kenzok8-packages/luci-app-ikoolproxy/development.doc

koolproxy插件/固件开发文档1.3
更新日期：2017年7月7日（koolproxy 3.6.1）

================================================================================================
声明：
KoolProxy 是一个免费软件，著作权归属 KoolProxy.com，用户可以非商业性地复制和使用 KoolProxy，但禁止将 KoolProxy 用于商业用途。
KoolProxy 可以对 https 网络数据进行识别代理，使用 https 功能的用户需要自己提供相关证书，本程序提供的证书生成脚本仅供用户参考，证书的保密工作由用户自行负责。
使用本软件的风险由用户自行承担，在适用法律允许的最大范围内，对因使用本产品所产生的损害及风险，包括但不限于直接或间接的个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，KoolProxy.com 不承担任何责任。

================================================================================================
KoolProxy By Xiaobao & Crwnet v3.6.1

USAGE:
  koolproxy [options] [arguments...]

OPTIONS:
  -p value        listen port, default value is 3000
  -l value        log level (0:DEBUG, 1:INFO, 2:AD, 3:WARNING, 4:ERROR), default value is ERROR
  -c value        thread count, default value is the number of cpus
  -b value        data path, default value is './data'
  -d              run as daemon mode
  -v              show version
  -h              show help

ADVANCED:
  --cert          generate ssl cert
  --ipv6          enable ipv6, works for ipv6 nat mode
  --video | -e    video mode, load video rules only
  --mark          mark mode, set the socket mark(src ip) when connect to remote host. requires the CAP_NET_ADMIN capability
  --ttl value     ttl mode, set the socket ttl when connect to remote host. default value is 0 (disable)
  
================================================================================================
交流地址：
1 QQ群1： 595300867
2 QQ群2： 203726739
3 TG群： https://t.me/joinchat/AAAAAD-tO7GPvfOU131_vg
4 更新日志：http://koolshare.cn/thread-64086-1-1.html

================================================================================================
#koolproxy部署文件目录参考1（使用openssl生成证书）
.
├── data
│   ├── gen_ca.sh				#证书生成脚本
│   ├── koolproxy_ipset.conf		#ipset名单
│   ├── openssl.cnf				#证书生成所用配置文件
│   ├── rules					#规则存放文件夹
│   │   ├── kp.dat				#视频规则
│   │   ├── koolproxy.txt		#静态规则
│   │   ├── daily.txt			#每日规则
│   │   └── user.txt			#自定义规则
│   └── version					#插件版本号(merlin)
└── koolproxy					#koolproxy二进制(为了保证二进制顺利更新，请保证目录可写)

1 证书生成使用命令 sh gen_ca.sh，该脚本会调用系统内的openssl来生成证书，运行成功后会自动创建data/private data/cert目录
  私钥和公钥会分别存在data/private data/cert目录下，使用http://110.110.110.110会下载路由器内的证书
  
------------------------------------------------------------------------------------------------
#koolproxy部署文件目录参考2（使用koolproxy生成证书）
.
└── koolproxy					#koolproxy二进制(为了保证二进制顺利更新，请保证目录可写)
1 因为规则文件会由koolproxy自动下载,下载后会自动创建data/rules目录
2 使用koolproxy --cert命令可以生成证书，运行成功后会自动创建data/private data/cert目录
  私钥和公钥会分别存在data/private data/cert目录下，使用http://110.110.110.110会下载路由器内的证书
  因为mbedtls性能原因，在非软路由机器上用koolproxy --cert生成证书需要时间较长，请耐心等待

================================================================================================
说明：
1 koolproxy启动会自动检测规则更新，如果没有./data/rules文件夹，会自己创建并下载规则到此处
2 koolproxy启动后会检测二进制文件更新，如果有更新，会替换./koolproxy，并且由父进程重启koolproxy，以后每20分钟检测一次更新
3 现在不支持规则订阅了，只能识别kp.dat, koolproxy.txt, user.txt,daily.txt，需要自定义规则的可以修改user.txt

# 二进制下载固定地址
https://koolproxy.com/downloads/i386
https://koolproxy.com/downloads/x86_64
https://koolproxy.com/downloads/arm
https://koolproxy.com/downloads/mips
https://koolproxy.com/downloads/mipsel

# 规则下载固定地址
https://kprule.com/koolproxy.txt
https://kprule.com/daily.txt
https://kprule.com/kp.dat
https://kprule.com/user.txt

# 规则下载对应的CDN地址
https://kprules.b0.upaiyun.com/koolproxy.txt
https://kprules.b0.upaiyun.com/daily.txt
https://kprules.b0.upaiyun.com/kp.dat
https://kprules.b0.upaiyun.com/user.txt

