您可以将本邮件转发给需要的同学
上月goagent放风说会发布1.8新版,以下是其发布计划:
goagent将在这个月内发布1.8.0版本。
主要包含以下改进:
1. golang版本复活 (已完成, 等待GAE SDK发布golang正式版)
2. 实现西厢第三季的抗干扰办法 (已完成)
3. SSL证书优化 (已完成)
4. 细微性能优化和bug修复 (完成中…)另外,由于今天(2012.3.1)众所周知的原因,goagent打算迁出github,以后可能采取有限开源的方式。初步想法如下: 发布版本依然包含源码,然后git repo托管在私有repo上,比如bitbucket。每两周通过自动话程序把repo打包到googlecode downloads中。之所以不用googlecode的git repo,因为实在太难用了,呵呵。
今天注意到新版goagent 1.8.0测试版发布了,具体更新作者也没细说,不过注意到增加了个goagent.pac(支持gfwlist了),另外, golang版本也复活,更多变化大家下载看看吧。
下载地址:https://github.com/phus/goagent/zipball/master
不过,有网友反映测试版尚有不少问题,不喜欢折腾的还是用goagent 1.7.10 稳定版吧。给一个网上流传的十分钟教程:
十分钟部署和使用Goagent快速翻墙
以Windows为例,其他操作系统见 http://code.google.com/p/goagent/ 。
到 http://code.google.com/appengine/ 申请Google Appengine并创建Appid,注意需要手机接收验证码,国际区号加号码,前面不用+号,如中国是 86 13800138000 (网友反馈:联通和电信手机可以,移动手机不行);
下载Goagent稳定版 http://code.google.com/p/goagent/ ,Goagent 1.7.10 稳定版下载 http://repo.or.cz/w/goagent.git/snapshot/1.0.zip ,解压到硬盘或优盘;
修改“local\proxy.ini”中的[gae]下的appid=你的appid(多appid请用|隔开,没有邮箱后缀) ;
双击“server\uploader.bat”上传服务器文件,需要依次输入你的appid(没有邮箱后缀)、此ID对应的Google账号(包括@gmail.com后缀)及密码(输入时不可见,盲输即可),上传成功后即可使用;
在“local\goagent.exe”上右键,WIN7以管理员权限运行,XP下直接运行,
浏览器调用地址(地址127.0.0.1:8087)即可,firefox可安装AutoProxy调用,Firefox需要导入证书,方法请见FAQ https://code.google.com/p/goagent/ 。
注:在申请gae应用时无法收到谷歌的验证码。那么可以填写申请表单来实现,让谷歌人工帮你开通。https://appengine.google.com/waitlist/sms_issues 访问这个网址。按照模版填写。填写你自己用来接收验证码的邮箱就好了。(via)
当然这么简单的教程对于新手可能是天方夜谭,不明白的参考 http://igfw.net/archives/6138 一文的图文详细教程吧。
注:这是一篇旧文章,原文作者Twitter:@davidsky2012,题目为"如何区分国内上网环境中不同的人为网络故障"。美博园转载时根据内容将标题改为:GFW封锁网络的几种常用方法。相关内容文章还可参考:维基百科之"长城防火墙"(GFW)。保存下来作资料参考。原文如下:
众所周知,在国内上网会遇到各种各样不同的人为网络故障,使得我们无法正常访问很多网站。但由于很多人并不熟悉网络,很多时候会无法区分不同的网络故障,导致明明是网络故障,却认为是服务器故障;或明明是服务器故障,却认为是网络故障的情况。我觉得有必要说明一下不同网络故障的特征,以及区分它们并解决它们的方法。
在国内上网环境中,我们经常遇到的网络故障有:DNS劫持、DNS污染、IP封锁、服务器防火墙IP过滤、服务器宕机、基于关键词的TCP连接重置、无状态的TCP连接重置、SSL证书过滤、SSL劫持、HTTP会话劫持等网络故障。下面我就依次进行说明:
1、DNS劫持
DNS劫持会导致我们访问了一些不存在的或不稳定的网站的时候,访问到的却是电信114搜索(详见月光博客《断网后互联星空的浏览器劫持》)或访问Google却显示了Baidu的主页(详见月光博客《Google博客搜索摇身一变成百度》)。
如果需要确认自己是否处在DNS劫持的环境中,我们可以在Windows命令行cmd中使用Windows自带的网络诊断工具nslookup查找一个不存在或不稳定的域名进行一下网络诊断:
C:\>nslookup www.SomeRandomDomainName.com
Server: ns-pd.online.sh.cn
Address: 202.96.209.133
Non-authoritative answer:
Name: www.SomeRandomDomainName.com
Address: 218.83.175.155
我们看到,www.SomeRandomDomainName.com本应该是一个不存在的域名,DNS服务器应该告诉我们这个域名不存在,但我们却看到DNS服务器告诉我们这个域名的IP为218.83.175.155(不同地区的114搜索的IP都不同,可能得到的IP并不是218.83.175.155,而是自己所在地区的114搜索的服务器IP地址),而这个IP却是114搜索的IP,导致我们在浏览器中访问这个网站时看到的是114搜索的网页。
如果需要解决DNS劫持的问题,可以把自己的域名解析服务器换乘国外的,比如OpenDNS(详见月光博客《使用OpenDNS解决DNS域名劫持》)或Google DNS(详见月光博客《Google推出免费DNS服务》)。
解决之后我们再次使用nslookup查找一下这个网站:
C:\>nslookup www.SomeRandomDomainName.com
Server: google-public-dns-a.google.com
Address: 8.8.8.8
*** google-public-dns-a.google.com can't find www.SomeRandomDomainName.com: Non-existent domain
我们看到DNS服务器正确的告诉了我们这个域名不存在,我们不会被劫持到114搜索了。
