iptables mod tproxy
们 需要将在 Linux 桌面上的操作过程录制下来,比如制作屏幕演示.视频教学等.这里将介绍在 Linux 下值得使用的 5 个屏幕录像软件,包括 Istanbul.Wink.Xvidcap.Vnc2swf.Recordmydesktop,希望对有此需求的朋友提供参考. 1. Istanbul 使用 Istanbul,你可以将 Linux 屏幕上的一切操作过程录制下来.Is ...
使用iptables配置stateless NAT?我没有搞错.可能你根本不知道这么多NAT的实现细节,或者说根本不在乎,那么本文就当是一个&如何编写iptables模块&的练习了.实际上,我已经实现了一个可以配置stateless NAT的内核模块了,但是它的接口是基于procfs的,并不是说这个接口不好用,而是我觉得如果能集成到iptables就更加 ...
一段往事无独有偶,过了N多年,又到了这个时候,碰到了同样的事情...xx年的万圣节,由于服务器瘫痪我们被罚了500块钱,最终发现瘫痪的原因是TPROXY造成的,当时每个大服务区有一台LVS负载均衡设备,工作在NAT模式下,下联一台核心交换机,核心交换机分出N条线路去往各小区域服务器群,每一个小区域服务群拥有一台TPROXY实现的登录代理服务器,仅仅对登录数据包做代理,其它的 ...
1.背景 &路由应用-使用路由实现负载流量均衡&的第3.3节,并没有给出如何配置一个pool,那是因为在Linux 2.6.10之上,已经不再支持配置不连续IP地址的pool了,如果看iptables的man手册,将会得到以下信息: In
Kernels up to 2.6.10 you can add several --to-destination opt ...
参照:http://kuaile.in/archives/1370 架构图:
第一步,安装redsocks 1. 安装依赖 yum install libevent-devel 2. 下载编译 git clone /darkk/redsocks cd redsocks make 3. 配置
将redsocks源码目录下的redsoc ...
防火墙其实就是一个加固主机或者网络安全的一个设备或者软件而已,通过防火墙可以隔离风险区域与安全区域的连接,同时不会妨碍风险区域的访问.当然需要注意的是世界上没有绝对的安全,防火墙也只是启到一定的安全防护,那么下面来说下防火墙的几种分类, 第一种软件防火墙,软件防火墙需要运行在特定的计算机上,而且需要计算机的操作系统的支持, 第二种硬件防火墙,硬件防火墙其实就是一个普通pc机 ...
内核版本检查 [ ~]# uname -a Linux mail.lin.net 2.6..el5 #1 SMP Fri Jan 26 1 EST
i686 i386 GNU/Linux 下载对应源码包,地址 /el5/SRPMS/ [ ~]# cd /u ...
netfilter是实现linux防火墙框架的内核模块.形象的说,netfilter在内核的网络协议中设置了5个哨卡,负责检查或处置进出或转发的IP包.这5个哨卡就是PREROUTING, INPUT, OUTPUT, FORWARD, POSTROUTING.通过这5个哨卡可以实现4种功能:raw, mangle, nat, filter.在Linux防火墙的专业术语中, ...
Iptables防火墙(三) 防火墙备份及还原 备份:iptables-save ##默认iptables-save只是查看,想要保存要加&&&重定向 &-t 表名&可单独输出想要查看的表 输出的信息以&#&号开头的为注释,&*表名&表示所在的表&:链名 默认策略& 还 ...
iptables启动脚本分析 #!/bin/sh # # iptables Start iptables firewall # # chkconfig:
# description: Starts, stops and saves iptables firewall # # config: /etc/sysconfig/iptables # confi ...
IPTables 1.更改安全策略后立即生效: 2.仅有TCP.UDP数据包具有端口: 3.当Linux作为路由器使用时最好打开ping功能,以便客户端查询: 4.ipv4的内核管理功能在:/proc/sys/net/ipv4/* 其系统配置文件是/etc/sysctl.conf 5.防火墙对病毒的阻挡并不敏感 简易防火墙配置脚本实例: ################## ...
iptables的备份.恢复及防火墙脚本的基本使用 在linux系统中,iptables为我们提供了批量备份与恢复规则的命令,也提供了标准的系统服务以便开启.关闭防火墙功能. 一:规则的导出.导入: 规则的备份及还原: 防火墙规则的批量备份.还原用到两个命令 iptables-save.iptables-restore,分别用来保存(Save)和恢复(Restore). 1 ...
