 transport 部分中的 hopInterval:
端口跳跃 - Hysteria 2
https://v2.hysteria.network/zh/docs/advanced/Port-Hopping/
Hysteria2 - 虚空终端 Docs
Hysteria2 - 虚空终端 Docs
https://wiki.metacubex.one/config/proxies/hysteria2/

2024 © HK