Sniffer(嗅探器)是一种常用的收集有用数据方法, 这些数据可以是用户的帐号和密码, 可以是一些商用机密数据等等. Sniffer可以作为能够捕获网络报文的设备, ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具.
Sniffer根据网络的类型分为两个类别: 1.交换环境下的Sniffer 2.共享环境下的Sniffer
交换环境下的Sniffer往往是通过对交换机进行ARP欺骗, 变成一个中间人进行截获数据.
共享环境下的Sniffer仅仅只需要把本机的网卡设置为混杂模式就可以监听网络上所有的数据报, 而不需要进行任何欺骗行为.
Sniffer的原理:
交换环境的网络使用交换机(Switch)连接各个网络节点, 而共享环境的网络则采用集线器连接各个节点.
先说共享环境吧, 共享网络也成为集线器网络, 数据报到达集线器以后, 集线器会把数据报转发到每个集线器的端口, 换句话说, 集线器连接的每个网络节点都有权利收到所有的数据报. 运行Sniffer以后, Sniffer会把网卡设置为混杂模式, 一旦设置为混杂模式, Sniffer就可以接受所有的数据报, 这样也就达到了Sniffer的目的.
交换环境, 通过使用交换机代替共享环境下的集线器, 能够解决集线器的几个安全问题, 交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口, 这样就不是把一个数据报转发到各个端口了, 这样的做法一方面大大提高了网络的性能, 另一方面也提高了安全性, 在交换环境下, 即使网卡设置为混杂模式, 也只能监听本机的数据包, 因为交换机不会把其他节点的数据报转发给嗅探主机了. 所以, 在交换环境下必须想办法让被嗅探主机的数据报发到嗅探主机来, 能够实现这种目的方法叫做ARP欺骗(ARP Spoofing), 这种方式通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的, 这样发送到被嗅探的主机的数据报完全转发到嗅探主机来, 而被嗅探主机收不到任何的数据包, 为了使得能够正常的截获数据报, 嗅探主机除了充当嗅探的身份之外, 还要充当中间人的身份. 具体的原理和方式可以去Google上搜索ARP欺骗.
交换环境下在不使用ARP欺骗的情况下, 如何能够进行整网的数据分析呢 我提供2种方法进行参考:
1. 在根节点使用带有镜像功能的交换机, 这种功能的交换机可以设置为把所有的数据报都转发到某一指定端口上, 在该端口上可以连接运行Sniffer的主机.
2. 如果您的根节点交换机没有这种功能, 那么可以在根节点上方添加一台集线器, 集线器1个端口连接交换机, 另外一个端口就可以连接运行Sniffer的主机了.
下面的这些是我个人认为比较经典的Sniffer,值得收藏.
1. libpcap
版本: v0.8.3
更新日期: 2004-03-30
介绍: libpcap是Unix或Linux从内核捕获网络数据包的必备工具, 它是独立于系统的API接口, 为底层网络监控提供了一个可移植的框架, 可用于网络统计收集、安全监控、网络调试等应用. 很多Unix或Linux下的网络程序都需要libpcap才能够运行. Windows平台下类似的程序为Winpcap.
下载路径: Software/Network/libpcap/ (包括最新版、稳定版以及开发文档)
2. Winpcap
版本: v3.1 Beta3
更新日期: 2004-05-15
介绍: WinPcap类似于libpcap, 支持Win32平台, Winpcap提供了3个模块:NPF(Netgroup Packet Filter,内核级的数据报过滤器),packet.dll(底层的动态连接库),wpcap.dll(架构在packet.dll之上,提供了更方便、更直接的编程方法). 很多网络工具(Sniffer等)都是使用Winpcap进行开发的, 运行这些网络工具, 均需要安装Winpcap. 我曾经使用过VBS调用Winpcap写过console下的Sniffer. ~_*
下载路径: Software/Network/Winpcap/ (包括最新版、稳定版以及开发文档)
3. Network Associates Sniffer Portable
版本: v4.7.5 SP4
更新日期: 2004-05-20
介绍: NAI 公司出品的Sniffer, 作为NAI公司的主打产品, 价格也是不菲的. Sniffer Portable 是一系列网络故障和性能管理解决方案, 网络专业人士可以使用它对多拓朴结构和多协议网络进行维护、故障解决、优化调整和扩展. Sniffer Portable 软件可以在桌面机、便携式计算机或者笔记本等硬件平台上运行, 并且可以利用高级自定义硬件组件确保全线速的捕获能力. Sniffer Portable非常出色, 其区别于其它Sniffer主要为以下几个方面:
自定义硬件:
通过自定义硬件, 使Sniffer Portable可以实现线速捕捉、过滤以及触发功能.
