翻墙 – mking007

2019-05-272019-05-30

如何在linux环境下搭建Tor代理服务器

代理配置
现在要使该服务器成为一个TOR代理，使得其他主机可以使用该服务器的TOR代理，需要进行如下配置
vim /etc/tor/torrc 修改SOCK5代理端口，添加以下语句
SOCKSPort 9050 # Default: Bind to localhost:9050 for local connections.
SOCKSPort 0.0.0.0:9150 # Bind to this address:port too.

重新运行TOR，查看网络状态，新打开监听端口9150
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:9150 0.0.0.0:* LISTEN

因为TOR提供的SOCK5代理没有用户密码验证。所以我们需要配置防火墙，修改iptables来指定允许的IP连接该端口。或者直接修改Tor配置文件，只允许指定的IP访问TOR代理接口，在torrc文件末尾添加以下语句。
SOCKSPolicy accept 45.32.24.178
SOCKSPolicy reject *
#SOCKSPolicy accept 192.168.0.0/16

使用其他主机测试该代理，在一台VPS上配置firefox浏览器socks5代理为该服务器的9150端口，然后通过浏览器百度自己的ip，或者访问https://check.torproject.org/?lang=zh_CN，可以发现该浏览器的流量走的是tor网络。如果想要使整个主机流量走TOR网络，可以配合proxyfier等全局代理工具使用。

其他TOR相关配置
配置Tor网络出口节点
比如想实现指定Tor网络出口节点，或者限制出口节点不走某些区域的功能。以指定出口节点为日本为例，在torrc配置文档末尾添加以下语句(StrictNodes 表示强制执行）
ExitNodes {jp}
StrictNodes 1
如果想要排除某些国家/地区的节点，如中国，香港可以添加
ExcludeNodes {cn},{mo},{hk}
StrictNodes 1
这样，Tor客户端会主动规避来自香港的中继节点，但如果Tor在排除之后的中继节点中建立不起来虚拟线路的时候，还是会尝试使用那些排除在外的中继节点。所以，如果要再狠一点，哪怕不能连接也完全不考虑这些排除的节点，则可以再在配置文件中加入StrictNodes 1进行强制执行。

配置前置代理
为Tor配置前置代理，比如在国内是无法直接连接TOR网络的，需要使用前置代理翻墙，然后再使用TOR网络进行双重代理。前置代理可以是HTTP，SOCKS4，SOCKS5等代理，支持用户密码验证，如添加SOCK5代理，添加以下语句在torrc文件末尾。

Socks5Proxy 127.0.0.1:1080
#Socks5ProxyUsername username
#Socks5ProxyPassword password

FAQ：
Q: 若安装Tor碰到错误？
如果错误信息如下：
GPG key retrieval failed: [Errno 14] Could not open/read file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
这个错误是因为手动添加epel源时，未手动添加GPG密钥，
解决方案：
第一种是把这个key从这个源站copy过来，放到/etc/pki/rpm-gpg目录下
第二种是修改repo文件
vim /etc/yum.repos.d/epel.repo
把gpgcheck=1改为gpgcheck=0

Q: 安装和配置正常，但是启动Tor，发现无法连接到Tor网络？
国内需翻墙才能顺利连接接到TOR网络。
———————
作者：宁月_
来源：CSDN
原文：https://blog.csdn.net/smiler_sun/article/details/71124082

2018-08-092018-08-12

Linux搭建IPSec/IKEv2 VPN服务器及客户端连接教程

ref:

https://blog.csdn.net/lai444132348/article/details/75578548

https://mpco.gitlab.io/2015/09/02/Centos%E6%90%AD%E5%BB%BAIPSEC%20IKEV2%20VPN%E6%9C%8D%E5%8A%A1%E5%99%A8/

https://hjc.im/shi-yong-strongswanda-jian-ipsecikev2-vpn/

一、确定虚拟云服务虚拟技术类型

1、通过系统目录判断执行命令：ls -al /proc 一般Openvz的话，则会有vz目录，Xen的话则会有xen目录。
2、通过网卡信息判断执行命令：ifconfig 一般Openvz的话，则会有venet0或venet0:x网卡标识，Xen的话一般则是eth0。
3、通过VPS控制面板判断流行的VPS面板包括SolusVM、vePortal等，会显示具体的虚拟技术。
4、通过virt-what命令判断 CentOS或RedHat系统的话，执行命令：yum install -y virt-what ubuntu（debian系）：sudo apt-get install virt-what
virt-what是一个判断当前环境所使用的虚拟技术的脚本，常见的虚拟技术基本上都能正常识别出来。
安装好virt-what后，执行命令：sudo virt-what 根据返回的信息，即可判断出当前VPS所使用的虚拟技术。

二、编译安装Strongswan

1,安装必须的库

Ubuntu:
apt-get update
apt-get install libpam0g-dev libssl-dev make gcc

CentOS:
yum update
yum install pam-devel openssl-devel make gcc

2,下载strongswan并解压(*代表当前Strongswan版本号)

wget http://download.strongswan.org/strongswan.tar.gz
tar xzf strongswan.tar.gz
cd strongswan-*

3,编译Strongswan:
Xen、KVM使用以下参数:

./configure  --enable-eap-identity --enable-eap-md5 \
--enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap  \
--enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap  \
--enable-xauth-pam  --enable-dhcp  --enable-openssl  --enable-addrblock --enable-unity  \
--enable-certexpire --enable-radattr --enable-tools --enable-openssl --disable-gmp

OpenVZ需额外增加一个 enable-kernel-libipsec:

./configure  --enable-eap-identity --enable-eap-md5 \
--enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap  \
--enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap  \
--enable-xauth-pam  --enable-dhcp  --enable-openssl  --enable-addrblock --enable-unity  \
--enable-certexpire --enable-radattr --enable-tools --enable-openssl --disable-gmp --enable-kernel-libipsec

4,编译并安装:

make; make install

编译完成后如果没有报错,且使用ipsec version指令能出现版本信息,则表示安装成功.

三、配置证书

1,生成CA证书的私钥

ipsec pki --gen --outform pem > ca.pem

2,使用私钥，签名CA证书

ipsec pki --self --in ca.pem --dn "C=com, O=myvpn, CN=VPN CA" --ca --outform pem >ca.cert.pem

提示:多个vps使用同个CA根证书:
如果需要多个vps使用同一个CA根证书,则以上两步只执行一次,之后所有vps都使用上面生成的这两个ca.pem和ca.cert.pem文件进行后续的操作.
然后把多台vps解析到同一个域名的不同二级域名下.
这样客户端连接各个服务器时,只需要客户端安装一次根证书ca.cert.pem即可.

3,生成服务器证书所需的私钥

ipsec pki --gen --outform pem > server.pem

4,用CA证书签发服务器证书

请先确认你的服务器的IP地址或域名,以后客户端连接时只能使用证书中的地址连接(多服务器使用相同根证书CA的,请先做好服务器的域名解析),
然后将下面命令中的123.123.123.123替换为自己服务器的IP地址或域名,一共需要替换两处:

ipsec pki --pub --in server.pem | ipsec pki --issue --cacert ca.cert.pem \
--cakey ca.pem --dn "C=com, O=myvpn, CN=123.123.123.123" \
--san="123.123.123.123" --flag serverAuth --flag ikeIntermediate \
--outform pem > server.cert.pem

注意以上命令中的”C=”和”O=”的值要与第2步CA中的C,O的值保持一致.

5,生成客户端证书所需的私钥:

ipsec pki --gen --outform pem > client.pem

6,用CA签名客户端证书(C,O的值要与上面第2步CA的值一致,CN的值随意):

ipsec pki --pub --in client.pem | ipsec pki --issue --cacert ca.cert.pem --cakey ca.pem --dn "C=com, O=myvpn, CN=VPN Client" --outform pem > client.cert.pem

7,生成pkcs12证书:

openssl pkcs12 -export -inkey client.pem -in client.cert.pem -name "client" -certfile ca.cert.pem -caname "VPN CA"  -out client.cert.p12

注意以上命令中的”-caname”后面的引号里的值必须要与第2步CA中的”CN=”的值保持一致.
此命令运行会让你输入：私钥密码

8,安装证书:

cp -r ca.cert.pem /usr/local/etc/ipsec.d/cacerts/
cp -r server.cert.pem /usr/local/etc/ipsec.d/certs/
cp -r server.pem /usr/local/etc/ipsec.d/private/
cp -r client.cert.pem /usr/local/etc/ipsec.d/certs/
cp -r client.pem  /usr/local/etc/ipsec.d/private/

