SideStore 是一款常用的 iOS 应用侧载工具，可以绕过 App Store 安装第三方应用。它的工作原理是用你的 Apple ID 获取免费的苹果开发者证书，给你要安装的应用签名，从而让应用可以在 iOS 设备上正常运行。

　　然而，苹果为了维护其对 iOS 生态系统的控制，阻止第三方应用商店使用开发者证书大规模地绕过限制，对开发者证书设置了 7 天的过期时间。用户需要定期获取新的开发者证书，重新给应用签名，才能一直使用自己安装的第三方应用。

　　传统的侧载工具，例如 AltStore，都依赖电脑上的 iTunes 等软件进行重新签名的操作。但 SideStore 与其它侧载工具不同，它只有首次安装时需要电脑辅助。安装完成后，SideStore 可以自己模拟一台安装了 iTunes 的电脑，让 iOS 系统通过虚拟网络与其通信，从而实现无需电脑就能给应用重新签名，甚至安装新的第三方应用的效果。

　　WireGuard：SideStore 可以在本机上创建一个 WireGuard 服务器。用户可以自行安装 WireGuard 客户端，并连接到这个服务器上，从而让 iOS 系统可以通过网络和模拟出的电脑通信。

　　同时，由于 iOS 系统只支持同时连接一个 VPN，如果用户需要使用别的 VPN 软件，就只能手动切换 VPN，操作比较麻烦。

　　相比于 WireGuard，StosVPN 不会受到 iOS 的限制，可以在设备通过移动网络上网时正常工作。但是我试用后发现，StosVPN 无法长时间保持在后台运行，经常会自动断开。如果有一段时间没有使用 iOS 设备，同时 StosVPN 断开了连接，SideStore 以及其它第三方应用没能及时续期，就只能重新连接电脑，给这些应用签名了。

　　同时，由于 StosVPN 也是 VPN，它同样受到 iOS 系统只支持同时连接一个 VPN 的限制。

　　于是我就想尝试分析 SideStore/StosVPN 的工作原理，看看能不能把它们集成到我的家庭网络或者 ZeroTier SDN 网络里，让 SideStore 无需额外的 VPN 配置就能正常刷新。

　　如果数据包是从10.7.0.0发给10.7.0.1的，就交换数据包的来源和目标 IP，从而把数据包发回给 iOS 设备。

　　这个逻辑看起来很简单，实际上也一点都不复杂。实际上，SideStore 就是在 iOS 设备本地打开了一系列端口，模拟安装了 iTunes 的电脑。假设 iOS 在尝试连接模拟出的电脑时创建了这样一条连接：

　　那么 WireGuard 或者 StosVPN 就会交换来源和目标 IP（但不交换端口号），将数据包改写成以下的样子并发回 iOS 设备：

　　从 iOS 设备看来，这是一条从10.7.0.1发来的新 TCP 连接，与上一条发往电脑的连接没什么关系。由于 iOS 尝试连接到的端口（此处以54321示例）应当是 iTunes 的端口，而 SideStore 又在本地模拟了 iTunes，所以 SideStore 此时也应在监听54321端口，并收到了数据。

　　这一个回复数据包就对上了最开始发往电脑的连接。iOS 因此认为自己收到了电脑上 iTunes 的回复，从而继续更新开发者证书。

　　如果你只有少量的 iOS 设备，并且给它们都分配了固定 IP，而且有一台运行 OpenWrt 或其它 Linux 系统的路由器，你直接用以下 Nftables 规则就可以了：

　　上述规则的用途是，如果收到了来自你的 iOS 设备（192.168.0.123或192.168.0.234）发往10.7.0.1（虚拟电脑）的数据包，就把数据包的源 IP 改成10.7.0.1（虚拟电脑），目标 IP 改成你的 iOS 设备（192.168.0.123或192.168.0.234），然后发送出去。此处的notrack是关闭连接跟踪，防止 Linux 用这些数据包去匹配之前收到的数据包和连接跟踪条目，导致规则不生效。

　　由于 Nftables 不支持将数据包的来源/目标 IP 等信息用作变量，无法用一组规则实现「交换来源和目标地址」的目的，所以我们需要给每台 iOS 设备都添加一条规则。如果你的 iOS 设备比较少，可以给每个设备的 IP 都单独写一条规则。但如果你的设备很多，或者没有固定 IP，你就需要给家庭网段内的每一个 IP 都写一条规则，非常麻烦。同时，如果你的路由器不支持 Nftables 或类似的防火墙功能，无法用类似的方式改写数据包，也无法实现这样的功能。

　　如果你无法使用上面的方法，我也写了一个实现上述逻辑的小工具：SideStore VPN 工具。它可以在 Linux 设备上创建一个 TUN 接口，监听发往10.7.0.1的数据包，并用和 StosVPN 相同的逻辑处理这些数据包。

　　要在你的网络内使用这个工具，你需要准备一台运行 Linux 的设备（例如树莓派或者虚拟机），将它连接到 iOS 设备所在的同一个内网中，并设置一个固定 IP。由于工具改写后的数据包可以看作是从这个 Linux 设备向 iOS 设备的一条新连接，所以 iOS 设备和这个 Linux 设备之间不能有防火墙或者 NAT，否则这条新连接会被拦截，导致 SideStore 的模拟电脑无法正常收到请求。

　　为了最大限度地避免 IP 冲突，这条静态路由只影响10.7.0.1一个 IP 地址。但如果你的路由器不支持创建 /32 路由，你可以调整子网掩码，扩大这条路由规则的影响范围，只要不与其他设备冲突即可：

　　现在在你的 iOS 设备上断开 WireGuard 或者 StosVPNios6可以用的vpn，然后用 SideStore 尝试刷新应用。即使不开 VPN，SideStore 应该也可以正常刷新证书了。返回搜狐，查看更多