不过,正如《使用OpenDNS解决DNS域名劫持》中最后一段所说的那样,"但是对于DNS污染的劫持,使用OpenDNS也无法解决问题"。那么接下来,我就介绍一下DNS污染。
2、DNS污染
由于DNS劫持可以通过把域名解析服务器更换为国外的来解决问题,所以系统需要使用DNS污染来封锁一些域名。这样,即使使用国外的域名服务器也得不到服务器的正确IP,所以也就无法访问这些服务器了。比如现在著名的微博客始祖twitter主页就遭到了DNS污染。
如果需要确认域名遭到了DNS污染而不是其他的故障,首先要了解,DNS劫持是由国内的域名服务器完成的,所以我们把域名服务器换成国外的就可以解决问题;而DNS污染是由系统完成的,所以即使更换了域名服务器,系统仍旧可以发送伪造的域名解析结果替换正确的解析结果。所以我们可以通过使用一个不存在的国外IP作为我们的域名服务器进行诊断究竟是DNS劫持还是DNS污染。我们仍旧通过使用nslookup进行网络诊断,选一个不存在的国外IP为144.223.234.234:
C:\>nslookup twitter.com 144.223.234.234
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 144.223.234.234: Timed out
Server: UnKnown
Address: 144.223.234.234
Name: twitter.com
Address: 93.46.8.89
我们看到,由于144.223.234.234不存在,理应没有任何返回。但我们却得到了一个错误的IP:93.46.8.89。我们再测试一下刚才被DNS劫持的IP的情况:
C:\>nslookup www.SomeRandomDomainName.com 144.223.234.234
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 144.223.234.234: Timed out
Server: UnKnown
Address: 144.223.234.234
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
我们看到,www.SomeRandomDomainName.com 没有返回结果,那么它没有被DNS污染。
如果要解决DNS污染,我们只能使用各种加密代理进行远程DNS解析、VPN或利用系统的漏洞了。
3、IP封锁
这里IP封锁指的是国内把国外服务器的IP加入了系统的黑名单,导致大部分地区甚至全国无法直接访问服务器。由于系统是分布式的,所以有可能出现部分地区可以访问,部分地区不能访问的情况。比如现在知名的云存储服务Dropbox的主页,就是遭到了IP封锁。
首先我们把域名服务器设置为国外的,排除了DNS劫持的问题。之后我们诊断一下dropbox的域名是否遭到了DNS污染:
C:\>nslookup www.dropbox.com 144.223.234.234
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 144.223.234.234: Timed out
Server: UnKnown
Address: 144.223.234.234
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
显然也没有遭到DNS污染。那么接下去我们可以在没有过滤ICMP协议的网络环境中(有些小区宽带和有些公司的内部网络过滤了ICMP协议,无法使用tracert),我们可以在Windows命令行cmd中使用Windows自带的网络诊断工具tracert进行一下网络诊断是网站遭到了IP封锁还是其他的故障:
C:\>tracert -d www.dropbox.com
Tracing route to www.dropbox.com [174.36.30.70]
over a maximum of 30 hops:
1 18 ms 19 ms 26 ms 58.35.240.1
2 15 ms 20 ms 29 ms 58.35.240.1
3 13 ms 10 ms 14 ms 124.74.20.45
4 14 ms 14 ms 15 ms 124.74.209.137
5 10 ms 15 ms 14 ms 61.152.86.58
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
……
我们看到,最后一个IP为61.152.86.58(不同地区的IP不一样),之后就不通了,显然在61.152.86.58附近遭到了IP封锁。那么我们打开ip138查一下61.152.86.58是谁在掌控:
您查询的IP:61.152.86.58
* 本站主数据:上海市 电信
* 参考数据一:上海市 电信
* 参考数据二:上海市 电信
显然,问题在上海电信这里(其他地区可能是地区的本地电信),而不是dropbox服务器的问题。
4、服务器防火墙IP过滤和服务器宕机
把这两点放在一起写是因为这两种情况的对外表现是一样的。但和IP封锁却有很大区别。IP封锁的最后一个可达IP是中国的,而服务器防火墙IP过滤和服务器当机时的最后一个可达IP却是国外的。比如我们拿75.101.142.137做试验,之前在上面部署过alexa的网站,现在这个IP上暂时没有服务器(可以看成服务器宕机):
C:\>tracert -d 75.101.142.237
Tracing route to 75.101.142.237 over a maximum of 30 hops
1 25 ms 18 ms 18 ms 58.35.240.1
2 25 ms 42 ms 27 ms 58.35.240.1
3 10 ms 15 ms 14 ms 124.74.37.9
4 49 ms 59 ms 12 ms 124.74.209.129
5 14 ms 14 ms 14 ms 61.152.86.142
6 10 ms 14 ms 15 ms 202.97.35.154
7 14 ms 15 ms 14 ms 202.97.34.126
8 194 ms 195 ms 194 ms 202.97.51.138
9 171 ms 170 ms 173 ms 202.97.50.54
10 215 ms 179 ms 175 ms 63.146.27.133
11 279 ms 280 ms 278 ms 67.14.36.6
12 * * * Request timed out.