四、配置Strongswan

1,编辑/usr/local/etc/ipsec.conf文件:

vim /usr/local/etc/ipsec.conf

修改为以下内容：

config setup
    uniqueids=never 

conn iOS_cert
    keyexchange=ikev1
    # strongswan version >= 5.0.2, compatible with iOS 6.0,6.0.1
    fragmentation=yes
    left=%defaultroute
    leftauth=pubkey
    leftsubnet=0.0.0.0/0
    leftcert=server.cert.pem
    right=%any
    rightauth=pubkey
    rightauth2=xauth
    rightsourceip=10.31.2.0/24
    rightcert=client.cert.pem
    auto=add

conn android_xauth_psk
    keyexchange=ikev1
    left=%defaultroute
    leftauth=psk
    leftsubnet=0.0.0.0/0
    right=%any
    rightauth=psk
    rightauth2=xauth
    rightsourceip=10.31.2.0/24
    auto=add

conn networkmanager-strongswan
    keyexchange=ikev2
    left=%defaultroute
    leftauth=pubkey
    leftsubnet=0.0.0.0/0
    leftcert=server.cert.pem
    right=%any
    rightauth=pubkey
    rightsourceip=10.31.2.0/24
    rightcert=client.cert.pem
    auto=add

conn windows7
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!   # windows7的ikev2指定了DH group必须是modp1024
    rekey=no
    left=%defaultroute    # 通告默认路由，作为网关
    leftauth=pubkey
    leftsubnet=0.0.0.0/0
    leftcert=server.cert.pem
    right=%any
    rightauth=eap-mschapv2
    rightsourceip=10.31.2.0/24  # 分配给客户端ip的子网范围
    rightsendcert=never
    eap_identity=%any
    auto=add

2,使用vim编辑/usr/local/etc/strongswan.conf文件:

charon {
        load_modular = yes
        duplicheck.enable = no
        compress = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
        dns1 = 8.8.8.8
        dns2 = 8.8.4.4
        nbns1 = 8.8.8.8
        nbns2 = 8.8.4.4
}
include strongswan.d/*.conf

3,使用vim编辑/usr/local/etc/ipsec.secrets文件:

: RSA server.pem
: PSK "myPSKkey"
: XAUTH "myXAUTHPass"
[用户名] %any : EAP "[密码]"

将上面的myPSKkey单词更改为你需要的PSK认证方式的密钥;
将上面的myXAUTHPass单词更改为你需要的XAUTH认证方式的密码,该认证方式的用户名是随意的;
将上面的[用户名]改为自己想要的登录名,[密码]改为自己想要的密码([]符号去掉),可以添加多行,得到多个用户,这即是使用IKEv2的用户名+密码认证方式的登录凭据.

提示:wp8.1客户端连接的用户名问题
由于wp8.1连接IKEv2的vpn时,默认会加上与手机名称相同的域,于是连接时会显示用户名或密码错误.这里有两种解决方法:
方法1:将上面/usr/local/etc/ipsec.secrets文件的最后一行改为%any %any : EAP “[密码]” ,这样就可以使用任意用户名登录,带上域也不会出错.
方法2:用FreeRADIUS过滤掉登录名的域,参考连接:让FreeRADIUS去掉登陆用户名中的Windows登录域

五、配置防火墙

1,编辑/etc/sysctl.conf
将

net.ipv4.ip_forward=1

执行

sysctl -p

如果出现错误信息：

error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key

error: "net.bridge.bridge-nf-call-iptables" is an unknown key

error: "net.bridge.bridge-nf-call-arptables" is an unknown key

net.netfilter.nf_conntrack_max = 64000

error: permission denied on key 'net.nf_conntrack_max'

则执行：

rm -f /sbin/modprobe

ln -s /bin/true /sbin/modprobe

rm -f /sbin/sysctl

ln -s /bin/true /sbin/sysctl

modprobe bridge

sysctl -p

2、配置iptables

一行前面的#号去掉(否则Ikev2 vpn连接上后将无法访问外网)，保存后执行sysctl -p(如果执行后有报错的,重新打开sysctl.conf将报错的部分#注释掉保存,直到执行sysctl -p不再报错为止)。

2,配置iptables:

OpenVZ执行：

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.31.0.0/24  -j ACCEPT
iptables -A FORWARD -s 10.31.1.0/24  -j ACCEPT
iptables -A FORWARD -s 10.31.2.0/24  -j ACCEPT
iptables -A INPUT -i venet0 -p esp -j ACCEPT
iptables -A INPUT -i venet0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i venet0 -p tcp --dport 500 -j ACCEPT
iptables -A INPUT -i venet0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i venet0 -p udp --dport 1701 -j ACCEPT
iptables -A INPUT -i venet0 -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.31.0.0/24 -o venet0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.31.1.0/24 -o venet0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o venet0 -j MASQUERADE

PS: 如果VPS有 static IP ,可将上述防火墙规则的最后3条NAT规则替换为以下3条来提升处理效率:

iptables -t nat -A POSTROUTING -s 10.31.0.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.1.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o venet0 -j SNAT --to-source ELASTIC_IP

注意将上述3条规则的ELASTIC_IP替换为vps的静态ip地址.

Xen、KVM则执行:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.31.0.0/24  -j ACCEPT
iptables -A FORWARD -s 10.31.1.0/24  -j ACCEPT
iptables -A FORWARD -s 10.31.2.0/24  -j ACCEPT
iptables -A INPUT -i eth0 -p esp -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 1701 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -s 10.31.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.31.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o eth0 -j MASQUERADE

PS: 如果VPS有 static IP ,可将上述防火墙规则的最后3条NAT规则替换为以下3条来提升处理效率:

iptables -t nat -A POSTROUTING -s 10.31.0.0/24 -o eth0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.1.0/24 -o eth0 -j SNAT --to-source ELASTIC_IP
iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o eth0 -j SNAT --to-source ELASTIC_IP

注意将上述3条规则的ELASTIC_IP替换为vps的静态ip地址.

3,开机自动载入iptables:

Ubuntu:

iptables-save > /etc/iptables.rules
cat > /etc/network/if-up.d/iptables<<EOF
#!/bin/sh
iptables-restore < /etc/iptables.rules
EOF
chmod +x /etc/network/if-up.d/iptables

CentOS:

service iptables save

至此,IPSec/IKEv2 VPN便搭建好了!现在启用服务就可以使用了:

ipsec start

启动及自启动

设置自启动

vim /etc/rc.d/rc.local

添加：

/usr/sbin/ipsec start

启动VPN

/usr/sbin/ipsec start

六、配置Win7客户端连接IPsec IKEV2 VPN

使用win7自带客户端（Agile）：

1,导入证书

开始菜单搜索“cmd”，打开后输入 mmc（Microsoft 管理控制台）;
“文件”-“添加/删除管理单元”，添加“证书”单元;
- 证书单元的弹出窗口中一定要选“计算机账户”，之后选“本地计算机”，确定;
在左边的“控制台根节点”下选择“证书”-“个人”，然后选右边的“更多操作”-“所有任务”-“导入”打开证书导入窗口;

选择刚才生成的 clientCert.p12 文件。下一步输入私钥密码。

下一步“证书存储”选“个人”;
导入成功后，把导入的 CA 证书剪切到“受信任的根证书颁发机构”的证书文件夹里面;

打开剩下的那个私人证书，看一下有没有显示“您有一个与该证书对应的私钥”，以及“证书路径”下面是不是显示“该证书没有问题”;

然后关闭 mmc，提示“将控制台设置存入控制台1吗”，选“否”即可;
至此，证书导入完成。

2,建立连接：

“控制面板”-“网络和共享中心”-“设置新的连接或网络”-“连接到工作区”-“使用我的Internet 连接”;
Internet 地址写服务器地址或域名;
目标名称随便写;
用户名密码写之前配置的 EAP 的那个; （[用户名] %any : EAP “[密码]”）
确定;
点击右下角网络图标，在新建的 VPN 连接上右键属性然后切换到“安全”选项卡;
VPN 类型选 IKEv2;
数据加密是“需要加密”;
身份认证这里需要说一下，如果想要使用 EAP-MSCHAPV2 的话就选择“使用可扩展的身份认证协议”-“Microsoft 安全密码(EAP-MSCHAP v2)”，想要使用私人证书认证的话就选择“使用计算机证书”。

七、其他系统客户端连接IPsec IKEV2 VPN

连接的服务器地址和证书保持一致,即取决于签发证书ca.cert.pem时使用的是ip还是域名;
Android/iOS/OSX 可使用ikeV1,认证方式为用户名+密码+预共享密钥(PSK);
iOS/OSX/Windows7+/WindowsPhone8.1+/Linux 均可使用IkeV2,认证方式为用户名+密码。使用SSL证书则无需导入证书；使用自签名证书则需要先导入证书才能连接,可将ca.cert.pem更改后缀名作为邮件附件发送给客户端,手机端也可通过浏览器导入,其中:

iOS/OSX 的远程ID和服务器地址保持一致,用户鉴定选择”用户名”.如果通过浏览器导入,将证书放在可访问的远程外链上,并在系统浏览器(Safari)中访问外链地址;

Windows PC 系统导入证书需要导入到“本地计算机”的”受信任的根证书颁发机构”,以”当前用户”的导入方式是无效的.推荐运行mmc添加本地计算机的证书管理单元来操作;

WindowsPhone8.1 登录时的用户名需要带上域信息,即wp”关于”页面的设备名称\用户名,也可以使用%any %any : EAP “密码”进行任意用户名登录,但指定了就不能添加其他用户名了.