FTP的主动模式(active mode)和被动模式(passive mode): 大多数的TCP服务是使用单个的连接,一般是客户向服务器的一个周知端口发起连接,然后使用这个连接进行通讯.但是,FTP协议却有所不同,它使用双向的多个连接 ,而且使用的端口很难预计.一般,FTP连接包括: 一个控制连接 (control connection) 这个连接用于传递客户端的命令和服 ...
大纲 一.防火墙简介 二.防火墙分类 三.防火墙在企业中的部署 四.IPTABLES的简介 五.IPTABLES的表和链 六.IPTABLES的几个状态 七.IPTABLES的命令及使用 八.IPTABLES的脚本编写 九.IPTABLES的7层过滤 注:本文的测试环境(CentOS 5.5 X86_64) 一.防火墙简介 防火墙其实就是一个加固主机或网络安全的一个设备或者 ...
原文链接:http://blog.csdn.net/sealyao/article/details/5934268 一.Netfilter和Iptables概述
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加.编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则.这些规则存储在专用的信息包过滤表中 ...
1.不允许别人ping我的主机,但是我可以ping别人的主机 #!/bin/bash iptables -F iptables -X iptables -Z modprobe ip_tables modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_nat_irc modprobe ip_conntrack modprob ...
大多数的TCP服务是使用单个的连接,一般是客户向服务器的一个周知端口发起连接,然后使用这个连接进行通讯.但FTP协议却是例外,它使用双向的多个连接 ,而且使用的端口很难预计. FTP连接包括: 一个控制连接 (control connection) 这个连接用于传递客户端的命令和服务器端对命令的响应.它使用周知的TCP 21端口,生存期是整个FTP会话时间. N个数据连接
RHEL 5.2 kenel 2.6.18 iptable 添加模块 1.内核版本检查 [ SRPMS]# uname -a Linux seker 2.6.2.el5 #1 SMP Tue Jun 10 7 EDT
i686 i386 GNU/Linux 2.下载对应源码包 [ SRPMS] ...
公司近期搭建了几台CentOS的服务器,但是经常会出现网络不通的情况,检查到最后发现往往是最基础的iptables rule没有设置好.别小看简简单单的这个防火墙规则,弄不好费时费力,还不容易维护. 下面是万能的IPTABLES模板.友情提示:这个模板某些参数需要根据自己公司的实际情况来做相应的改变. 我喜欢把脚本放在/usr/local/virus/iptables底下. ...