# 二进制文件和规则 github备份地址：
二进制：https://github.com/koolproxy/koolproxy-bin (已作废)
规则：https://github.com/koolproxy/koolproxy_rules (已作废)


1 建议从上面的链接获取最新的二进制和基本的规则文件，然后按照上面的目录结构来部署
2 如果不需要https过滤，只需要一个koolproxy程序就足够了，data文件夹和rules文件夹都会自己创建。 
3 koolproxy.txt内有视频规则、静态规则、每日规则的更新日期，可以用于提取并显示到界面

================================================================================================
koolproxy运行：

1 在koolproxy主程序目录运行，例如merlin固件下运行：cd /koolshare/koolproxy && koolproxy -d
2 不在koolproxy主程序目录运行（例如将koolproxy放在环境变量中），例如merlin固件下运行：koolproxy -b /koolshare/koolproxy -d -b为data路径
  其它运行方式可能会造成koolproxy识别不到data目录而无法加载规则
  koolproxy运行后默认会使用端口3000作为透明代理端口，需要利用iptables将数据导到端口3000才能发挥作用。
  
视频模式：
1 使用命令koolproxy -e 即可开启
2 开启后只会加载视频规则kp.dat和user.txt

调试模式：
1 使用命令koolproxy -l0 即可开启，l后面的数字代表不同的日志详细程度
2 需要检查规则命中行数可以需要使用-l2

ttl功能：
1 使用命令koolproxy --ttl 160 即可开启ttl功能，后面的数值代表ttl大小
2 ttl功能开启后，koolproxy会对经过它的所有数据ttl进行调整，可以利用iptables的match ttl功能数据进行匹配

mark功能：
1 使用命令koolproxy --mark 即可开启mark功能
2 mark功能开启后，koolproxy会对经过它的所有数据打上标记，mark值等于该数据的源ip转换为十六进制的值
3 例如局域网内192.168.1.100的数据，将会被打上0xc0a80164的mark（192 = c0, 168 = a8, 1 = 01, 100 = 64 ）
4 开发者可以用此功和SS配合，达到既科学上网，又能过滤这些科学上网的流量，还不影响科学上网访问控制的功能
5 ip转换为mark值参考命令：echo 192.168.1.100 | awk -F "." '{printf ("0x%02x", $1)} {printf ("%02x", $2)} {printf ("%02x", $3)} {printf ("%02x\n", $4)}'

================================================================================================
ss + kp过滤方案（2017年7月7日）：

方案1（优先SS，其次KP，不推荐）：
1 在NAT PREROUTING链内，SS在前，KP在后，流量将先走SS，经过SS分流后，国外流量走ss-redir，实现翻墙；
2 而剩下国内流量在PREROUTING链内继续往下匹配到koolrpxy规则，流量最终走koolproxy，实现过滤。
  结果：koolproxy只能过滤国内流量（SS剩下的）。

方案2（优先KP，其次SS，不推荐）;
1 在NAT PREROUTING链内，KP在前，SS在后，流量将先走KP，实现过滤；
2 为了SS能拿到KP过滤后的数据，使用match ttl匹配，在OUTPUT链内将流量全部给SS，实现翻墙；
  结果：因为在OUTPUT链内没有源ip信息，流量给SS后无法匹配到源ip，因此SS失去了acl（访问控制）功能。

方案3 (优先kp，其次SS，推荐)；
  为便于理解，以下iptables配置只展示流量经过顺序，不是iptables的创建顺序，PREROUTING内规则的创建实际上应该在最后
0 koolproxy默认开启ttl和mark功能 KoolProxy --ttl 160 --mark -d（固件不支持ttl的仅开启mark也行: KoolProxy --mark -d）
1 在NAT PREROUTING链内，KP在前，SS在后，KP开启--mark，流量将先走KP（80,443），实现过滤，过滤后每个主机会被打上不同的mark；
  #KP在前，所有tcp流量全部交给KOOLPROXY链
  -A PREROUTING -p tcp -j KOOLPROXY
  #SS在后，在kp开启的时候，只能拿到非80,443的流量，在kp关闭后，可以拿到所有端口的流量
  -A PREROUTING -p tcp -j SHADOWSOCKS
  
2 例如局域网内192.168.1.100主机的数据经过kp过滤后，将会被打上0xc0a80164的mark（192 = c0, 168 = a8, 1 = 01, 100 = 64 ）；
  #创建KOOLPROXY链，用于白名单和访问控制
  -N KOOLPROXY
  #创建KOOLPROXY_HTTP链，用于过滤http流量
  -N KOOLPROXY_HTTP
  #创建KOOLPROXY_HTTPS链，用于过滤https流量
  -N KOOLPROXY_HTTPS
  #局域网和保留地址不走kp
  -A KOOLPROXY -m set --match-set white_kp_list dst -j RETURN
  #主机192.168.1.100需要https过滤
  -A KOOLPROXY -s 192.168.1.100/32 -p tcp -g KOOLPROXY_HTTPS
  #其它主机过滤http流量
  -A KOOLPROXY -p tcp -j KOOLPROXY_HTTP
  