详细的报告:
可以生成基于 RMON1/RMON2 的图形报告, 以及由 Sniffer Portable 应用程序收集的类似数据. 从带宽使用率到潜在的网络衰减, Sniffer Reporter 提供详尽数据来帮助您规划未来的网络需求. 有关以太网和令牌环的可用报告包括: 主机表、矩阵、协议分发、全局统计及其他报告.
Sniffer Voice 选项:
Sniffer Voice 是一个与 Sniffer Portable 集成的增值包,它提供语音和视频聚合流量的必要信息, 主要用于VoIP网络.
下载路径: Software/Network/Network.Associates.Sniffer.Portable.v4.7.5.SP4/
4. WildPackets EtherPeek NX
版本: v2.1
更新日期: 2004-06-12
介绍: EtherPeek NX 是第一个提供信息包捕获过程中实时进行专业诊断和结构解码的网络协议分析器. EtherPeek NX专门为IT人员设计, 帮助他们分析和诊断日益加速变化的网络数据群, 对现今网络面临的众多故障提供精确和最新的分析. 我收藏的这个版本中包括iNetTools和PacketGrabber两款附带产品, iNetTools提供了一些比较有用的网络工具(Ping,Ping Scan,Trace Route,Name Lookup,Name Scan, DNS Lookup,Port Scan,Service Scan,Finger,Whois以及Throughput), PacketGrabber是一款远程数据报收集程序. 同时也提供了Peek SDK, 方便用户自己开发插件, SDK文档在安装路径下1033\Documents\Peek SDK\的目录里.
适用于Windows的EtherPeek是一种屡受嘉奖的以太网流量和协议分析器. EtherPeek确立了“轻松使用”的行业标准. EtherPeek 是”全球国际网络测试联盟”从五种网络分析器中评选出的最优产品.
下载路径: Software/Network/WildPackets.EtherPeek.NX.v2.1/
5. Iris Network Traffic Analyzer
版本: v4.0.7
更新日期: 2003-12-29
介绍: 由业内知名公司Eeye出品的Sniffer, Iris的优点在于:便于使用、全面丰富的流量状态和报告、高级数据重建功能、精密的数据包操作和伪造能力、扩展的过滤功能、数据分析能力.
个人认为Iris在数据重建功能、数据包伪造以及数据分析能力上比较突出. 数据重建功能可以把原始的数据包还原成完整的HTTP、FTP、SMTP和POP3会话.使用Iris的数据重建功能可以很轻松的查看网络传输的Mail信件、用户浏览的网页以及未加密的FTP传输. Iris的数据包编辑器可以让用户创建自定义的或者欺骗的数据包. 数据分析能力上在于Iris 可以分析其他知名的Sniffer保存的数据包捕捉文件.
另外值得一提的是, Eeye公司站点上免费提供一些定义好的过滤器文件, 大部分主要是针对病毒和蠕虫的.
下载路径: Software/Network/Iris.Network.Traffic.Analyzer.v4.07/
6. TamoSoft CommView
版本: v4.1.344
更新日期: 2004-02-19
介绍: CommView系列是Windows下比较优秀的商业Sniffer产品, 支持NDIS3.0驱动标准, 功能大致上和其他一些Sniffer差不多, 另外, 结合CommView Remote Agent可以实现远程嗅探.
TamoSoft CommView for WIFI
版本: v4.2.360
更新日期: 2004-04-09
介绍: CommView
for WiFi 是CommView的特别版本, 设计用来捕获和分析无线网络, 支持802.11a/b/g协议.
下载路径: Software/Network/TamoSoft.CommView/
TamoSoft CommView Remote Agent
版本: v1.1.43
更新日期: 2004-03-04
介绍: CommView Remote Agent 是CommView的专用的、可选的组件, 设计用来进行远程网络监视.
下载路径: Software/Network/TamoSoft.CommView/
7. Ettercap
版本: NG 0.7.0 RC1
更新日期: 2004-06-14
介绍: Ettercap 是一套LAN下中间人攻击的工具, 属于开源项目, 支持多种平台(Linux, BSD, Windows, Solaris,Mac OS), 其功能包括嗅探活动连接、On the Fly模式的内容过滤以及其它一些有趣的欺骗功能. Ettercap 支持主动和被动多种协议的分析, 并包括其他网络和主机分析的功能. 另外, Ettercap具有插件功能, 自带不少功能不错的插件, 也允许第三方编写插件. 在安装了OpenSSL以后可以支持SSH1以及HTTPS.