WindowsPhone10 的vpn还存在bug(截至10586.164),ikeV2方式可连接但系统流量不会走vpn,只能等微软解决. (截至14393.5 ,此bug已经得到修复,现在WP10已经可以正常使用IkeV2.)
Windows10 也存在此bug,部分Win10系统连接后ip不变,没有自动添加路由表,使用以下方法可解决
—– 手动关闭vpn的split tunneling功能(在远程网络上使用默认网关);
—–也可使用powershell修改,进入CMD窗口,运行如下命令:

powershell    #进入ps控制台
get-vpnconnection    #检查vpn连接的设置（包括vpn连接的名称）
set-vpnconnection "vpn连接名称" -splittunneling $false    #关闭split tunneling
get-vpnconnection   #检查修改结果
exit   #退出ps控制台

2018-06-17

Google ipv6 hosts

2a00:1450:4009:801::2009 0343 *.blogger.com
2a00:1450:4009:803::2003 0343 google.com
2a00:1450:4009:809::201b 0344 *.google.com
2a00:1450:4009:807::2016 0347 edgestatic.com
2a00:1450:4009:804::2008 0348 *.google-analytics.com
2a00:1450:4009:801::200a 0349 *.googleapis.com
2a00:1450:4009:802::2002 0349 *.g.doubleclick.net
2a00:1450:4009:805::2019 0350 *.google.com
2a00:1450:4009:806::2011 0350 *.appspot.com
2a00:1450:4009:809::201f 0350 *.google.com
2a00:1450:4009:80c::201b 0350 *.google.com
2a00:1450:4009:800::2017 0350 google.com
2a00:1450:4009:800::201d 0351 *.google.com
2a00:1450:4009:80d::200d 0351 accounts.google.com
2a00:1450:4009:80b::2012 0351 *.unicast.metric.gstatic.com
2a00:1450:4009:80c::2000 0352 *.google.com
2a00:1450:4009:808::200b 0353 m.google.com
2a00:1450:4009:806::201a 0353 *.google.com
2a00:1450:4009:80c::201c 0354 *.google.com
2a00:1450:4009:808::2015 0354 www.google.com
2a00:1450:4009:805::2012 0355 *.unicast.metric.gstatic.com
2a00:1450:4009:805::2001 0357 *.googleusercontent.com
2a00:1450:4009:800::200f 0357 upload.video.google.com
2a00:1450:4009:80c::2018 0358 *.google.com
2a00:1450:4009:804::2011 0359 *.appspot.com
2a00:1450:4009:803::201e 0359 *.google.com
2a00:1450:4009:805::200a 0359 *.googleapis.com
2a00:1450:4009:807::2012 0360 *.unicast.metric.gstatic.com
2a00:1450:4009:80d::2009 0360 *.blogger.com
2a00:1450:4009:804::200d 0360 accounts.google.com
2a00:1450:4009:803::200e 0360 *.google.com
2a00:1450:4009:80d::2004 0361 www.google.com
2a00:1450:4009:80c::201a 0361 *.google.com
2a00:1450:4009:804::2000 0361 *.google.com
2a00:1450:4009:80d::2015 0363 www.google.com
2a00:1450:4009:80d::201e 0363 *.google.com
2a00:1450:4009:808::201e 0363 *.google.com
2a00:1450:4009:801::201e 0363 *.google.com
2a00:1450:4009:80b::2017 0364 google.com
2a00:1450:4009:801::2019 0364 *.google.com
2a00:1450:4009:80b::201b 0365 *.google.com
2a00:1450:4009:800::2004 0365 www.google.com
2a00:1450:4009:809::200d 0365 accounts.google.com
2a00:1450:4009:80c::2008 0366 *.google-analytics.com
2a00:1450:4009:806::2001 0366 *.googleusercontent.com
2a00:1450:4009:806::2016 0366 edgestatic.com
2a00:1450:4009:804::2007 0366 *.mail.google.com
2a00:1450:4009:80a::200e 0366 *.google.com
2a00:1450:4009:808::2008 0366 *.google-analytics.com
2a00:1450:4009:805::200b 0367 m.google.com
2a00:1450:4009:80a::2006 0367 *.doubleclick.net
2a00:1450:4009:807::200e 0368 *.google.com
2a00:1450:4009:80b::2006 0368 *.doubleclick.net
2a00:1450:4009:804::201d 0368 *.google.com
2a00:1450:4009:803::201a 0368 *.google.com
2a00:1450:4009:80a::2017 0369 google.com
2a00:1450:4009:801::2008 0369 *.google-analytics.com
2a00:1450:4009:808::2016 0370 edgestatic.com
2a00:1450:4009:800::2011 0371 *.appspot.com
2a00:1450:4009:80a::2015 0371 www.google.com
2a00:1450:4009:800::2016 0372 edgestatic.com
2a00:1450:4009:80b::2005 0372 mail.google.com
2a00:1450:4009:80a::201f 0372 *.google.com
2a00:1450:4009:805::200f 0372 upload.video.google.com
2a00:1450:4009:80d::2006 0372 *.doubleclick.net
2a00:1450:4009:807::200f 0373 upload.video.google.com
2a00:1450:4009:80c::2003 0374 google.com
2a00:1450:4009:807::200b 0374 m.google.com
2a00:1450:4009:802::200f 0374 upload.video.google.com
2a00:1450:4009:802::200d 0374 accounts.google.com
2a00:1450:4009:80c::2011 0375 *.appspot.com
2a00:1450:4009:805::201e 0375 *.google.com
2a00:1450:4009:802::2005 0375 mail.google.com
2a00:1450:4009:803::2002 0375 *.g.doubleclick.net
2a00:1450:4009:80b::2015 0375 www.google.com
2a00:1450:4009:803::2004 0376 www.google.com
2a00:1450:4009:805::2006 0376 *.doubleclick.net
2a00:1450:4009:800::2003 0376 google.com
2a00:1450:4009:805::2007 0377 *.mail.google.com
2a00:1450:4009:806::200d 0379 accounts.google.com
2a00:1450:4009:808::201b 0379 *.google.com
2a00:1450:4009:807::201f 0379 *.google.com
2a00:1450:4009:800::2005 0379 mail.google.com
2a00:1450:4009:80a::2005 0379 mail.google.com
2a00:1450:4009:807::2002 0379 *.g.doubleclick.net
2a00:1450:4009:800::201c 0380 *.google.com
2a00:1450:4009:805::2003 0380 google.com
2a00:1450:4009:80b::2002 0381 *.g.doubleclick.net
2a00:1450:4009:800::201a 0381 *.google.com
2a00:1450:4009:805::2009 0381 *.blogger.com
2a00:1450:4009:808::2009 0381 *.blogger.com
2a00:1450:4009:80c::2002 0381 *.g.doubleclick.net
2a00:1450:4009:808::2011 0381 *.appspot.com
2a00:1450:4009:804::2006 0381 *.doubleclick.net
2a00:1450:4009:802::2008 0381 *.google-analytics.com
2a00:1450:4009:803::2008 0381 *.google-analytics.com
2a00:1450:4009:805::201d 0382 *.google.com
2a00:1450:4009:800::201e 0382 *.google.com
2a00:1450:4009:802::2016 0382 edgestatic.com
2a00:1450:4009:808::201f 0382 *.google.com
2a00:1450:4009:80a::2002 0382 *.g.doubleclick.net
2a00:1450:4009:806::2007 0383 *.mail.google.com
2a00:1450:4009:803::200f 0383 upload.video.google.com
2a00:1450:4009:801::2006 0383 *.doubleclick.net
2a00:1450:4009:803::2016 0384 edgestatic.com
2a00:1450:4009:80d::2007 0384 *.mail.google.com
2a00:1450:4009:807::2017 0384 google.com
2a00:1450:4009:806::2003 0385 google.com
2a00:1450:4009:801::2003 0385 google.com
2a00:1450:4009:807::2008 0385 *.google-analytics.com
2a00:1450:4009:803::2019 0385 *.google.com
2a00:1450:4009:809::201e 0386 *.google.com
2a00:1450:4009:804::2009 0386 *.blogger.com
2a00:1450:4009:805::2004 0386 www.google.com
2a00:1450:4009:800::2006 0386 *.doubleclick.net
2a00:1450:4009:808::2002 0387 *.g.doubleclick.net
2a00:1450:4009:809::201c 0387 *.google.com
2a00:1450:4009:80a::2012 0387 *.unicast.metric.gstatic.com
2a00:1450:4009:804::2002 0387 *.g.doubleclick.net
2a00:1450:4009:808::200d 0387 accounts.google.com
2a00:1450:4009:806::2002 0388 *.g.doubleclick.net
2a00:1450:4009:809::2011 0388 *.appspot.com
2a00:1450:4009:809::200a 0389 *.googleapis.com
2a00:1450:4009:805::2016 0390 edgestatic.com
2a00:1450:4009:802::2018 0390 *.google.com
2a00:1450:4009:807::201b 0390 *.google.com
2a00:1450:4009:809::2008 0391 *.google-analytics.com
2a00:1450:4009:807::2006 0391 *.doubleclick.net
2a00:1450:4009:80b::200f 0391 upload.video.google.com
2a00:1450:4009:801::200d 0391 accounts.google.com
2a00:1450:4009:803::2000 0391 *.google.com
2a00:1450:4009:802::2006 0391 *.doubleclick.net
2a00:1450:4009:80c::200f 0391 upload.video.google.com
2a00:1450:4009:80a::201d 0391 *.google.com
2a00:1450:4009:80b::2011 0392 *.appspot.com
2a00:1450:4009:80c::2019 0392 *.google.com
2a00:1450:4009:808::2018 0392 *.google.com
2a00:1450:4009:807::2019 0392 *.google.com
2a00:1450:4009:801::201c 0392 *.google.com
2a00:1450:4009:803::2017 0393 google.com
2a00:1450:4009:802::2000 0394 *.google.com
2a00:1450:4009:80a::200b 0394 m.google.com
2a00:1450:4009:803::2012 0394 *.unicast.metric.gstatic.com
2a00:1450:4009:807::200a 0394 *.googleapis.com
2a00:1450:4009:80d::2019 0395 *.google.com
2a00:1450:4009:80a::2008 0395 *.google-analytics.com
2a00:1450:4009:80b::200d 0395 accounts.google.com
2a00:1450:4009:803::2015 0395 www.google.com
2a00:1450:4009:806::200b 0396 m.google.com
2a00:1450:4009:804::2018 0396 *.google.com
2a00:1450:4009:809::2001 0396 *.googleusercontent.com
2a00:1450:4009:80c::2015 0397 www.google.com
2a00:1450:4009:801::2017 0397 google.com
2a00:1450:4009:808::2005 0397 mail.google.com
2a00:1450:4009:80b::2003 0397 google.com
2a00:1450:4009:807::2015 0397 www.google.com
2a00:1450:4009:801::201b 0397 *.google.com
2a00:1450:4009:804::201e 0397 *.google.com
2a00:1450:4009:805::2011 0398 *.appspot.com
2a00:1450:4009:807::2005 0398 mail.google.com
2a00:1450:4009:801::201f 0398 *.google.com
2a00:1450:4009:808::2019 0398 *.google.com
2a00:1450:4009:80a::2018 0398 *.google.com
2a00:1450:4009:802::2019 0398 *.google.com
2a00:1450:4009:805::200e 0398 *.google.com
2a00:1450:4009:805::201c 0398 *.google.com
2a00:1450:4009:801::200b 0399 m.google.com
2a00:1450:4009:80d::2002 0399 *.g.doubleclick.net
2a00:1450:4009:806::2005 0399 mail.google.com
2a00:1450:4009:802::2011 0400 *.appspot.com
2a00:1450:4009:807::201c 0400 *.google.com
2a00:1450:4009:801::2000 0401 *.google.com
2a00:1450:4009:801::2007 0401 *.mail.google.com
2a00:1450:4009:804::2001 0403 *.googleusercontent.com
2a00:1450:4009:80a::2001 0403 *.googleusercontent.com
2a00:1450:4009:80d::200f 0403 upload.video.google.com
2a00:1450:4009:806::2012 0404 *.unicast.metric.gstatic.com
2a00:1450:4009:80c::2004 0404 www.google.com
2a00:1450:4009:80d::200a 0404 *.googleapis.com
2a00:1450:4009:80a::2011 0404 *.appspot.com
2a00:1450:4009:805::2018 0404 *.google.com
2a00:1450:4009:805::2017 0405 google.com