一.Netfilter和Iptables概述
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加.编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则.这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中.在信息包过滤表中,规则被分组放在我们所谓的链(chain)中.Shadowsocks + ChnRoute 实现 OpenWRT 路由器自动翻墙配置-linux-操作系统-壹聚教程网Shadowsocks + ChnRoute 实现 OpenWRT 路由器自动翻墙配置
翻墙对于想看看外面的世界的朋友都希望来翻墙了，下面我们介绍一篇Shadowsocks + ChnRoute 实现 OpenWRT 路由器自动翻墙的配置教程
这篇文章介绍的方法基于aa65535的shadowsocks-spec for openwrt，介绍了如何在OpenWRT下配置自动翻墙，新版本支持在Luci下图形化配置，大大简化了配置过程。配置完成后，本身获得自动翻墙能力，所有连入该路由的设备都可无障碍访问被墙的站点。是运行于路由器的透明代理。
方案根据IP判断是否代理，国内IP不代理，国外IP走代理。代理通过shadowsocks所带ss-redir做TCP转发实现，分国内外IP通过国内IP段列表文件chnroute来区别，并通过iptables规则分别处理（这些功能已经全部集成到shadowsocks-spec里了无需额外配置）。由于是基于IP的判定，故需要解决DNS污染的问题，故搭配使用ChinaDNS来解决。
由于只要国外IP均走代理，而不是被墙才走代理，那么本方案的优缺点也就很明显了。
优点：基本不会有漏网之鱼，保证所有被墙站点能访问；能够一定程度改善国内访问一些国外网站缓慢的问题，如果你的服务器速度很好，那么甚至可以起到加速国外站点访问的作用。
缺点：如果服务器速度一般，访问一些网站甚至会减速；对一些限制IP的站点和软件应用可能会造成麻烦。总之，请酌情选择。
一、shadowsocks 安装
首次安装的话，先安装必要的包，确保路由器联网，先更新软件包列表（下载有问题的请手动到openwrt.org下载所有需要的包并上传到路由器上使用opkg install XXX.ipk命令安装）：
opkg update
shadowsocks有openssl（文件名是shadowsocks-libev-spec-X.XX.ipk）和polarssl（文件名是shadowsocks-libev-spec-polarssl-X.XX.ipk）两个版本选择，ROM空间吃紧的就选择后者吧。
先安装必要的包，如果要用polarssl版本的shadowsocks（polarssl体积更小）：
opkg install iet libpolarssl resolveip iptables-mod-tproxy
如果要用普通版本（openssl）的shadowsocks，那么(openssl兼容性更好)：
opkg install ipset libopenssl resolveip iptables-mod-tproxy
期间可能会遇到类似以下的错误提示：
kmod: failed to insert /lib/modules/3.10.44/ip_set.ko
kmod: failed to insert /lib/modules/3.10.44/ip_set_bitmap_ip.ko
kmod: failed to insert /lib/modules/3.10.44/ip_set_bitmap_ipmac.ko
没关系，这时因为安装ipset包后需要重启，我们此时先重启一次路由器。
然后下载下面四个包，前两个ipk包需要根据自己CPU型号选择：
接着将下载的包通过WinSCP之类的工具上传至路由器的/tmp目录。
接着安装shadowsocks和chinadns，一步步执行：
opkg install shadowsocks-libev-spec_x.x.x-x_ar71xx.ipk
opkg install ChinaDNS_x.x.x-x_ar71xx.ipk
opkg install luci-app-chinadns_x.x.x-x_all.ipk
opkg install luci-app-shadowsocks-spec_x.x.x-x_all.ipk
特别提醒：，由于ChinaDNS-C更名为ChinaDNS，所以包名有变化，此前安装过ChinaDNS-C的，需要手动卸载并重新安装新版。
安装完成后，shadowsocks和chinadns应该会被配置成开机启动，如果发现没有生效，运行：
/etc/init.d/shadowsocks enable
/etc/init.d/chinadns enable
二、shadowsocks 配置
我们登陆Luci，指向&服务&，此时应该能够看到shadowsocks和chinadns了。
点击shadowsocks，取消勾选&使用配置文件&，新的选项就出来了，我们把服务器信息填进去，代理方式选择&忽略列表&，然后先把下面UDP转发功能关闭，然后保存并应用（选项不要留空）。服务器地址请尽量填入IP，否则容易出问题！ 全部完成后，，确保shadowsocks是已启动状态。否则请检查配置。