13 249 ms 249 ms 244 ms 72.21.199.40
14 254 ms 254 ms 254 ms 72.21.222.157
15 250 ms 250 ms 249 ms 216.182.232.53
16 270 ms 270 ms 273 ms 216.182.224.22
17 272 ms 269 ms 289 ms 75.101.160.35
18 * * * Request timed out.
19 * * * Request timed out.
20 * * * Request timed out.
我们看到最后一个可达IP为75.101.160.35,然后我们查一下这个IP是谁的呢:
您查询的IP:75.101.160.35
* 本站主数据:美国
* 参考数据一:美国
* 参考数据二:美国 华盛顿州金县西雅图市亚马逊公司
显然,这个是服务器故障。
如果要解决IP封锁,我们只能通过加密代理、VPN或利用系统的漏洞进行访问这些网站了。
5、基于关键词的TCP连接重置
国内的系统在人们通过http协议访问国外网站时会记录所有的内容,一旦出现某些比较"敏感"的关键词时,就会强制断开TCP连接,记录双方IP并保留一段时间 (1分钟左右),我们的浏览器也就会显示"连接被重置"。之后在这一段时间内(1分钟左右),由于我们和服务器的IP被摄查系统记录,我们就无法再次访问这个网站了。我们必须停止访问这个网站,过了这段时间再次访问没有这些关键词的网页,就又能访问这个网站了。
由于这些特征,我们判断是否遭到了基于关键词的TCP连接重置的情况也比较容易。如果浏览器显示"连接被重置",并且在一段时间内无法再次访问这个网站,之后过了这段时间访问这个网站上没有这些关键词的网页又能访问的时候,我们就是遭到了基于关键词的TCP连接重置的故障。
正是因为http协议是明文传输的,所以才能基于关键词进行TCP连接重置。所以如果网站支持https加密访问,我们可以通过https方式访问网站,从而解决这个问题。但如果网站不支持https方式访问,我们只能通过加密代理、VPN或利用系统的漏洞进行访问了。而且国内的系统对付https也不是没有其他手段了。除了IP封锁外,还有无状态的TCP连接重置、SSL证书过滤、SSL劫持等手段,下面进行依次介绍。
6、无状态的TCP连接重置
由于https是加密传输数据的协议,系统无法知道通过https协议传输了什么内容,但又不允许民众使用https访问"有害信息",所以系统只要监测到(系统只是知道访问了这个网站的https协议,并不知道其中传输的内容)访问了指定网站的https协议(比如Google Docs的https访问方式),就会强制断开TCP连接。这样,这些网站的https协议在国内就无法直接使用了,很多人被迫使用http协议,从而传输的所有内容被系统所记录。
无状态的TCP连接重置的结果也是浏览器显示"连接被重置",只不过无论访问这个服务器上的任何网页都会被重置。如果要解决这个问题,也只能依靠加密代理、VPN或利用系统的漏洞了。
7、SSL证书过滤
和无状态的TCP连接重置一样,由于https是加密传输数据的协议,系统无法知道通过https协议传输了什么内容,但又不允许民众使用https访问"有害信息",除了域名污染和无状态的TCP连接重置防止无法审查内容外,还有SSL证书过滤的审查手段。由于https传输过程中,SSL证书却是明文传输的,所以可以监测SSL证书是否掰发给指定域名的。如果确实如此,那么就强制断开TCP连接,浏览器也会显示"连接被重置"。SSL证书过滤只发生在使用https访问网站的时候。
SSL证书过滤的情况比较少。如果需要解决这个问题,也只能依靠加密代理、VPN或利用系统的漏洞了。
8、SSL劫持