3 为了SS能拿到数据，在NAT OUTPUT链中，使用match ttl匹配，在OUTPUT链内将流量全部给SHADOWSOCKS_EXT链；
  #创建SHADOWSOCKS_EXT链，用于开启kp情况下ss的访问控制实现
  -N SHADOWSOCKS_EXT
  #使用ttl匹配将KP过滤后的数据转到SHADOWSOCKS_EXT链（如果固件不支持ttl匹配，使用下面的命令）
  -A OUTPUT -p tcp -m ttl --ttl-eq 160 -j SHADOWSOCKS_EXT
  #如果固件不支持ttl match，可以用mark匹配ip地址的前三位（用0xffffff00作为掩码的形式），来将KP过滤后的数据转到SHADOWSOCKS_EXT链
  # echo 192.168.1 | awk -F "." '{printf ("0x%02x", $1)} {printf ("%02x", $2)} {printf ("%02x", $3)} {printf ("00/0xffffff00\n")}' = 0xc0a80100/0xffffff00
  -A OUTPUT -p tcp -m mark --mark 0xc0a80100/0xffffff00 -j SHADOWSOCKS_EXT
  
4 如果开启了acl，比如需要192.168.1.75不走SS（全端口），192.168.1.246走gfwlist模式（80,443端口），192.168.1.214走大陆白名单模式（22,80,443端口），剩余主机全部走大陆白名单模式（全端口）：
  #主机192.168.1.75（0xc0a8014b），流量经过KP过滤后并打上mark后，通过OUTPUT链进入SHADOWSOCKS_EXT链，而未能翻墙（RETURN）
  -A SHADOWSOCKS_EXT -p tcp -m mark --mark 0xc0a8014b -j RETURN		
  #主机192.168.1.246（0xc0a801f6），流量经过KP过滤后并打上mark后，通过OUTPUT链进入SHADOWSOCKS_EXT链，在此流量被导向了SHADOWSOCKS_GFW链，实现gfwlist模式翻墙（80,443端口）							
  -A SHADOWSOCKS_EXT -p tcp -m multiport --dports 80,443 -m mark --mark 0xc0a801f6 -g SHADOWSOCKS_GFW
  #主机192.168.1.214（0xc0a801f6），流量经过KP过滤后并打上mark后，通过OUTPUT链进入SHADOWSOCKS_EXT链，在此流量被导向了SHADOWSOCKS_CHN链，实现大陆白名单模式翻墙（22,80,443端口）
  -A SHADOWSOCKS_EXT -p tcp -m multiport --dports 22,,80,443 -m mark --mark 0xc0a801d6 -g SHADOWSOCKS_CHN
  #剩余的主机，流量经过KP过滤后并打上mark后，通过OUTPUT链进入SHADOWSOCKS_EXT链，在此流量被导向了SHADOWSOCKS_CHN链，实现大陆白名单模式翻墙（全端口）
  -A SHADOWSOCKS_EXT -p tcp -j SHADOWSOCKS_CHN
  
情形：
1 当SS开启，kp未开启：所有流量走ss PREROUTING过，经过分流后，国内的流量在经过OUTPUT的时候，因为KP没开，数据不会匹配到ttl值（或者没匹配到mark值），所以不会过滤广告，翻墙正常
2 当KP开启，SS未开启，所有流量走kp PREROUTING过，广告过滤正常
3 当SS开启，翻墙和acl工作正常的时候，开启KP：KP在PREROUTING内插入到SS前面，会先得到流量，广告过滤正常
4 当KP开启，过滤广告正常的时候，开启SS：SS从原来的从PREROUTING拿流量变成从OUTPUT内拿流量，翻墙和acl会同样正常
5 当KP和SS都开启，此时关闭SS，kp过滤广告正常
6 当KP和SS都开启，此时关闭KP，ss翻墙和acl正常

总结：
使用 ttl + mark （或者纯mark）的方式，可以实现原先很难实现的过滤经过SS流量的广告
主要的改动在于给SS预置好OUTPUT和SHADOWSOCKS_EXT规则链，当kp启用时，它们就会工作，kp关闭时，不会影响正常数据
次要的改动就是给koolproxy默认开启ttl + mark（或者纯mark）功能
================================================================================================