下载路径: Software/Network/Ettercap/
8. Ethereal
版本: v0.10.4
更新日期: 2004-05-13
介绍: Ethereal 是全球最流行的网络协议分析器, 功能强大而且支持平台最多的一款Sniffer(支持以下平台:Windows, Linux, Solaris, Mac OS, BSD, BeOS, Tru64 Unix, HP-UX, AIX, Irix等), 属于开源项目. 支持分析的协议有512种之多, 支持实时和非实时两种模式.Windows下运行需要Winpcap库.
下载路径: Software/Network/Ethereal/ (包括源代码和Windows下的安装文件)
9. Packetyzer
版本: v2.0.0
更新日期: 2004-04-22
介绍: Packetyzer 是为数不多的开源的Windows平台下的优秀Sniffer, 支持483种协议, 与Neutrino Sensor结合在一起可以截获和分析802.11数据包, 我个人比较喜欢Packetyzer的数据报标记色彩功能. 需要安装Winpcap.
下载路径: Software/Network/Packetyzer/ (包括源代码和安装文件)
10. Cain & Abel
版本: v2.5 Beta56
更新日期: 2004-06-14
介绍: Cain & Abel 是一套Windows平台下强大的密码截获与破解工具, 只所以我把它归纳为Sniffer里面来, 主要是因为Cain & Abel主要的功能在于Sniffer方面, 它支持共享环境和交换环境下进行截获, Cain 和 Abel是分开的的两个工具(Cain作为客户端,Abel作为服务端). 功能非常之强大, 详细功能请访问: http://www.oxid.it/cain.html . 在新的版本中增加了无线网络的支持. 运行需要Winpcap.
下载路径: Software/Network/Cain&Abel/
11. TCPDump / WinDump
版本: v3.8.3
更新日期: 2004-03-30
介绍: Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具. 它能把匹配规则的数据包的包头给显示出来, 使用TCPDump去查找网络问题或者去监视网络上的状况. WinDump是Tcpdump在Windows平台上的移植版.
下载路径: Software/Network/TCPDump/ (包括TCPDump和WinDump)
12. dsniff
版本: v2.4 Beta2
更新日期: 2004-06-14
介绍: dsniff 是一个 UNIX 可执行工具的集合, 它是为执行网络审核和网络渗透而设计的. 拥有ARP欺骗功能, 应该也能算是最早具有交换环境下嗅探功能的Sniffer了. 作者已经在 OpenBSD、Red Hat Linux 和 Solaris 下对它进行了测试. 一个早期版本(1.8)已经被移植到 Windows 下. dsniff 最早由 Dug 于 1999 年 12 月发布. dsniff 依赖于一些第三方软件包, 包括 Berkeley DB、OpenSSL、libnet、和 libnids.
下载路径: Software/Network/dsniff/ (包括2.3,2.4b1,2.4b2以及1.8 for Windows版本)
13. sniffit
版本: v0.37 Beta
更新日期: 1998-07-17
介绍: Sniffit是由Lawrence Berkeley Laboratory开发的,可以在Linux、Solaris、SGI、Windows等各种平台运行的Sniffer,提供了不少商业版Sniffer所没有的功能,支持脚本和插件功能. 另外可以使用tod(Touch of Death)插件, tod通过向目标机器发送RST包来切断目标机器的TCP连接. Windows版本由Symbolic迁移, 运行需要Winpcap.
下载路径: Software/Network/sniffit/
14. Snarp
版本: v0.9h
更新日期: 2001-03-21
介绍: Windows 平台下交换网络的嗅探器. 具体的说明请参照Readme.txt.
下载路径: Software/Network/Snarp/
15. ARPSniffer
版本: v0.5
更新日期: 2002-08-12
介绍: 小榕写的Windows 平台下交换网络的嗅探器. 另外在流光5中, 增加了Remote ANS(Remote ARP Network Sniffer)功能,这个工具采用了Sensor/GUI的结构. 运行需要Winpcap.