断开https连接虽然能阻止民众访问"有害信息",但并不知道访问了什么有害信息。基于这一点,针对https的弱点(信任所有证书颁发机构CA),CNNIC申请成为了顶级证书颁发机构(Root CA),从而可以发假证书进行中间人攻击,从而破解https传输的内容。详见月光博客《破解Google Gmail的https新思路》。
如果遭到了SSL劫持,很难发现。我们通过https访问国外网站的时候必须每次检查一下证书是否为国内的证书颁发机构颁发。如果为国内的证书颁发机构颁发,那么很可能遭到了SSL劫持,必须马上停止继续访问。
如果要解决SSL劫持,我们可以去浏览器中禁止比如CNNIC那样的国内证书颁发机构的证书(比如《CNNIC,我不信任你》)。但这并不能完全解决问题,如果某一天一个不知名的国内证书颁发机构参与了SSL劫持就很难发现。最终我们还需要依赖加密代理或VPN。
9、HTTP会话劫持
HTTP会话劫持是修改正常的http返回结果,可以在其中加入广告,甚至是病毒木马。而一般上网被http会话劫持加入广告,很有可能认为是网站自己的广告。由于http协议是明文传输的,http会话劫持也就可以做到。月光博客中《电信级的网络弹出广告》、《获取了电信恶意弹出广告的罪证》和《谁控制了我们的浏览器?》也有详细介绍http会话劫持。HTTP会话劫持通常是ISP为了推送广告而实施的,但并不排除这一手段今后会被系统所利用。
要解决HTTP会话劫持,月光博客中也提供了一种解决思路��《解除ADSL弹出广告的方法》。使用浏览器插件屏蔽广告能解决部分问题,也不能完全解决问题。如果要从技术手段解决HTTP会话劫持,一种办法是使用加密代理和VPN访问所有的网站,包括国内的,但也不能完全解决问题,如果HTTP会话劫持是在服务器附近的路由器上设置的,这种方法也无法解决;另一种办法是针对不同的HTTP会话劫持,我们通过刷路由器固件的方式再劫持回来(dd-wrt和tomato路由器固件支持自定义,可能可以把HTTP会话再劫持回原来的数据),或者针对不同的HTTP会话劫持,使用不同的本地应用层代理服务器进行广告过滤。
在国内常见的人为网络故障都介绍完了,同学们都可以区分不同的故障了并加以解决吗?
作者Twitter:@davidsky2012,作者Google Reader: https://www.google.com/reader/shared/lehui99
用Google搜索“翻软墙件”会遭遇“连接被重置”的苦恼。这时,我们可以用《在天朝如何正常的使用Google的服务》这篇文章描述的方法解决Google不稳定的问题。
但接下来呢?虽然我们现在可以搜到翻软墙件了,但点开之后却打不开!这个时候就可以用网页代理。《用网页代理翻墙》这篇文章里不仅提供了几个网页代理的地址,而且还在图片里给出了一个著名翻墙工具的下载地址。
用这种方法有时候一次下载不成功,下载下来的文件不完整。没关系,重新下载一次即可。自由门和赛风3都有数字签名,可以验证文件的完整性。(右键-属性-数字签名。)
相关文章:
本文来源:Peter的游击战。转载请注明!
建议平时不常用Google的同学先看看《在天朝如何正常的使用Google的服务》。
上面的两幅图已经很直观的描绘了获取翻墙工具的方法。例如用 Google 搜索 白鸽 英雄 柏林墙,就会看到缩短之后的下载地址(例如http://url.ie/b340),不要点开,而是把这个地址复制出来,然后粘贴到浏览器地址栏中打开。如果打不开怎么办?很简单,在网上找个短网址还原服务就可以得到原始网址。
当然,这只是抛砖引玉,善用Google,方法不止这一种。
词语释疑:“目田”就是砍了头的“自由”,“长城”和”柏林墙“都暗指‘墙“,”白鸽“”真象“”河蟹“是三种动物。
相关文章:
本文来源:Peter的游击战。转载请注明!