当然，你可以继续使用&config.json&进行配置，格式如下：
&&&&&&&server&: &X.X.X.X&,
&&&&&&&server_port&: &443&,
&&&&&&&password&: &password&,
&&&&&&&local_port&: &1080&,
&&&&&&&method&: &rc4-md5&
最后记得在Luci里面填把&使用配置文件&勾上，然后填写配置文件位置（不要留空）：
然后看一下ChinaDNS的配置界面，此时可以先按照默认的配置来，确保ChinaDNS可以正常启动，也可以参考下面：
做出说明：
ChinaDNS参数说明
然后，在Luci中切换至&网络&-&DHCP/DNS&设置，如下图，在&DNS转发&中填入127.0.0.1#5353
其中，5353是ChinaDNS的端口，如果你在之前设置界面里改了，这里记得别填错。
然后切到HOSTS和解析文件选项卡，勾中&忽略解析文件&
接下来的步骤会有区别，通过ChinaDNS进行防DNS污染及解析结果优化，方案有三：
1、对于shadowsocks是用自己服务器搭建的，推荐方案一，在自己服务器上搭建DNS服务；
2、如果没有这个条件，但服务器支持UDP转发（较新版本Shadowsocks均支持），那么方案二；
3、如果服务器Shadowsocks版本老，不支持UDP转发，那么可用方案三，要求版本&=1.2.0；
4、如果方案三不好用，可以考虑使用方案四：TCP 方式查询解决 DNS 污染问题
前两种方案，目前来说是绝对没有DNS污染现象的，此时ChinaDNS的作用完全就是为国外站点做解析优化，因为DNS查询由代理服务器转发，DNS查询的发起者相当于代理服务器，获得的解析结果都是就近于代理服务器的；而方案三则会直面DNS污染，此时ChinaDNS的防污染功能发挥作用，同时方案三无法做到国外网站解析结果优化，因为获得的IP是就近于你的位置的。方案四则可以有效的避免国外DNS的污染，不过同样也无法做到国外网站解析结果优化。
PS1：ignore.list的定期更新以匹配最新IP段分配，长时间不更新可能导致部分国内IP走代理或者国外不走代理，可以使用下面的命令：
wget -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf(&%s/%d\n&, $4, 32-log($5)/log(2)) }' & /etc/shadowsocks/ignore.list
curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf(&%s/%d\n&, $4, 32-log($5)/log(2)) }' & /etc/shadowsocks/ignore.list
当然你也可以重新下载新版的shadowsocks重新安装。ChinaDNS的同样也需要更新，长时间不更新可能导致解析某些地址时候失败，默认位置是 /etc/chinadns_chnroute.txt
PS2：ChinaDNS的 chinadns_chnroute.txt 和shadowsocks的 ignore.list 其实是重复的，此时你只需把luci配置界面里面ChinaDNS的chnroute改成 /etc/shadowsocks/ignore.list 就行了， chinadns_chnroute.txt 也就可以删除了，这样一来省点空间，而且免去要同时更新两个文件的麻烦。
PS3：如遇到别的被墙站点没问题但YouTube, Facebook, Twitter打不开，应该是DNS污染造成，请用dig命令排查，并尝试更换DNS转发方案。方案一和方案二可以配合这个dnsmasq配置文件使用效果更佳：dnsmasq_list.conf ，具体用法我就不详细说了，总之去掉ipset=/&/&的行，然后把127.0.0.1#5353改成你的相应地址。
上一页： &&&&&下一页：相关内容问题补充&&
本页链接：
猜你感兴趣查看: 1387|回复: 0
哪位能共享一个石像鬼 x86 iptables-mod-tproxy.ipk, 谢谢
更新最新版的shawdowsocks 2.2, 提示依赖iptables-mod-tproxy, 如下，
opkg install shadowsocks-libev-spec_2.2.0-1_x86.ipk
Installing shadowsocks-libev-spec (2.2.0-1) to root...
Collected errors:
* satisfy_dependencies_for: Cannot satisfy the following dependencies for shado& && && && && && && && && &&&wsocks-libev-spec:
*& && &iptables-mod-tproxy *
* opkg_install_cmd: Cannot install package shadowsocks-libev-spec.
但是在opkg的主源里找不到这个包， 有这个x86包的朋友共享一个给我， 先谢了。
Powered by