# GOST 代理工具在 Windows 系统中的实际应用

GOST（GO Simple Tunnel）是一款用 Go 语言开发的高性能多功能代理工具，支持多种协议和灵活的隧道配置。本文讲述在 Windows系统中常见使用场景及基本用法。

# 一、环境准备

# 1、安装 GOST

访问 GitHub Gost Release (opens new window) 下载 Windows 版本（gost-windows-amd64.exe）
解压到任意目录
添加路径到系统环境变量

# 2、验证安装

gost -V

# 二、代理协议实现规范

# 1、HTTP 代理标准配置

# 基础监听模式
gost -L http://:8080

# 带身份认证的代理服务
gost -L http://admin:password@:8080

# 指定出口网卡（多宿主主机场景）
gost -L http://eth0:8080

# 指定对应的IP（多宿主主机场景）
gost -L http://192.168.1.1:8080

# 2、HTTPS 代理安全部署

# 自签名证书模式
gost -L "https://:8443?cert=cert.pem&key=key.pem"

# 商业证书加载（PEM格式需合并完整链）
gost -L "https://:443?cert=fullchain.pem&key=privkey.pem"

# 强制客户端证书验证
gost -L "https://:443?secure=true&cert=server.pem&key=server.key&ca=ca.pem"

# 3、Socks5 协议高级配置

# 无认证模式
gost -L socks5://:1080

# 用户密码认证模式
gost -L socks5://user123:pass456@:1080

# UDP关联支持
gost -L socks5://:1080 -L udp://:1080

# 三、协议级联拓扑结构

# 1、多级代理转发模型

# HTTP→SOCKS5 级联
gost -L http://:8080 -F socks5://gateway.example.com:1080

# SOCKS5→HTTPS 隧道
gost -L socks5://:1080 -F https://secure-gateway.org:443

# 多节点负载均衡 weight 为权重信息
gost -L http://:8080 \
     -F "socks5://node1:1080?weight=2" \
     -F "http://node2:8080?weight=1" \
     -F "https://node3:8443"

# 2、动态链式路由配置

# 自动切换故障节点
gost -L http://:8080 -F "relay+http://fallback1:8080,fallback2:8080"

# 分流规则配置（需配合路由文件）
gost -L http://:8080 -F forward://:8080?file=route.txt

# 四、端口转发

# 1、本地端口映射（Local Port Forwarding）

应用场景：访问受防火墙限制的内部服务 实现原理：在本地创建TCP监听端口，将数据包中继到目标地址

# 将本机 8000 端口映射到 10.8.0.5 的 SSH 服务
gost -L tcp://:8000/10.8.0.5:22

数据流向：Client → localhost:8000 → GOST进程 → 10.8.0.5:22

# 2、远程端口暴露（Remote Port Forwarding）

应用场景：将内网服务发布到公网服务器 实现原理：通过中间服务器建立反向隧道

# 内网主机执行（将本地 3389 暴露到公网服务器 200.100.10.1:3390）
gost -L rtcp://:3389/200.100.10.1:3390

# 公网服务器执行（转发 3390 到内网主机）
gost -L tcp://:3390 -F forward+tcp://:3389

数据流向：Internet → 200.100.10.1:3390 → GOST进程 → 内网主机:3389

# 五、高级应用方案

# 1、透明代理（全局代理）

配置系统代理设置：
```
gost -L http://:8080
```
Windows设置 → 网络 → 代理 → 手动设置代理
填入127.0.0.1:8080

# 2、负载均衡

# 多节点轮询
gost -L http://:8080 -F http://server1:8080 -F http://server2:8080

# 按权重分配
gost -L http://:8080 -F "http://server1:8080?weight=3" -F "http://server2:8080?weight=1"

# 六、安全增强配置

# 1、SSL 加密传输

# 生成证书（需要提前安装 OpenSSL）
openssl req -x509 -nodes -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365

# 启动 HTTPS 代理
gost -L https://:443?cert=cert.pem&key=key.pem

# 2、身份验证

# 带认证的 SOCKS5 代理
gost -L socks5://user:pass@:1080

# 七、安全增强机制

# 1、传输层加密方案

协议类型	加密算法	配置示例
TLS 隧道	ECDHE-RSA-AES256-GCM	`gost -L tls://:443?cert=server.pem`
mTLS 双向认证	AES-128-CBC-SHA256	`gost -L mtls://:443?ca=ca.pem`
SSH 隧道	chacha20-poly1305	`gost -L ssh://:22?ssh_private_key=id_rsa`

# 2、访问控制列表（ACL）

# 白名单模式（仅允许指定IP段）
gost -L http://:8080 --acl="allow 192.168.1.0/24, 10.8.0.0/16"

# 黑名单模式（禁止特定国家代码）
gost -L :8080 --acl="deny country=CN,US"

# 八、实用技巧

# 1、后台运行

# 使用 nssm 创建 Windows 服务
nssm install GostService "C:\gost\gost.exe" -L socks5://:1080

# 2、流量监控

gost -L :8080 -D  # 启用调试日志

# 九、典型应用场景

# 1、企业网络架构整合

分支机构间加密隧道通信
混合云环境服务暴露
多租户网络隔离代理

# 2、研发测试环境搭建

远程调试内网设备
模拟不同地域网络环境
服务依赖项流量镜像

← 影子输入法 Android手机做代理服务器 →