前言:
在这片神奇的土地上,翻墙应该是每个网友必需掌握的技能,除非墙被推倒了。翻墙的首要,就是翻过心里的墙。心中无墙,才是最重要的。
由于墙的邪恶本质,它不会允许某种翻墙方式长时间、大规模稳定有效,所以,只掌握一种翻墙方法是不靠谱的。本文介绍GAE(Google App Engine) 翻墙的方法。GAE 的官方介绍:“Google App Engine,在 Google 的基础架构上运行您的网络应用程序。” GAE 是由 Google 提供的一个云计算平台,你可以免费或付费的在上面部署你自己的服务。
翻墙路线图:浏览器——客户端(电脑上)——服务端(GAE 上)——墙外网站。
相比某些傻瓜式的穿墙软件(例如自由门、无界),这种翻墙方式在部署上有些麻烦。但一旦部署妥当,使用起来可以实现无需任何操作即可自动翻墙,就好象没有墙似的。
正文:
程序是现成的,由热心网友无偿提供和维护。本文以GoAgent为例。GoAgent支持多种操作系统,可以运行在Windows/Mac/Linux/Android/iTouch/iPhone/iPad/webOS/OpenWRT/Maemo上,而且速度快,是目前非常流行的翻墙工具。
大体的部署过程是这样的:首先申请GAE帐户并创建你的appid,然后在Windows系统中将GoAgent服务端上传到GAE上,并配置GoAgent客户端,最后配置浏览器的代理设置。与GoAgent主页上的教程相比,本文只是更详细而已。如果以下步骤和GoAgent主页上的有冲突,请以主页为准。
第一步、申请GAE并创建你的app_id:
如果没有Google帐户,先申请一个。
然后参考网上的文章,例如这篇:http://www.zuomin.tk/?p=304005
(最多可以免费创建10个appid。)
第二步、配置 GoAgent 客户端,并将 GoAgent 服务端上传到 GAE 上:
到GoAgent主页下载GoAgent,解压缩。
修改local\proxy.ini中的[gae]下的appid=你的appid(如果有多个appid,之间用竖线“ | ”隔开。)
双击server\uploader.bat,根据提示输入。输密码的时候光标是不动的,正常现象。
双击 local\addto-startup.vbs 可以把goagent.exe加入到开机启动项。
以管理员权限启动goagent.exe。
第三步、配置浏览器的代理设置
理论上来说,只需将浏览器的http代理设置成 127.0.0.1:8087 即可。但实际上,我们并不希望翻墙浏览所有的网站,而是希望直接浏览墙内的网站。所以,我们需要一个能够自动判断并自动切换代理的工具。本文以Chrome浏览器为例(Firefox浏览器请安装AutoProxy)。
先安装 SwitchySharp扩展,然后导入这个设置http://goagent.googlecode.com/files/SwitchyOptions.bak ,如下图
导入成功后点击右上角的图标,在弹出菜单中切换到“自动切换模式”。到“切换规则”页面点击“立即更新列表”按钮。
至此,如果没出现错误的话,我们的目标应该已经实现了。打开Twitter试试吧。
结语:
需要注意的问题:Google阅读器需要用https方式访问。最近发现SwitchySharp的自动切换模式对浏览器的启动速度有影响。如果比较介意浏览器的启动速度,可以在每次关闭浏览器的时候切换到其他模式。
相关文章:
本文来源:Peter的游击战。转载请注明!
DD-WRT是一种自制的路由器ROM,可以用来实现一些个性化比较强的功能,比如“穿墙”。具体可以看这里。
今天测试的时候按步骤连接PPTP VPN的时候怎么连也连不上,我刷的是DD-WRT v24-sp2版的系统。如果你会Telnet到路由器查看文件系统的话,会发现是新版配置文件/tmp/pptpd_client/options.vpn的问题。
可以用来连接的options.vpn文件如下:
defaultroute lock noauth nodetach refuse-eap lcp-echo-failure 3 lcp-echo-interval 2 persist usepeerdns idle 0 ip-up-script /tmp/pptpd_client/ip-up ip-down-script /tmp/pptpd_client/ip-down ipparam kelokepptpd mppe required,no40,no56,stateless mtu 1450 mru 1450 name 用户名 password 密码
如果你的路由器支持jffs的话,可以看[2]里面的回答,如果不支持的话,可以将options.vpn文件传到网上,然后在开机命令里写上:
cd /tmp/pptpd_client/; rm options.vpn wget 自己的options.vpn的网址 sh vpn go
至于之后怎么修改路由表,使某些网站走VPN完成穿墙功能,就不属于本文讨论的范畴,请自行搜索。并且本文假设你对DD-WRT有了一定了解后才会遇到这种问题,所以很多地方就不具体说明了。
[2] 开机以后autoddvpn不启动,手动启动以后pptp不拨号
[3] autoddvpn
DNSCrypt是一个确保客户与DNS服务器之间传输安全的工具,基于DNSCurve修改而来。
由于Domain Nam System(DNS)设计上的缺陷,用户在浏览器里输入igfw.net等网址以后,如果遭遇MITM或者DNS污染,浏览器可能接收到错误的IP,而存在安全问题。为了解决一些这样安全上的问题,IETF在十几年前便开始制定DNS的安全扩展(DNSSEC)。利用公开键机密技术,通过对DNS数据进行电子签名,DNSSEC能够验证DNS数据来源和验证在传输过程中DNS是否被篡改。