2a00:1450:4009:80c::2007 0405 *.mail.google.com
2a00:1450:4009:805::2000 0405 *.google.com
2a00:1450:4009:808::201a 0405 *.google.com
2a00:1450:4009:807::2018 0405 *.google.com
2a00:1450:4009:806::2008 0406 *.google-analytics.com
2a00:1450:4009:802::2015 0406 www.google.com
2a00:1450:4009:807::200d 0406 accounts.google.com
2a00:1450:4009:806::2004 0406 www.google.com
2a00:1450:4009:803::2005 0406 mail.google.com
2a00:1450:4009:80c::201d 0406 *.google.com
2a00:1450:4009:803::200a 0406 *.googleapis.com
2a00:1450:4009:804::2016 0407 edgestatic.com
2a00:1450:4009:806::2018 0407 *.google.com
2a00:1450:4009:808::2007 0407 *.mail.google.com
2a00:1450:4009:803::2006 0407 *.doubleclick.net
2a00:1450:4009:802::201c 0407 *.google.com
2a00:1450:4009:80a::2019 0408 *.google.com
2a00:1450:4009:805::2002 0408 *.g.doubleclick.net
2a00:1450:4009:801::200e 0408 *.google.com
2a00:1450:4009:809::201a 0409 *.google.com
2a00:1450:4009:802::201e 0409 *.google.com
2a00:1450:4009:80b::2007 0409 *.mail.google.com
2a00:1450:4009:806::2015 0409 www.google.com
2a00:1450:4009:804::2005 0409 mail.google.com
2a00:1450:4009:80b::2009 0410 *.blogger.com
2a00:1450:4009:800::2002 0410 *.g.doubleclick.net
2a00:1450:4009:807::2011 0411 *.appspot.com
2a00:1450:4009:809::201d 0411 *.google.com
2a00:1450:4009:806::201e 0411 *.google.com
2a00:1450:4009:80a::2016 0411 edgestatic.com
2a00:1450:4009:80b::201c 0411 *.google.com
2a00:1450:4009:80d::2005 0412 mail.google.com
2a00:1450:4009:809::2012 0413 *.unicast.metric.gstatic.com
2a00:1450:4009:804::201c 0413 *.google.com
2a00:1450:4009:806::2000 0413 *.google.com
2a00:1450:4009:80a::2009 0413 *.blogger.com
2a00:1450:4009:808::2003 0414 google.com
2a00:1450:4009:80b::2004 0414 www.google.com
2a00:1450:4009:807::2000 0414 *.google.com
2a00:1450:4009:80c::200d 0414 accounts.google.com
2a00:1450:4009:80a::200f 0415 upload.video.google.com
2a00:1450:4009:804::201a 0415 *.google.com
2a00:1450:4009:807::2004 0415 www.google.com
2a00:1450:4009:801::2001 0416 *.googleusercontent.com
2a00:1450:4009:802::200e 0416 *.google.com
2a00:1450:4009:80c::201f 0416 *.google.com
2a00:1450:4009:80c::2005 0416 mail.google.com
2a00:1450:4009:80b::201d 0416 *.google.com
2a00:1450:4009:80b::201f 0417 *.google.com
2a00:1450:4009:807::2003 0417 google.com
2a00:1450:4009:800::2008 0418 *.google-analytics.com
2a00:1450:4009:80c::2001 0420 *.googleusercontent.com
2a00:1450:4009:805::201b 0421 *.google.com
2a00:1450:4009:80c::200e 0421 *.google.com
2a00:1450:4009:800::201b 0422 *.google.com
2a00:1450:4009:809::2004 0425 www.google.com
2a00:1450:4009:808::201c 0427 *.google.com
2a00:1450:4009:80a::201c 0427 *.google.com
2a00:1450:4009:800::2018 0430 *.google.com
2a00:1450:4009:800::2009 0432 *.blogger.com
2a00:1450:4009:80d::2012 0432 *.unicast.metric.gstatic.com
2a00:1450:4009:806::201b 0435 *.google.com
2a00:1450:4009:802::201a 0438 *.google.com
2a00:1450:4009:80a::2004 0439 www.google.com
2a00:1450:4009:80b::2001 0448 *.googleusercontent.com
2a00:1450:4009:80a::200a 0453 *.googleapis.com
2a00:1450:4009:805::2008 0454 *.google-analytics.com
2a00:1450:4009:806::2017 0457 google.com
2a00:1450:4009:806::200a 0458 *.googleapis.com
2a00:1450:4009:807::201a 0458 *.google.com
2a00:1450:4009:806::2006 0459 *.doubleclick.net
2a00:1450:4009:80a::2007 0461 *.mail.google.com
2a00:1450:4009:800::2015 0462 www.google.com
2a00:1450:4009:809::2016 0463 edgestatic.com
2a00:1450:4009:80b::200e 0464 *.google.com
2a00:1450:4009:804::200f 0465 upload.video.google.com
2a00:1450:4009:80d::2011 0466 *.appspot.com
2a00:1450:4009:804::2019 0467 *.google.com
2a00:1450:4009:805::201a 0467 *.google.com
2a00:1450:4009:80d::201f 0467 *.google.com
2a00:1450:4009:804::2017 0468 google.com
2a00:1450:4009:801::2002 0469 *.g.doubleclick.net
2a00:1450:4009:80a::2003 0469 google.com
2a00:1450:4009:806::200e 0470 *.google.com
2a00:1450:4009:809::2017 0471 google.com
2a00:1450:4009:80d::2016 0472 edgestatic.com
2a00:1450:4009:803::2009 0472 *.blogger.com
2a00:1450:4009:809::2005 0474 mail.google.com
2a00:1450:4009:800::200e 0474 *.google.com
2a00:1450:4009:80c::2009 0474 *.blogger.com
2a00:1450:4009:805::2015 0475 www.google.com
2a00:1450:4009:80d::2008 0475 *.google-analytics.com
2a00:1450:4009:801::2015 0475 www.google.com
2a00:1450:4009:80a::201a 0476 *.google.com
2a00:1450:4009:809::200f 0477 upload.video.google.com
2a00:1450:4009:807::2009 0477 *.blogger.com
2a00:1450:4009:803::2007 0477 *.mail.google.com
2a00:1450:4009:802::2017 0478 google.com
2a00:1450:4009:802::2012 0481 *.unicast.metric.gstatic.com
2a00:1450:4009:802::2007 0482 *.mail.google.com
2a00:1450:4009:80b::2000 0483 *.google.com
2a00:1450:4009:809::2003 0483 google.com
2a00:1450:4009:803::200b 0483 m.google.com
2a00:1450:4009:808::200e 0484 *.google.com
2a00:1450:4009:808::200a 0485 *.googleapis.com
2a00:1450:4009:80a::2000 0486 *.google.com
2a00:1450:4009:804::2004 0486 www.google.com
2a00:1450:4009:807::2001 0487 *.googleusercontent.com
2a00:1450:4009:80c::200b 0487 m.google.com
2a00:1450:4009:808::2006 0488 *.doubleclick.net
2a00:1450:4009:801::2005 0489 mail.google.com
2a00:1450:4009:800::200b 0489 m.google.com
2a00:1450:4009:809::2009 0489 *.blogger.com
2a00:1450:4009:803::2001 0489 *.googleusercontent.com
2a00:1450:4009:802::2003 0491 google.com
2a00:1450:4009:805::200d 0492 accounts.google.com
2a00:1450:4009:80d::201a 0492 *.google.com
2a00:1450:4009:802::2004 0493 www.google.com
2a00:1450:4009:80b::201e 0493 *.google.com
2a00:1450:4009:803::201d 0493 *.google.com
2a00:1450:4009:804::2012 0493 *.unicast.metric.gstatic.com
2a00:1450:4009:801::200f 0494 upload.video.google.com
2a00:1450:4009:803::201b 0494 *.google.com
2a00:1450:4009:806::201f 0494 *.google.com
2a00:1450:4009:800::2007 0495 *.mail.google.com
2a00:1450:4009:804::200a 0495 *.googleapis.com
2a00:1450:4009:806::200f 0496 upload.video.google.com
2a00:1450:4009:802::200a 0496 *.googleapis.com
2a00:1450:4009:807::201d 0496 *.google.com
2a00:1450:4009:804::2003 0497 google.com
2a00:1450:4009:802::201b 0497 *.google.com
2a00:1450:4009:801::2012 0499 *.unicast.metric.gstatic.com
2a00:1450:4009:803::201c 0500 *.google.com
2a00:1450:4009:803::201f 0500 *.google.com
2a00:1450:4009:80d::201b 0500 *.google.com
2a00:1450:4009:80d::2000 0501 *.google.com
2a00:1450:4009:806::2019 0502 *.google.com
2a00:1450:4009:80d::201d 0502 *.google.com
2a00:1450:4009:80d::2017 0502 google.com
2a00:1450:4009:80b::2008 0503 *.google-analytics.com
2a00:1450:4009:800::201f 0503 *.google.com
2a00:1450:4009:804::201b 0503 *.google.com
2a00:1450:4009:808::2000 0503 *.google.com
2a00:1450:4009:80d::2001 0504 *.googleusercontent.com
2a00:1450:4009:806::201c 0504 *.google.com
2a00:1450:4009:809::2018 0504 *.google.com
2a00:1450:4009:807::201e 0505 *.google.com
2a00:1450:4009:801::201d 0505 *.google.com
2a00:1450:4009:802::2009 0505 *.blogger.com
2a00:1450:4009:806::201d 0507 *.google.com
2a00:1450:4009:80c::2016 0507 edgestatic.com
2a00:1450:4009:809::2007 0509 *.mail.google.com
2a00:1450:4009:800::2012 0509 *.unicast.metric.gstatic.com
2a00:1450:4009:801::201a 0510 *.google.com
2a00:1450:4009:80b::2018 0510 *.google.com
2a00:1450:4009:80a::201e 0510 *.google.com
2a00:1450:4009:806::2009 0511 *.blogger.com
2a00:1450:4009:802::200b 0512 m.google.com
2a00:1450:4009:804::201f 0513 *.google.com
2a00:1450:4009:809::2000 0515 *.google.com
2a00:1450:4009:80d::2018 0517 *.google.com
2a00:1450:4009:809::200e 0518 *.google.com
2a00:1450:4009:809::2002 0520 *.g.doubleclick.net
2a00:1450:4009:808::200f 0529 upload.video.google.com
2a00:1450:4009:80c::2012 0529 *.unicast.metric.gstatic.com
2a00:1450:4009:809::2019 0533 *.google.com
2a00:1450:4009:80c::200a 0535 *.googleapis.com
2a00:1450:4009:805::2005 0544 mail.google.com
2a00:1450:4009:80d::2003 0546 google.com
2a00:1450:4009:802::201f 0565 *.google.com
2a00:1450:4009:80b::200b 0565 m.google.com
2a00:1450:4009:80d::200e 0565 *.google.com
2a00:1450:4009:808::2004 0567 www.google.com
2a00:1450:4009:803::200d 0568 accounts.google.com
2a00:1450:4009:809::2015 0571 www.google.com
2a00:1450:4009:800::200a 0576 *.googleapis.com
2a00:1450:4009:800::200d 0580 accounts.google.com
2a00:1450:4009:805::201f 0580 *.google.com
2a00:1450:4009:80b::201a 0584 *.google.com
2a00:1450:4009:800::2001 0585 *.googleusercontent.com
2a00:1450:4009:801::2016 0585 edgestatic.com
2a00:1450:4009:80b::200a 0586 *.googleapis.com
2a00:1450:4009:80d::200b 0589 m.google.com
2a00:1450:4009:802::2001 0594 *.googleusercontent.com
2a00:1450:4009:80b::2019 0597 *.google.com
2a00:1450:4009:808::2012 0597 *.unicast.metric.gstatic.com
2a00:1450:4009:801::2018 0598 *.google.com
2a00:1450:4009:803::2018 0601 *.google.com
2a00:1450:4009:80c::2006 0605 *.doubleclick.net
2a00:1450:4009:808::2017 0609 google.com
2a00:1450:4009:80a::200d 0654 accounts.google.com
2a00:1450:4009:809::2006 0693 *.doubleclick.net
2a00:1450:4009:803::2011 0693 *.appspot.com
2a00:1450:4009:809::200b 0697 m.google.com

