Socks 协议为什么不能代理 ICMP？

4 楼是标准答案，协议只支持 TCP&UDP ，你加一个 ICMP 也是可以的。
那文章里的解释是错误的，能不能代理与第几层协议无关，发数据包罢了而已管你在第几层。

@oldshensheep #21 但是很多解释总总说它的层次

反正和第几层无关，举个例：OpenVPN 可以使用 TCP 协议代理 ICMP 协议
这么看他的说法就不正确了

@om2mo SOCKS 不能传输 ICMP 不是因为它基于 TCP 或 UDP ，而是它设计只能承载 TCP 和 UDP ，协议里就没定义该怎么处理 ICMP ，所以没法支持。你可以想办法自己加上支持，但是你加的这部分就不属于 SOCKS 了。

@oldshensheep 楼上评论你是一个没看啊

@testFor 看了的，然后呢

首先你引用的这句话就有问题
并不是 *因为* 它工作在某一层，*所以*不支持某功能
而是它就是很单纯的不支持某功能而已，没设计这个能力

而且那句话暗示的因为所以关系其实也有问题

Socks 也不能代理“IP”协议，所以不要按照“既然能代理 IP 为什么不能代理 ICMP”来考虑
不能！！

@oldshensheep #23 通信模型可以嵌套没错，但是嵌套不是自己长出来的，需要实现。VPN 实现了对应的嵌套，因为它这个应用需要这个功能，可这关 socks 什么事呢

所以我说错了什么？
我有没说 Socks 非要支持 ICMP ，我只是就事论事回答楼主的问题。

楼主问题：Socks 协议为什么不能代理 ICMP ？
回答：因为设计上就不支持

另外的问题，文章里的解释。
回答：错误的。
@ungrown

@ruixue
@Knowazz
@oldshensheep
@ysc3839

有个地方没想明白，如果按照各位所说，socks 支持代理 tcp/udp 的话:

我有一台海外的机器 ip 已经被 GFW block 掉了，国内网络是访问不到的，我连接另外一台海外机器的 socks5 代理后 本地去 telnet 被 block 掉的 ip 22 端口，也是打不通的。这个是为什么呢？

@yestodayHadRain socks5 是明文代理，telnet 也是明文传输，这么搞和裸奔没啥区别，墙依然可以识别到你要访问的真实 ip ，以及传输的所有内容，各种梯子开放的本地 socks5 端口只是用来兼容输入的，真正过墙的还是加密混淆过的翻墙协议，没有人会直接用 socks5 过墙

@ruixue 好像是因为我没有开 tun 模式的原因，打开 tun 后 就可以打通了。我是用 Dante 搞的，这个 很容易被识别出来吗？

@yestodayHadRain 那说明之前压根就没走代理，当然现在能通也不建议这么搞，socks5 基本上就是原样转发流量，在墙面前和裸奔没啥区别，过墙最好用专门的翻墙协议，传统的 VPN 都不太好使，更不用提完全明文的 socks5 了，还有 telnet 也别用了，用 ssh

@ruixue 比较优雅的方式是什么呢？以前用 vpn 搞过，被封过后来就用 Dante 搞了。还算稳定，其他用 ssr 这种好像封的比较多？

@yestodayHadRain 你现在怎么上的 V2EX ？直接用手头的翻墙手段不行么

自己搞的话，reality 、naiveproxy 目前来说比较稳，如果有 ipv6 可以直接跑 ss2022

@ruixue 我有个疑问，本地的 socks5 用来收集数据包，统一全部走加密过墙的，那，TCP 数据包是不是可以都直接转发到加密协议上去，毕竟加密协议也是基于 TCP 的，UDP 数据包除 53 外全部转发到 socks5 上面去，这样所有的数据包是否都走了代理呢？除了乱七八糟的 ICMP ，ARP 之外

@Subdue 当然可以啊，只要加密协议也支持 udp 或者 udp over tcp ，这就是所谓的(第 4 层的)全局代理，udp53 也可以让加密协议转发，从远程服务器请求 dns

@ruixue 如果只是为了过墙，udp53 有加密的必要吗？还有 tcp 建立链接后，后续的数据传输是否可以不走代理加密？

@Subdue 一般来说全局代理也都是通过代理远程请求 dns ，防止 dns 污染和泄露，socks5 本身就支持代理 dns ，但实际翻墙的时候很少用全局代理，都是用一系列策略进行分流，例如国内网站就直接直连不走代理，openai 和 netflix 单独配置解锁节点，dns 也有专门的处理步骤，比方说国内的域名用国内的 dns ，被墙的域名走加密代理请求远程 dns ，详细说起来就太多了，可以自己搜一下翻墙时 dns 的处理细节

现在的墙都是多方面的，dns 污染，ban sni ，ban ip ，ban 端口等等。一般来说如果 ip 和端口被墙，就必须要走代理，没有办法直连。有些翻墙协议比如 xtls 是支持加密建立连接后，原样传输 tls 数据流，减少一层加密以提升性能，但大部分实现方案都是全程通过代理服务器转发加密混淆过的流量的。有一些翻墙手段是不需要走代理，只加密一些数据并使用纯净 dns 以绕过墙，比方说域前置，还有 cloudflare 新出的 ech ，前提是目标 ip 端口没有被墙，墙的只是 dns 和 sni 。这些展开说也很多很多，可以自己搜一下相关的信息

@ruixue 建立连接以后就算是过墙的，后续的数据不走加密不会被识别吧，还是墙会监听所有数据包？这样能扛得住这么大流量吗？