但是DNSSEC不保证DNS数据的机密性,DNS数据本身并没有被加密,加之DNS的阶层式模式,这便为一些机构提供监视,控制网络的手段。典型的例子就是不能访问一些海外的网站。DNSSEC也不提供免于DOS(Deny of Service)攻击的办法,由于电子签名和签名验证需要格外的数据运算,DNSSEC反而更容易受到DOS攻击。
DNSCurve相对于DNSSEC的好处是,DNSCurve使用了更有效率的椭圆曲线加密算法而可以负担的起每条查询都单独加密,从而更加安全。
DNSCrypt协议是非常类似DNSCurve的,作为一个DNS代理运行,侧重于客户端和第一级DNS服务器之间的通信安全,能够缓存DNS解析。
首先下载对应平台的dnscrypt client然后运行,接着修改本地或者router的dns server为127.0.0.1. 然后你的所有dns请求都会加密进行从而绕过GFW的dns污染顺利解析到正确IP。
(可以在Windows/Linux/BSD/OSX/iOS系统上运行)
更多详情:https://github.com/opendns/dnscrypt-proxy/
下载地址:https://github.com/opendns/dnscrypt-proxy/downloads
使用后访问一些只被GFW DNS污染的网站即可直接访问,如果网站还被关键词检且支持https也可以访问其https网址,比如一些Google服务。
伟大的墙是永恒的话题,在pc上翻墙已经是家常便饭。在iPad,iPhone上一般用VPN,可是我已经买了ssh帐号,我不能为了iPad重新买个VPN吧,而且VPN还又流量限制。怎么办?动手翻吧就。折腾了好几个晚上居然都没成功,今天终于搞定了。
原本不想折腾,可是该死的GFW越来越不要脸了。以前在iPad上购买的国家地理,Empire等杂志都居然不能下载了。第一时间怀疑是网络问题,不可能两个杂志同时间全世界都不能下载吧。找了个免费的VPN试了一下,果然能下载了。验证了我的疑问,既然如此,我只好想办法在iPad上也用ssh tunnel翻墙吧。
原理:
使用ssh tunnel翻墙有多种方法,这里采用如下方法:
先决条件:
步骤:
ssh -D localport username@host -p port -N
简单说明一下:
localport是建立通道后,本地侦听的端口
username是你的ssh用户名
host port 分别是你的ssh服务的域名和端口。
例如:
ssh -D 7070 luyu@fuckthegfw.com -p 80 -N
function FindProxyForURL( url, host ) { return "SOCKS 127.0.0.1:7070"; }
注意:
Can’t Change User’s Home Dir
注意包含-N参数,确保登录后不执行服务器命令
知道1984BBS最早是从sftp翻墙开始的,当时有两篇ssh翻墙的文章广为流传,一篇是介绍利用免费cPanel空间的sftp翻墙的(使用免费cPanel空间的SFTP翻墙 [图文教程]),一篇是几个cPanel空间的Demo帐号(SSH翻墙之妙用Demo),我就是想看这两篇文章的原文才找邀请码注册了1984bbs.com的 帐号的,注册了论坛之后才知道了一个张书记一个库存袈裟的人,我的印象中张书记不是个和蔼的人给人的距离很远倒是库存袈裟真是个难得的好人至少我是这么感 觉的(嘿嘿,听说还是个帅哥呢),不过他们我都不认识也没有什么交集,可惜没来得及认识1984bbs.com就迫于中共压力而已经永久关闭了,写这些文 字也算是做个纪念吧!
记得袈裟说sftp翻墙是他最先发现的,也是他写了教程流传开来的,sftp是什么我也不是很清楚,感觉就是使用ssh技术加密的ftp吧,听说 sftp传输数据要比ftp安全(cPanel空间一般都开通了sftp功能的)而sftp账号也可以看作一个做了限制的ssh账号,它虽然不能执行 shell命令不过用来做端口转发翻墙一般还是可以的!不少主机商都提供自家cPanel空间控制面板演示帐号,这些演示帐号虽然做了不少限制但是一般还 是能用做ssh翻墙的,今天就说说获得这种demo帐户的方法。
流程是这样的使用相关关键词(例如":2082/login/?user=" 更多的关键词可以自己思索优化 )在Google(www.google.com)搜索得到cPanel的demo的服务器地址用户名和密码(例如http://cpdemo.hostican.com:2082/login/?user=demo&pass=demo,就说明服务器地址cpdemo.hostican.com、用户名也就是user是 demo、密码也就是pass是demo),然后测试能否登录cPanel的控制面板如果不能就可能是此空间的用户名密码已经失效了或者IP域名被GFW 封锁了如果能登录进去就找到FTP Accounts(如果不是英语面板可以依照他们的图标寻找)点击进入ftp界面然后点击Configure FTP Client在打开的界面里找到SFTP Server Port:记录下端口,使用此demo的服务器地址、SFTP Server Port:、用户名、密码、做为MyEntunnel的ssh服务器、ssh端口、用户名称、用户密码进行测试,如果能成功打开被墙的网站就说明此 demo可用做代理如果不能就可能是此空间做了限制不允许ssh登录或此空间关闭了ssh端口转发不能用做代理了(具体细节可以看:X10hosting无限空间无限流量的免费空间、[SSH]Windows+Firefox+AutoProxy+MyEntunnel翻墙教程和MyEnTunnel创建多个SSH账户)!