2018-05-122018-05-12

科学上网技巧

来源：https://g2ex.github.io/2016/05/20/Tips-on-Chinternet/

尽管也称互联网，但在国内，如若有以下一个或多个需求，你就不得不学习一下科学上网了：

访问的网站或服务被（GFW）墙；
网络提供商（ISP）劫持了网络流量；
需要匿名（隐藏真实 IP）的情况，如渗透测试；
躲避网络监控；
其他情况。

这里分享一下我的科学上网技巧，使用到的工具软件可能有 Shadowsocks、Lantern、Privoxy、Tor。根据不同的目的选择不同的工具。

一、绕过 GFW 和 ISP 劫持

最简单和不折腾的方法是购买 VPN，次之是购买一台海外 VPS，自己安装 VPN 或 Shadowsocks 服务端。VPN 的优点是可以全局翻墙，Shadowsocks 虽然可以设置全局模式，但是对于不支持代理的本地应用是没有办法的，当然这种情况下可以试试 ProxifierPE 强制所有连接通过代理上网。

使用 Shadowsocks 可能遇到的另一个问题是，因为 Shadowsocks 使用的是 SOCKS5 类型的代理，当本地应用只支持 HTTP/HTTPS 类型代理时，就需要自己解决 HTTP 转换为 SOCKS5 的问题。当然，这个问题使用 Privoxy 就能很好地解决。

本节主要介绍如何组合使用 Shadowsocks 和 Privoxy，并假设你已经安装并配置好了 Shadowsocks（Linux 中可以安装 shadowsocks-qt5 或命令行版本的 Shadowsocks）。

Shadowsocks 与 Privoxy 组合使用的示意图如下所示：

Shadowsocks Privoxy 组合使用示意图

假设你已经配置好了 Shadowsocks，接下来配置 Privoxy。
Windows 系统中右键点击 Privoxy 托盘图标，依次点击 Edit – Main Configuration 打开配置文件；Linux 系统中 Privoxy 的配置文件位于/etc/privoxy/config。
配置文件修改为：

# 把 HTTP 流量转发到本机 127.0.0.1:1080 的 Shadowsocks
forward-socks5 / 127.0.0.1:1080 .

# 可选，默认只监听本地连接 127.0.0.1:8118
# 可以允许局域网中的连接
listen-address 0.0.0.0:8118

启动 Shadowsocks 和 Privoxy 后，把本地应用的代理设置为 HTTP/HTTPS 类型的 127.0.0.1:8118，就可以绕过 GFW 和 ISP 了。如果局域网中的其他 PC 或手机也希望使用该电脑上网（假设该电脑 IP 地址为 192.168.1.10），把它们的代理设置为 19.168.1.10:8118 即可。

Tips

目前，有一个讨巧的的办法替代这两者的组合：使用 Lantern —— 一款开源的安全上网工具。它使用的是 HTTP 类型代理，本地端口为 8787，也就是说，把本地应用的代理设置为 127.0.0.1:8787 就可以使用 HTTP 类型的代理了。而且使用它，也无需自己购买 VPS。

Lantern 默认非全局代理，可以在设置中改为全局模式。

另一方面，Lantern 只监听本机 127.0.0.1:8787 的连接，如果局域网中的电脑或手机也想通过这台电脑翻墙（假设该电脑 IP 地址为 192.168.1.10），那么也需要配合 Privoxy 使用。这时，Privoxy 的配置应该如下：

