diff --git a/README.md b/README.md
index 5a8bd2e..571cf29 100644
--- a/README.md
+++ b/README.md
@@ -6,13 +6,13 @@ gost - GO Simple Tunnel
特性
------
* 可同时监听多端口
-* 可设置转发代理,支持多级转发(转发链)
-* 兼容标准http(s)/socks5代理协议
-* socks5代理支持tls协商加密
+* 可设置转发代理,支持多级转发(代理链)
+* 支持标准HTTP/HTTPS/SOCKS5代理协议
+* SOCKS5代理支持TLS协商加密
* Tunnel UDP over TCP
-* 兼容shadowsocks协议,支持OTA(OTA功能需2.2及以上版本)
-* 支持端口转发(2.1及以上版本)
-* 支持HTTP2.0(2.2及以上版本)
+* 支持Shadowsocks协议,支持OTA (OTA功能需2.2及以上版本)
+* 支持端口转发 (2.1及以上版本)
+* 支持HTTP2.0 (2.2及以上版本)
二进制文件下载:https://github.com/ginuerzh/gost/releases
@@ -22,7 +22,7 @@ Google讨论组: https://groups.google.com/d/forum/go-gost
参数说明
------
-#### 代理及转发链
+#### 代理及代理链
适用于-L和-F参数
@@ -31,19 +31,21 @@ Google讨论组: https://groups.google.com/d/forum/go-gost
```
scheme分为两部分: protocol+transport
-protocol: 代理协议类型(http, socks5, shadowsocks), transport: 数据传输方式(ws, wss, tls), 二者可以任意组合,或单独使用:
+protocol: 代理协议类型(http, socks5, shadowsocks), transport: 数据传输方式(ws, wss, tls, http2), 二者可以任意组合,或单独使用:
-> http - 作为http代理: http://:8080
+> http - 作为HTTP代理: http://:8080
-> http+tls - 作为https代理(可能需要提供受信任的证书): http+tls://:8080
+> http+tls - 作为HTTPS代理(可能需要提供受信任的证书): http+tls://:8080
-> socks - 作为标准socks5代理(支持tls协商加密): socks://:8080
+> http2 - 作为HTTP2代理并向下兼容HTTPS代理: http2://:443
-> socks+ws - 作为socks5代理,使用websocket传输数据: socks+ws://:8080
+> socks - 作为标准SOCKS5代理(支持tls协商加密): socks://:8080
-> tls - 作为https/socks5代理,使用tls传输数据: tls://:8080
+> socks+ws - 作为SOCKS5代理,使用websocket传输数据: socks+ws://:8080
-> ss - 作为shadowsocks服务,ss://aes-256-cfb:123456@:8080
+> tls - 作为HTTPS/SOCKS5代理,使用tls传输数据: tls://:8080
+
+> ss - 作为Shadowsocks服务,ss://aes-256-cfb:123456@:8080
#### 端口转发
@@ -62,7 +64,7 @@ scheme://[bind_address]:port/[host]:hostport
> -logtostderr : 输出到控制台
-> -v=4 : 日志级别(1-4),级别越高,日志越详细
+> -v=4 : 日志级别(1-5),级别越高,日志越详细(级别5将开启http2 debug)
> -log_dir=. : 输出到目录
@@ -73,7 +75,7 @@ scheme://[bind_address]:port/[host]:hostport
-* 作为标准http/socks5代理
+* 作为标准HTTP/SOCKS5代理
```bash
gost -L=:8080
```
@@ -85,7 +87,7 @@ gost -L=admin:123456@localhost:8080
* 多端口监听
```bash
-gost -L=http+tls://:443 -L=socks://:1080 -L=ss://aes-128-cfb:123456@:8338
+gost -L=http2://:443 -L=socks://:1080 -L=ss://aes-128-cfb:123456@:8338
```
#### 设置转发代理
@@ -100,50 +102,57 @@ gost -L=:8080 -F=192.168.1.1:8081
gost -L=:8080 -F=http://admin:123456@192.168.1.1:8081
```
-#### 设置多级转发代理(转发链)
+#### 设置多级转发代理(代理链)
```bash
gost -L=:8080 -F=http+tls://192.168.1.1:443 -F=socks+ws://192.168.1.2:1080 -F=ss://aes-128-cfb:123456@192.168.1.3:8338 -F=a.b.c.d:NNNN
```
-gost按照-F设置顺序通过转发链将请求最终转发给a.b.c.d:NNNN处理,每一个转发代理可以是任意http(s)/socks5/shadowsocks类型代理。
+gost按照-F设置顺序通过代理链将请求最终转发给a.b.c.d:NNNN处理,每一个转发代理可以是任意HTTP/HTTPS/HTTP2/SOCKS5/Shadowsocks类型代理。
#### 本地端口转发(TCP)
```bash
gost -L=tcp://:2222/192.168.1.1:22 -F=...
```
-将本地TCP端口2222上的数据(通过转发链)转发到192.168.1.1:22上。
+将本地TCP端口2222上的数据(通过代理链)转发到192.168.1.1:22上。
#### 本地端口转发(UDP)
```bash
gost -L=udp://:5353/192.168.1.1:53 -F=...