大家找到了能用的帐号最好不要发布在网络上,因为如果此帐号广泛流传可能被GFW发觉封锁了其IP域名也可能因用户过多流量过大而被空间商发现关闭 了ssh端口转发或者直接关闭了此demo帐户!由于是空间商的demo帐户可能在稳定性和速度方面很不理想,帐户也有可能随时失效,而且搜索测试过程很 繁琐也比较费时间和精力,如果你经常使用ssh翻墙而且又不十分缺钱的话可以考虑购买信得过的ssh代理服务商的收费服务。
Advanced Onion Router是一个功能强大的Tor第三方程序,比Vidalia拥有更多设置也更轻巧。网友sarghdh留言给出了个人汉化的AdvOR 语言包下载(仅兼容最新版AdvOR 3.0.7),有兴趣的试试。
下载地址:
http://d.1tpan.com/tp1786277774 (备用下载)
使用方法:
首先访问 http://sourceforge.net/projects/advtor/files/ 下载最新版AdvOR,然后下载上面连接里的AdvOR中文语言包。
解压AdvOR和语言包,将AdvOR-Chinse.lng语言包文件移动到AdvOR.exe同一文件夹下。
运行AdvOR.exe文件,点击“System”再点击“Language”右侧的下拉菜单,选择“Chinse”即可看到中文界面。
连接AdvOR后可以设置浏览器http/https或socks5代理为127.0.0.1端口9050翻墙。
Tor的连接方法:
由于网络封锁,tor在中国大陆已经不能直接连接,需要通过网桥或前置代理连接。网桥可以通过Google或Yahoo邮箱发送get bridges信息到bridges@torproject.org邮箱获取,前置代理可以通过国外代理网站或代理软件等方法获取国外只是ssl的代理(HTTPS / CONNECT)。设置方法参考下图(代理和网桥不要同时使用)。
AdvOR使用技巧:
另外附上一些AdvOR使用的小技巧。
用VPS做SSH服务器已经是很普遍的代理上网途径了,之前就写过一篇VPS配置SSH,实现代理上网方法小记的文章介绍过如何在vps上配置SSH,关于Android上使用SSH在Android上的SSH Tunnel应用(Puff Android 版) 一文中有详细介绍,参考Android SSH Tunnel配置 一文进行配置,Google Chrome上的配置请参考Google浏览器代理插件Proxy Switchy!通过SSH轻松爬墙 一文,今天再详细讲一下配置和Firefox上的设置,请有些童鞋仔细看看看文章,很简单的步骤,已经讲的很详细,不要文章都没看就直接邮件来询问.
VPS 不仅可以用来搭建 PPTP、L2TP/IPSec 和 OpenVPN,而且还可以直接作为 SSH 代理翻墙. 以下将介绍一个如何把 VPS 作为 SSH 代理翻墙的简易方法.
一、连接VPS
连接 VPS对 Windows 来讲,你可以安装一个 SSH 客户端(例如 Tunnelier), 对 Mac 来讲,你也可以安装一个 SSH 客户端(例如 Issh),但更简单的方法是直接在终端应用程序上通过以下命令连接: ssh -N -D 7070root@123.123.123.123 记得将 “123.123.123.123” 替换成你 VPS 的 IP 地址,按下 “Return” 键,输入 VPS 登录密码,如果正确,回车后你将看不到任何新的内容.
顺便说一下,不管你的 VPS 事先是否已经安装了 VPN,你都可以把 VPS 作为 SSH 代理,这不会影响 VPN 的使用. 技巧: 尽管以上是最简单的连接方法,但是只能供你一个人使用--除非你想把自己的 VPS 帐户和别人分享.而如果要和别人分享同一个 SSH 代理,你可以通过以下 4 个步骤新建一个受限的 VPS 用户:
1、登录 VPS 在终端应用程序上输入以下命令: SSH root@123.123.123.123 记得将 “123.123.123.123” 替换成你 VPS 的 IP 地址.
2、创建一个用户组 输入以下命令: groupadd Byncc 你可以将 “byncc” 替换成任意名字.
3、创建受限用户 输入以下命令: useradd -d /home/byncccom -m -g byncccom -s /bin/false byncc 以上命令将会在 “byncccom” 创建一个新的 SSH 用户 “byncc”,该用户只能使用 SSH 代理,不能登录你的 VPS 帐户.
4、为新用户设置密码 输入以下命令: passwd byncc 然后,为该用户设置任意密码 (例如 “123456”). 完了之后,你就可以把该用户名和密码分享给朋友,他们也就可以通过以下命令使用你的 SSH 代理: ssh -N -D 7070byncc@123.123.123.123 记得把 “byncc” 替换成你新建的用户名,把 “123.123.123.123” 替换成你 VPS 的 IP 地址.