1
2
3

# 监听局域网中连接到本地 8118 端口的连接，转发给 8787 端口的 Lantern
forward / 127.0.0.1:8787
listen-address 127.0.0.1:8118    # 可改为 0.0.0.0:8118 允许局域网的连接

二、匿名上网

网络中保持匿名的办法是使用 Tor，匿名的意思是隐藏你当前的 IP 地址。Internet 上有很多志愿者运行着 Tor 中继节点，Tor 能保证从出发点的流量至少经过三个不同的中继节点到达目的地址，而且这三个不同的中继不会每次都相同。

形象地说，你想把一封匿名信交给小明，在大街上随便找了一陌生人 A 让 A 帮忙转交，A 走了一段路程后随便找了一个陌生人 B 让 B 帮忙转交，B 走了一段路程后随便找了一个陌生人 C 让 C 帮忙转交，最终 C 按照信封上的地址找到了小明并把信交给了他。小明只知道是 C 转交了这封信，至于是谁写的这封信，他就无从得知了。A、B、C 分别对应着 Tor 网络的中继节点，这种投递匿名信的方式就起到了隐藏 IP 地址的效果。

如下图所示，使用 Tor 从本机经过三跳访问了 Google。

Tor Browser

Tor 浏览器

为了方便使用 Tor，Tor 开发者把 Tor 集成到了定制版的 Firefox 中，简单设置一下就能正常使用。

Tor 浏览器专为大陆等网络环境加入了流量混淆的选项。首次打开浏览器时会弹出 Tor 状态检查，点击设置配置 Tor 网桥，勾选互联网提供商（ISP）是否对 Tor 网络连接进行了封锁或审查中的是，把下一步中的网桥类型选择meek-amazon或meek-azure。这两者在大陆没被完全封锁，因此可以用来做跳板网桥。

不过随着网络环境的恶化，Tor 提供的网桥类型都不可用时，就需要使用自己的 Shadowsocks 或 Lantern 代理了。

首次打开 Tor 浏览器，在 Tor 设置中勾选互联网提供商（ISP）是否对 Tor 网络连接进行了封锁或审查中的否，在下一步是否需要本地代理访问互联网？中选择是，下一步中设置你的代理：

使用 Shadowsocks 则设置为 SOCKS5 类型的 127.0.0.1:1080；
使用 Lantern 则设置为 HTTP/HTTPS 类型的 127.0.0.1:8787；

如果通过局域网中其他计算机的配置联网，把 127.0.0.1 改为那台计算机的 IP 地址。

使用了代理的 Tor 浏览器原理示意图如下（以 Tor + Shadowsocks 组合为例）：

Tor 浏览器 + Shadowsocks 组合使用示意图

Tor Expert Bundle

Tor 浏览器适用于使用浏览器匿名上网的场景，如果打算让本地应用（如其他浏览器、Linux 中的 Terminal 等）也使用 Tor 隐藏 IP 地址，那么就需要自己手动配置 Tor 了。从 Tor 官网下载操作系统对应的 Expert Bundle，它只包含 Tor 工具，不含浏览器。

假设你已经配置好了 Shadowsocks，接下来，为 Tor 配置 Shadowsocks 代理。

Windows 系统中，打开 %AppData%/tor 目录（如果不存在则创建该目录），新建 torrc 文件，内容如下：

## 通过 SOCKS5 代理
SOCKS5Proxy 127.0.0.1:1080
## 如果使用 HTTP/HTTPS 代理
# HTTPSProxy 127.0.0.1:8118

## 如果只允许特定端口的网络连接，如 80 和 443
ReachableAddresses *:80,*:443
ReachableAddresses reject *:*

Linux 系统中，Tor 的配置文件位于 /etc/tor/torrc，配置内容同上。

启动 Shadowsocks 和 Tor，因为 Tor 监听的是 SOCKS5 类型的本地 9050 端口，把需要匿名的本地应用代理设置为 SOCKS5 类型，代理地址设置为 127.0.0.1:9050，实现匿名上网。

还是老问题，如果本地应用只支持 HTTP/HTTPS 代理类型，那么仍需要使用 Privoxy，修改其配置文件为：

1 2	forward-socks5 / 127.0.0.1:9050 . listen-address 127.0.0.1:8118 # 可改为 0.0.0.0:8118 允许局域网的连接

这样一来，本地应用的代理设置为 HTTP/HTTPS 类型的 127.0.0.1:8118 就可以实现匿名上网了。

Privoxy + Tor + Shadowsocks 组合使用示意图如下所示：

Privoxy + Tor + Shadowsocks 组合使用示意图

One More Tip

使用 Tor 匿名访问网络除了应用于渗透测试，另一个应用场景是编写爬虫变换 IP 地址爬取站点，减小被网站屏蔽的可能性。

在 Linux Terminal 中，使用 export 命令设置代理，可以只在当前 Terminal 中生效，

1 2	export http_proxy=http://127.0.0.1:8118 export https_proxy=https://127.0.0.1:8118

三、总结

接下来简要归纳上述内容，给出每种组合的配置内容。

Privoxy + Shadowsocks 组合 —— 翻墙

配置 Privoxy，Linux 系统中位于 /etc/privoxy/config：

1 2	forward-socks5 / 127.0.0.1:1080 . listen-address 127.0.0.1:8118 # 可改为 0.0.0.0:8118 允许局域网的连接

本地代理需设置为 HTTP/HTTPS 类型的 127.0.0.1:8118。
如果不使用 Privoxy，本地代理需设置为 SOCKS5 类型的 127.0.0.1:1080。

Privoxy + Tor + Shadowsocks 组合 —— 匿名上网

配置 Privoxy，Linux 系统中位于 /etc/privoxy/config：

1 2	forward-socks5 / 127.0.0.1:9050 . listen-address 127.0.0.1:8118 # 可改为 0.0.0.0:8118 允许局域网的连接

配置 Tor，Windows 系统中位于 %AppData%/tor/torrc，Linux 系统中位于 /etc/tor/torrc：

1
2
3

SOCKS5Proxy 127.0.0.1:1080    # Shadowsocks 代理地址
ReachableAddresses *:80,*:443
ReachableAddresses reject *:*

本地代理需设置为 HTTP/HTTPS 类型的 127.0.0.1:8118。
如果不使用 Privoxy，本地代理需设置为 SOCKS5 类型的 127.0.0.1:9050。

Privoxy + Tor + Lantern 组合 —— 匿名上网

配置 Privoxy，Linux 系统中位于 /etc/privoxy/config：

1 2	forward-socks5 / 127.0.0.1:9050 . listen-address 127.0.0.1:8118 # 可改为 0.0.0.0:8118 允许局域网的连接

配置 Tor，Windows 系统中位于 %AppData%/tor/torrc，Linux 系统中位于 /etc/tor/torrc：

1
2
3

HTTPSProxy 127.0.0.1:8787    # Lantern 代理地址
ReachableAddresses *:80,*:443
ReachableAddresses reject *:*

本地代理需设置为 HTTP/HTTPS 类型的 127.0.0.1:8118。
如果不使用 Privoxy，本地代理需设置为 SOCKS5 类型的 127.0.0.1:9050。

tip：Could not bind to 127.0.0.1:9050: Address already in use. Is Tor already running

netstat will tell you what’s listening on that port. Open a terminal (press Ctrl+Alt+T), and run:

sudo netstat -plnt | fgrep 9050

It will tell you which program is using that port. For example, on my system, it shows:

tcp       0     0 127.0.0.1:9050         0.0.0.0:*              LISTEN     1198/tor

At the end, it says that the program listening on that port is tor.

2017-04-22

ubuntu linux 通过NetworkManager使用Ikev2 VPN

a. 安装strongswan
安装开发包，
apt-get install libssl-dev network-manager-dev libnm-util-dev libnm-glib-dev libgnomeui-dev gnome-common
如果安装过程中提示缺包就自己安装。
安装

# get the strongSwan tarball
wget http://download.strongswan.org/strongswan-5.x.x.tar.bz2
tar xjf strongswan-5.x.x.tar.bz2
cd strongswan-5.x.x

# build charon with OpenSSL/NM Plugin
./configure –sysconfdir=/etc –prefix=/usr –libexecdir=/usr/lib \
–disable-aes –disable-des –disable-md5 –disable-sha1 –disable-sha2 \
–disable-fips-prf –disable-gmp –enable-openssl –enable-nm –enable-agent \
–enable-eap-gtc –enable-eap-md5 –enable-eap-mschapv2 –enable-eap-identity –enable-charon –enable-cmd

make
make install

# get the NetworkManager strongsSwan plugin as a tarball
wget http://download.strongswan.org/N … gswan-1.x.x.tar.bz2
tar xjf NetworkManager-strongswan-1.x.x.tar.bz2
cd NetworkManager-strongswan-1.x.x

# build the NetworkManager strongsSwan plugin
./configure –sysconfdir=/etc –prefix=/usr –libexecdir=/usr/lib/NetworkManager –with-charon=/usr/lib/ipsec/charon-nm
make
make install