```
-将本地UDP端口5353上的数据(通过转发链)转发到192.168.1.1:53上。
+将本地UDP端口5353上的数据(通过代理链)转发到192.168.1.1:53上。
-**注: 转发UDP数据时,如果有转发链,则转发链的末端(最后一个-F参数)必须是gost socks5类型代理。**
+**注: 转发UDP数据时,如果有代理链,则代理链的末端(最后一个-F参数)必须支持gost SOCKS5类型代理。**
#### 远程端口转发(TCP)
```bash
gost -L=rtcp://:2222/192.168.1.1:22 -F=... -F=socks://172.24.10.1:1080
```
-将172.24.10.1:2222上的数据(通过转发链)转发到192.168.1.1:22上。
+将172.24.10.1:2222上的数据(通过代理链)转发到192.168.1.1:22上。
#### 远程端口转发(UDP)
```bash
gost -L=rudp://:5353/192.168.1.1:53 -F=... -F=socks://172.24.10.1:1080
```
-将172.24.10.1:5353上的数据(通过转发链)转发到192.168.1.1:53上。
+将172.24.10.1:5353上的数据(通过代理链)转发到192.168.1.1:53上。
-**注: 若要使用远程端口转发功能,则至少要设置一个-F参数,且转发链的末端(最后一个-F参数)必须是gost socks5类型代理。**
+**注: 若要使用远程端口转发功能,代理链不能为空(至少要设置一个-F参数),且代理链的末端(最后一个-F参数)必须支持gost SOCKS5类型代理。**
+
+#### HTTP2
+gost的HTTP2支持两种模式并自适应:
+* 作为标准的HTTP2代理,并向下兼容HTTPS代理。
+* 作为transport(类似于wss),传输其他协议。
+
+**注:gost的代理链仅支持一个HTTP2代理节点,采用就近原则,会将第一个遇到的HTTP2代理节点视为HTTP2代理,其他HTTP2代理节点则被视为HTTP代理。**
加密机制
------
#### HTTP
-对于http可以使用tls加密整个通讯过程,即https代理:
+对于HTTP可以使用TLS加密整个通讯过程,即HTTPS代理:
服务端:
```bash
@@ -154,8 +163,20 @@ gost -L=http+tls://:443
gost -L=:8080 -F=http+tls://server_ip:443
```
+#### HTTP2
+gost仅支持使用TLS加密的HTTP2协议,不支持明文HTTP2传输。
+
+服务端:
+```bash
+gost -L=http2://:443
+```
+客户端:
+```bash
+gost -L=:8080 -F=http2://server_ip:443
+```
+
#### SOCKS5
-gost支持标准socks5协议的no-auth(0x00)和user/pass(0x02)方法,并在此基础上扩展了两个:tls(0x80)和tls-auth(0x82),用于数据加密。
+gost支持标准SOCKS5协议的no-auth(0x00)和user/pass(0x02)方法,并在此基础上扩展了两个:tls(0x80)和tls-auth(0x82),用于数据加密。
服务端:
```bash
@@ -166,16 +187,16 @@ gost -L=socks://:1080
gost -L=:8080 -F=socks://server_ip:1080
```
-如果两端都是gost(如上)则数据传输会被加密(使用tls或tls-auth方法),否则使用标准socks5进行通讯(no-auth或user/pass方法)。
+如果两端都是gost(如上)则数据传输会被加密(协商使用tls或tls-auth方法),否则使用标准SOCKS5进行通讯(no-auth或user/pass方法)。
-注:如果transport已经使用了加密模式(wss, tls),则socks5不会再使用加密方法,防止不必要的双重加密。
+注:如果transport已经支持加密(wss, tls, http2),则SOCKS5不会再使用加密方法,防止不必要的双重加密。
-#### shadowsocks
-gost对shadowsocks加密方法的支持是基于[shadowsocks-go](https://github.com/shadowsocks/shadowsocks-go)库。
+#### Shadowsocks
+gost对Shadowsocks加密方法的支持是基于[shadowsocks-go](https://github.com/shadowsocks/shadowsocks-go)库。
-服务端:
+服务端(可以通过ota参数开启OTA模式):
```bash
-gost -L=ss://aes-128-cfb:123456@:8338
+gost -L=ss://aes-128-cfb:123456@:8338?ota=1
```
客户端:
```bash
@@ -183,8 +204,12 @@ gost -L=:8080 -F=ss://aes-128-cfb:123456@server_ip:8338
```
#### TLS
-gost内置了tls证书,如果需要使用其他tls证书,在gost运行目录放置cert.pem(公钥)和key.pem(私钥)两个文件即可。
-
+gost内置了TLS证书,如果需要使用其他TLS证书,有两种方法:
+* 在gost运行目录放置cert.pem(公钥)和key.pem(私钥)两个文件即可,gost会自动加载运行目录下的cert.pem和key.pem文件。
+* 使用参数指定证书文件路径:
+```bash
+gost -L="http2://:443?cert=/path/to/my/cert/file&key=/path/to/my/key/file"
+```
SOCKS5 UDP数据处理
------
@@ -192,23 +217,23 @@ SOCKS5 UDP数据处理
-gost作为标准socks5代理处理UDP数据
+gost作为标准SOCKS5代理处理UDP数据
#### 设置转发代理
-#### 设置多个转发代理(转发链)
+#### 设置多个转发代理(代理链)
-当设置转发代理时,gost会使用UDP-over-TCP方式转发UDP数据。proxy1 - proxyN可以为任意http(s)/socks5/shadowsocks类型代理。
+当设置转发代理时,gost会使用UDP-over-TCP方式转发UDP数据。proxy1 - proxyN可以为任意HTTP/HTTPS/HTTP2/SOCKS5/Shadowsocks类型代理。
限制条件
------
-转发链中的http代理必须支持CONNECT方法。
+代理链中的HTTP代理节点必须支持CONNECT方法。
-如果要转发socks5的BIND和UDP请求,转发链的末端(最后一个-F参数)必须是gost socks5类型代理。
+如果要转发SOCKS5的BIND和UDP请求,代理链的末端(最后一个-F参数)必须支持gost SOCKS5类型代理。