二、配置浏览器代理
连接上 VPS 之后,你需要在浏览器的网络设置里面将 Socks 代理的服务器 IP 地址设为 127.0.0.1,并且端口为 7070.其中 Firefox 和 Chrome 浏览器的设置分别如下:
1、Firefox 以上的设置界面你可以在 Firefox 浏览器上通过以下路径找到: Preference –> Advanced –> Network –> Settings
2、Chrome 以上的设置界面你可以在 Chrome 浏览器上通过以下路径找到: Preference –> Under the Hood –> Network –> Change Proxy Settings 顺便一提,HTTP、SSL、FTP 以及其他代理服务器的 IP 地址一律留空或者不要打勾.
发现最近牢骚的总是墙来墙去的,烦啊,可是又没有办法!
因为很多原因,备案也好,屏蔽也罢,或者只是贪图动不动就一两刀的优惠码,很多个人站长都选择了GoDaddy。
不过最近GD的DNS服务器被封杀的厉害,我之前也选择了使用国内的免费DNS服务,域名很多,解析来解析去的很麻烦,于是就整理了一下没有被墙的服务器地址,在GoDaddy后台把12个备用DNS服务器填满,应该不至于全被杀了吧・・・
至于修改DSN的方法,百度一下一大把。
下面列出的是我本地测试出的优质服务器
NS10.DOMAINCONTROL.COM NS12.DOMAINCONTROL.COM NS14.DOMAINCONTROL.COM NS19.DOMAINCONTROL.COM NS21.DOMAINCONTROL.COM NS22.DOMAINCONTROL.COM NS29.DOMAINCONTROL.COM NS46.DOMAINCONTROL.COM NS48.DOMAINCONTROL.COM NS56.DOMAINCONTROL.COM NS66.DOMAINCONTROL.COM NS67.DOMAINCONTROL.COM NS77.DOMAINCONTROL.COM
下面的是一般,有丢包,但是没有被Q的
NS75.DOMAINCONTROL.COM NS50.DOMAINCONTROL.COM NS44.DOMAINCONTROL.COM NS62.DOMAINCONTROL.COM NS78.DOMAINCONTROL.COM NS52.DOMAINCONTROL.COM NS16.DOMAINCONTROL.COM NS76.DOMAINCONTROL.COM NS31.DOMAINCONTROL.COM NS35.DOMAINCONTROL.COM NS42.DOMAINCONTROL.COM NS61.DOMAINCONTROL.COM NS37.DOMAINCONTROL.COM NS53.DOMAINCONTROL.COM NS33.DOMAINCONTROL.COM NS43.DOMAINCONTROL.COM NS64.DOMAINCONTROL.COM NS26.DOMAINCONTROL.COM NS41.DOMAINCONTROL.COM NS51.DOMAINCONTROL.COM NS82.DOMAINCONTROL.COM NS63.DOMAINCONTROL.COM NS65.DOMAINCONTROL.COM NS73.DOMAINCONTROL.COM NS20.DOMAINCONTROL.COM NS30.DOMAINCONTROL.COM NS58.DOMAINCONTROL.COM NS72.DOMAINCONTROL.COM NS49.DOMAINCONTROL.COM NS40.DOMAINCONTROL.COM NS81.DOMAINCONTROL.COM NS74.DOMAINCONTROL.COM NS38.DOMAINCONTROL.COM NS47.DOMAINCONTROL.COM NS28.DOMAINCONTROL.COM
这些数据只是在我这里测试了,我的线路为河北联通,希望路过的别的线路的朋友能帮忙完善这个表单,服务大众嘛!
两年前买的HostMonster主机快要到期了,准备物色新主机。由于需求越来越复杂,我需要一个可以完全自己配置的环境,于是基于Xen的VPS主机Linode成了最佳选择,再加上它最近开通了东京数据中心,从国内ping只有120ms,绝对是翻墙越货最佳之选。
花了一个小时就搞定了信用卡支付,ubuntu系统的安装,nginx/php5/mysql/phpmyadmin安装,在国内的独立服务器上已经干过无数次了。基本上都快成为本能了。
值得一提的是在东京机房使用ubuntu的apt-get,需要修改一下源。日本最快的源是jp.archive.ubuntu.com,批量将us.archive.ubuntu.com替换成jp.archive.ubuntu.com就可以了。
接下来,就是配置VPN了,这才是VPS主机最大的价值。
apt-get install pptpdlocalip 192.168.0.1
remoteip 192.168.0.201-245
ms-dns 106.187.34.20
ms-dns 106.187.35.20
ms-dns 106.187.36.20username pptpd password *net.ipv4.ip_forward=1iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
博文
所有评论