2017-02-19

hosts

https://github.com/racaljk/hosts/blob/master/hosts

目前可用v4 ip

61.91.161.217

2017-01-152017-01-15

使用php反向代理使用Blogspot

虽然Google的Blogspot在国内无法访问，但Blogspot依旧是国际上最大的BSP之一，其稳定性非常不错，支持域名绑定，并且完全免费，今天我就介绍一种方法，可以让中国的博客用户可以无障碍使用Google Blogger的独立域名，这个方法也可支持所有Google绑定域名的服务，例如Google App Engine、Google Sites等。

本文采用的方法是在国外虚拟主机上，使用php编写代码实现反向代理。（首先确保这部虚拟主机能访问Google，不过我想非天朝的虚拟主机应该都可以访问了，所以只要保证这台主机是海外虚拟主机就行了，本人测试使用的是godaddy的主机）

本文的例子是用blogger.hdq.me作为示范。

下面先就介绍一下详细步骤

1、在Google Blogger上设域名绑定，例如本人用的是二级域名deckenho.blogspot.com，当然你也可以绑定顶级域名。

2、修改域名的解析地址，将其解析到自己的虚拟主机上。

3、在虚拟主机上使用php配置一个网站，对Google目标网站进行反向代理。

下载php-dynamic-mirror，PHP的反向代理程序是基于php-dynamic-mirror这个项目的，这个项目就两个文件，非常简单，适合做网站的完全镜像，不过需要进行一些修改，原来的项目是直接反向代理目标网站，由于我们已经修改了Blogger的域名解析，因此需要将该php代码修改一行，将第一行$mirror = “the.site-you-want-to-mirror.com”;改成$mirror = “deckenho.blogspot.com”;即可。（红色部分为你刚才设置的Google Blogger二级域名，而不是你自己的域名）。改成之后就把它上传到主机里面吧。

4、搞完这些之后，你就可以试一下访问自己设置的域名（例如本例的blogger.hdq.me）。如果成功的话，网上的用户就可以使用自己的域名Google Blogger上的网站了，这时候，用户网站解析的IP并不是Google Blogger的IP，而是用户虚拟主机的IP地址，但是调用的程序却是Google Blogger的。
至于用户如何发布信息，由于目前Google Blogger支持https了，那么用户只要修改一下自己本地的hosts文件，将www.blogger.com的ip地址指向一个可用的ip，即可通过https的方式登录Blogger并发布信息。
这个方法不仅仅可以支持Google Blogspot，还可支持所有Google绑定域名的服务，例如Google App Engine、Google Sites等，应用范围广泛，彻底解决了中国网站管理员使用Google建站服务的可用性问题。

不知道这篇文章不知道会不会被ＣＳＤＮ删掉呢，上次发了一篇破解的文章被删掉了。

2016-12-172016-12-18

在终端下间接使用Socks5代理的几种方法(privoxy,tsocks,proxychains)

Use socks5 proxy for pip install Issue pip install doesn’t provide the native socks5 proxy support. Solution Use a tool named proxychains which chains the connection through proxy. On Fedora, install via sudo dnf install proxy chains. To change the default socks5 proxy, modify /etc/proxychains.conf, under [ProxyList] add one line: socks5 127.0.0.1 1080 How to use: proxychains pip install requests Done! Happy pip with socks5 proxy. 不知道为什么今天PPA又只能使用代理访问了。好像终端不支持Socks5代理没办法。咱转换吧。（以下方法合用几乎可以使linux下面大多数软件实现代理通信，即使软件本身不支持）

1.使用tsocks转接

1 2	sudo apt–get install privoxy vim /etc/tsocks.conf

简单介绍下配置方法

local = 192.168.0.0/255.255.255.0

local = 10.0.0.0/255.0.0.0

local = 127.0.0.1/255.255.255.255

#本地子网不使用代理

#这里的本地子网不一定是局域网，凡是本机可以直接连接的IP都属于local的范围。

#放大了讲，国内的IP基本上对tsocks来说都是一个“本地子网”（伟大的局域网）

path {

reaches = 150.0.0.0/255.255.0.0

reaches = 150.1.0.0:80/255.255.0.0

server = 10.1.7.25

server_type = 5

default_user = delius

default_pass = hello

}

#例外网站。这里列出来的网站不通过默认服务器走，而是通过特定的服务器走。server_type规定了这是一个socks5代理服务器

# 默认服务器（不是本地子网的，也不是例外网站）

server = 192.168.0.1

# Server type defaults to 4 so we need to specify it as 5 for this one

server_type = 5

# The port defaults to 1080 but I’ve stated it here for clarity

#默认端口1080

server_port = 1080

我们可以这样测试一下

tsocks wget https://www.dropbox.com –v –O /dev/null

—2011–01–09 21:28:52— https://www.dropbox.com/

正在解析主机 www.dropbox.com... 208.43.202.50

Connecting to www.dropbox.com|208.43.202.50|:443… 已连接。

已发出 HTTP 请求，正在等待回应... 200 OK

长度：未指定 [text/html]

Saving to: `/dev/null‘

#略…………

#直接wget，就会撞墙

wget https://www.dropbox.com –v –O /dev/null

—2011–01–09 21:29:15— https://www.dropbox.com/

正在解析主机 www.dropbox.com... 208.43.202.50

Connecting to www.dropbox.com|208.43.202.50|:443…

#查看代理IP

tsocks wget http://202.12.29.205/templates/yourip.html –o /dev/null –O /tmp/yourip.html && cat /tmp/yourip.html |grep ‘\[‘

#略……

效果那是立竿见影啊！遗憾的是似乎已经停止开发了，而且ssh和ftp不工作，其官方网站你推荐了另外一个替代品,Dante，这个配置有点复杂，后面我会给出一个更好的替代品。

2.使用privoxy转换Socks5->HTTP代理

1 2	sudo apt–get install privoxy vim /etc/privoxy/config

在最后一行加入

forward–socks4 / 127.0.0.1:1080 . # socks v4

forward–socks4a / 127.0.0.1:1080 . # socks v4, use remote dns

forward–socks5 / 127.0.0.1:1080 . # socks v5

注意后面有个点 1080是本机的Socks代理端口然后用service把privoxy给restart一下即可默认监听的端口是本机的8118 如果要监听所有端口或者更换所有端口把

1	listen–address 127.0.0.1:8118

改为

1	listen–address :8118

即可这个虽然有点杀鸡用牛刀的意思，而且privoxy的鉴权不好实现。但是还是个好方法。

3.使用proxychains完美替代

1 2	apt–get install proxychains vim /etc/proxychains.conf

配置非常简单，软件有3种代理模式

# Dynamic – Each connection will be done via chained proxies # all proxies chained in the order as they appear in the list # at least one proxy must be online to play in chain # (dead proxies are skipped) # otherwise EINTR is returned to the app 动态模式按照列表内指定的代理的顺序执行代理操作，遇到不可用代理时会自动切换至少需要一个可用代理 # Strict – Each connection will be done via chained proxies # all proxies chained in the order as they appear in the list # all proxies must be online to play in chain # otherwise EINTR is returned to the app 严格模式代理顺序严格按照列表顺序来，列表内代理必须全部处于可用状态 # Random – Each connection will be done via random proxy # (or proxy chain, see chain_len) from the list # this option is good for scans 随机模式随机选择代理代理列表里面的代理，代理个数由chain_len决定（如果你的代理个数少于chain_len个数，会报错）

[ProxyList]配置节指定了代理列表。支持socks4/5 http等还支持带认证的代理比如

type host port [user pass] socks5 192.168.67.78 1080 lamer secret

贴一下我的配置文件

#cat /etc/proxychains.conf |grep -v “#” |sed /^$/d

dynamic_chain

chain_len = 1

tcp_read_time_out 15000

tcp_connect_time_out 10000

[ProxyList]

socks5 127.0.0.1 1080

socks4 127.0.0.1 1080

使用方法和tsocks是一样的，比如

1	proxychains wget https://www.dropbox.com –v –O /dev/null

遗憾的是，以上几款都不支持基于用户名和密码的鉴权! 本机用用可以，想要小圈子内共享是个大问题！

更加专业工具

如果你有一VPN线路出国，想要和朋友共享这条加密隧道，但是又不方便把VPN共享，或者不想使用chnroutes这样和autoproxy相比不精确的方法，怎么办呢，下次我撰文写如何把VPN隧道转换成代理。请关注。

Author Info :

From:在终端下间接使用Socks5代理的几种方法(privoxy,tsocks,proxychains)
URL:http://blog.ihipop.info/2011/01/1988.html
Please Reserve This Link,Thanks!

2016-12-162017-04-17

ssh 代理详细解释

原文:http://www.cnblogs.com/wangkangluo1/archive/2011/06/29/2093727.html

ssh -qTfnN -D 7070 [email protected]

ssh -CfNg -R 1521:127.0.0.1:80 [email protected]

参考地址：

http://hi.baidu.com/edeed/item/e393cf34a76eb8f3e7bb7ab8

http://hi.baidu.com/step_1/blog/item/271f831bfbc198f1ae5133b7.html

http://hi.baidu.com/deyu260/blog/item/3be433093e5779a12eddd418.html

http://hi.baidu.com/laowuuser/blog/item/317647c7992a65de38db4946.html

参考文档：

复制代码
SSH: Port Forwarding
1.正向隧道-隧道监听本地port,为普通活动提供安全连接
ssh -qTfnN -L port:host:hostport -l user remote_ip
2.反向隧道—-隧道监听远程port，突破防火墙提供服务
ssh -qTfnN -R port:host:hostport -l user remote_ip
3.socks代理
SSH -qTfnN -D port remotehost（用证书验证就直接主机名，没用的还要加上用户名密码）
-q Quiet mode. 安静模式，忽略一切对话和错误提示。
-T Disable pseudo-tty allocation. 不占用 shell 了。
-f Requests ssh to go to background just before command execution. 后台运行，并推荐加上 -n 参数。
-n Redirects stdin from /dev/null (actually, prevents reading from stdin). -f 推荐的，不加这条参数应该也行。
-N Do not execute a remote command. 不执行远程命令，专为端口转发度身打造。
复制代码
2.

复制代码
ssh实现转发, 只要用到以下两条命令:

# ssh -CfNg -L 6300:127.0.0.1:1521 [email protected]
# ssh -CfNg -R 1521:127.0.0.1:6300 [email protected]

不论是做跳板, 还是加密隧道, 还是加密其他的网络连接也都是这两条命令. 视具体情况而定, 有时只要用到其中一条, 有时两条都要用到.

命令解释:

1) -CfNg

C表示压缩数据传输
f表示后台用户验证,这个选项很有用,没有shell的不可登陆账号也能使用.
N表示不执行脚本或命令
g表示允许远程主机连接转发端口

2) -L 本地转发

# ssh -CfNg -L 6300:127.0.0.1:1521 [email protected]

本机(运行这条命令的主机)打开6300端口, 通过加密隧道映射到远程主机172.16.1.164的1521端口(使用远程主机oracle用户). 在本机上用netstat -an|grep 6300可看到. 简单说,本机的6300端口就是远程主机172.16.1.164的1521端口.

3) -R 远程转发

# ssh -CfNg -R 1521:127.0.0.1:6300 [email protected]

作用同上, 只是在远程主机172.16.1.164上打开1521端口, 来映射本机的6300端口.

4) 实用例子

有A,B,C 3台服务器, A,C有公网IP, B是某IDC的服务器无公网IP. A通过B连接C的80端口(A<=>B<=>C), 那么在B上执行如下命令即可:

$ ssh -CfNg -L 6300:127.0.0.1:80 userc@C
$ ssh -CfNg -R 80:127.0.0.1:6300 usera@A

服务器A和服务器C之间, 利用跳板服务器B建立了加密隧道. 在A上连接127.0.0.1:80, 就等同C上的80端口. 需要注意的是, 服务器B上的6300端口的数据没有加密, 可被监听, 例:

# tcpdump -s 0-i lo port 6300
复制代码
3.

复制代码
http://bianbian.org/technology/264.html

里有一些好用的网址，介绍ssh及其代理穿透防火墙的

http://www.inet.no/dante/

Dante — Proxy communication solution

ssh 是有端口转发功能的。（转）
http://doc.linuxpk.com/80817.html

ssh的三个强大的端口转发命令：

QUOTE:
ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -D listen_port user@Tunnel_Host
-f Fork into background after authentication.
后台认证用户/密码，通常和-N连用，不用登录到远程主机。

-p port Connect to this port. Server must be on the same port.
被登录的ssd服务器的sshd服务端口。

-L port:host:hostport
将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-R port:host:hostport
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-D port
指定一个本地机器 “动态的’’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发.

-C Enable compression.
压缩数据传输。

-N Do not execute a shell or command.
不执行脚本或命令，通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.
在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接

Linux命令行下SSH端口转发设定笔记(转)

原文:http://be-evil.org/post-167.html

在Windows下面我们可以很方便的使用putty等ssh工具来实现将服务器上的端口映射到本机端口来安全管理服务器上的软件或者服务那么我们换到在Liunx下我们应该怎么做呢？

ssh -L 本地端口:服务器地址:服务器端口用户名@服务器地址 -N

参数详解:

-L 端口映射参数本地端口 – 这个任意即可，只要本机没有其他的程序占用这个端口就行

服务器地址 – 你需要映射的服务器地址（名称/ip）

服务器端口 – 远程的服务器端口

-N – 不使用Shell窗口，纯做转发的时候用，如果你在映射完成后继续在服务器上输入命令，去掉这个参数即可

例子A:我们想远程管理服务器上的MySQL,那么使用下面命令

ssh -L 3306:127.0.0.1:3306 user@emlog-vps -N
运行这个命令之后，ssh将会自动将服务器的3306映射到本机的3306端口，我们就可以使用任意MySQL客户端连接 localhost:3306即可访问到服务器上的MySQL了。

例子B:一次同时映射多个端口

ssh -L 8888:www.host.com:80-L 110:mail.host.com:110 25:mail.host.com:25 user@host -N
这个命令将自动把服务器的80，110，25端口映射到本机的8888，110和25端口以上命令在ubuntu 9.10 上测试通过…

关于ssh端口转发的深入实例[转]

http://blog.myhnet.cn/2009/01/08/deepin-instances-of-ssh-port-forwarding/

首先，认识下这三个非常强大的命令：

ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -D listen_port user@Tunnel_Host
相关参数的解释：
-f Fork into background after authentication.
后台认证用户/密码，通常和-N连用，不用登录到远程主机。

-C Enable compression.
压缩数据传输。

-N Do not execute a shell or command.
不执行脚本或命令，通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.
在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接。注：这个参数我在实践中似乎始终不起作用

实例说明：
一台服务器提供ftp服务，因为ftp传输是明文密码，如果不做ssh端口之前，我们可以通过tcpdump命令很容易的捕捉到明文信息。所以我们要对21端口进行转发：

ftp-server# ssh -CNfg -R 2121:localhost:21 [email protected]
然后登录到100.0.0.50机器，我们可以通过netstat -an|grep :2121查看端口已经侦听

100.0.0.50# ftp localhost 2121
就可以登录到ftp-server了，而且tcpdump无法捕获到有效的信息。
2121端口任意选择，只要是机器上没有占用的端口就行

来一个稍微复杂一点的，做网关的例子：
假如内网有一台提供ftp(linux，port is2121，称为A机器)的机器，通过网关服务器(linux，port is8888，称为B机器)进去，现在外网有一台C机器需要访问网关服务器的某个端口(port is21)来访问内网的ftp服务器。大家可以看到，其实这就像是一个基于ssh的防火墙程序，好，下面我们来具体操作：
1、login A 机器

# ssh -CNfg -R 8888:localhost:2121 root@B机器IP
这样我们就在B机器上开了一个8888->2121的端口转换，但是由于8888端口只能侦听在localhost主机上，因此，虽然我们已经可以在B机器上使用

# ftp localhost 8888
来访问真正的ftp服务器，但仍然无法提供给外网的机器访问

2、login B机器

# ssh -CNfg -L 21:localhost:8888 root@localhost
这样做，是做本地机器上的21->8888端口转换，可以侦听在任何地址上的请求。
2(1)。
如果C机器也是一台linux机器，那也可以这样设置：

# ssh -CNfg -R 21:localhost:8888 root@C机器IP
3。使用C机器，
可以是linux下的ftp命令，也可以是windows下的客户端软件都可以访问B机器的21端口来连接后台真正的ftp服务器(真正的端口是2121)
如果是按照2(1)中的设置，则访问的地址为本机IP。
复制代码

用”scp”拷贝文件
SSH提供了一些命令和shell用来登录远程服务器。在默认情况下它不允许你拷贝文件,但是还是提供
了一个”scp”命令。
假定你想把本地计算机当前目录下的一个名为”dumb”的文件拷贝到远程服务器www.foobar.com上你的
家目录下。而且你在远程服务器上的帐号名为”bilbo”。可以用这个命令:
scp dumb [email protected]:.
把文件拷贝回来用这个命令:
scp [email protected]:dumb .

完

2016-10-142016-12-20

hosts

#Section start: Users
115.28.122.210 mirrors.aliyun.com
123.58.173.106 mirrors.163.com
221.236.12.140 mirrors.sohu.com

# Section End: Users

#Section start: archive.org
207.241.237.126 ia700506.us.archive.org
207.241.224.2 www.archive.org
#mking007cn.tk
#47.89.52.79 mking007cn.tk
#mking007cn.tk cloudflare cdn
104.28.19.206 mking007cn.tk
#104.28.19.207 mking007cn.tk
#104.28.18.206 mking007cn.tk
104.16.40.2 www.mozilla.org
104.16.40.2 mozilla.org
#104.16.40.2 www.mozilla.org

198.252.106.236 serve.netsh.org

##ad block
#baidu
127.0.0.1 drmcmm.baidu.com
127.0.0.1 hm.baidu.com
127.0.0.1 pos.baidu.com
127.0.0.1 eiv.baidu.com
127.0.0.1 cpro.baidu.com
127.0.0.1 cb.baidu.com
#end baidu

127.0.0.1 3366.com
127.0.0.1 www.3366.com
127.0.0.1 www.4399.com
127.0.0.1 4399.com
127.0.0.1 543.com
127.0.0.1 www.543.com
127.0.0.1 abab.com
127.0.0.1 www.abab.com

##end ad block

#google

64.233.162.84 www.google.com.hk

64.233.162.84 www.google.com

64.233.162.84 www.gmail.com