分类 : 技术文摘 | 发表时间 23-04-2006
分类 : 系统安全 | 发表时间 23-04-2006
IPv4地址资源的紧缺引发了一系列安全问题,尽管IPv6协议在网络安全上做了多项改进,但是其引入也带来了新的安全问题。
由于我国IPv4地址资源严重不足,除了采用CIDR、VLSM和DHCP技术缓解地址紧张问题,更多的是采用私有IP地址结合网络地址转换(NAT/PAT)技术来解决这个问题。比如PSTN、ADSL、GPRS拨号上网、宽带用户以及很多校园网、企业网大都是采用私有IPv4地址,通过NAT技术接入互联网,这不仅大大降低了网络传输的速度,且安全性等方面也难以得到保障。从根本上看,互联网可信度问题、端到端连接特性遭受破坏、网络没有强制采用IPSec而带来的安全性问题,使IPv4网络面临各种威胁。
IPv6协议在网络安全上有改进
IP安全协议(IPSec) IPSec是IPv4的一个可选扩展协议,而在IPv6则是一个必备组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。新版路由协议OSPFv3 和 RIPng采用IPSec来对路由信息进行加密和认证,提高抗路由攻击的性能。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
端到端的安全保证 IPv6最大的优势在于保证端到端的安全,可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT,允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6的连接,都会在两端主机上对数据包进行 IPSec封装,中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输,通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,在IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,许多核心路由器可根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
防止未授权访问 IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
域名系统DNS 基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃,而采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议,能进一步增强目前针对DNS新的攻击方式的防护,例如“网络钓鱼(Phishing)”攻击、“DNS中毒(DNS poisoning)”攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。此外,专家认为,如果能争取在我国建立IPv6域名系统根服务器,则对于我国的信息安全很有必要和十分重要。
灵活的扩展报头 一个完整的IPv6的数据包可包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后,就开始对其他主机进行随机扫描,在扫描到其他有漏洞的主机后,会把病毒传染给该主机。这种传播方式的传播速度在 IPv4环境下非常迅速(如Nimdar病毒在4~5分钟内可以感染上百万台计算机)。但这种传播方式因为IPv6的地址空间的巨大变得不适用了,病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。
防止网络放大攻击(Broadcast Amplication Attacks) ICMPv6在设计上不会响应组播地址和广播地址的消息,不存在广播,所以,只需要在网络边缘过滤组播数据包,即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。
防止碎片(Fragment)攻击 IPv6认为MTU小于1280字节的数据包是非法的,处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包),这有助于防止碎片攻击。
由此看来,IPv6协议确实比IPv4的安全性有所改进,IPv4中常见的一些攻击方式,将在IPv6网络中失效,例如网络侦察、报头攻击、 ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。但数据包侦听、中间人攻击、洪水攻击、拒绝服务攻击、应用层攻击等一系列在IPv4网络中的问题, IPv6仍应对乏力,只是在IPv6的网络中事后追溯攻击的源头方面要比在IPv4中容易一些。
引入IPv6出现的安全新问题
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括应对拒绝服务攻击(DoS)乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统(IDS)遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。
此外,在IPv6中还有一些问题有待解决,主要包括:
1. IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术,如SNMP等,不管是移植还是重新另搞,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,何谈保障网络高效、安全运行?
2. PKI管理在IPv6中是悬而未决的新问题。
3. IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还尚需时日。
4. IPv6协议仍需在实践中完善,例如IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能,而移动IPv6(Mobiel IPv6)也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
向IPv6迁移的可能漏洞
由于IPv6与IPv4网络将会长期共存,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。
已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
向IPv6协议的转移与采用其他任何一种新的网络协议一样,需要重新配置防火墙,其安全措施必须经过慎重的考虑和测试,例如IPv4环境下的IDS
并不能直接支持IPv6,需要重新设计,原来应用在IPv4协议的安全策略和安全措施必须在IPv6上得到落实。
目前,IPv4向IPv6过渡有多种技术,其中基本过渡技术有双栈、隧道和协议转换,但目前这几种技术运行都不理想。专家建议,向IPv6转移应尽量采用双栈技术,避免采用协议转换;尽量采用静态隧道,避免采用动态隧道;这些都需要在广泛实验中加以检验。
与IPv4相比,IPv6在网络保密性、完整性方面有了更好的改进,在可控性和抗否认性方面有了新的保证,但IPv6不仅不可能彻底解决所有安全问题,同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层,因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
分类 : 技术文摘 | 发表时间 16-04-2006
作为一种免费的网络操作系统,Linux越来越受到广大网络爱好者的欢迎了,目前因特网(Internet)上运行的主机有相当一部分采用的就是 linux操作系统,而且中国已经把linux操作系统作为政府上网年的指定网络操作系统,种种迹象表明,linux操作系统正在逐渐走向成熟。今天,我给大家介绍一种能在Linux系统下使用的比较优秀的代理服务器软件的安装和调试方法。
众所周知,当今因特网发展速度极其迅猛,IP地址资源非常紧张。而如果您想访问因特网,共享因特网的丰富资源,您的机器必须拥有一个标准的IP地址。在因特网上,IP地址是识别您的机器的唯一标志。目前,有两种方式可以让您的机器拥有标准的IP地址:一种是局域网通过专线接入因特网,您的机器可以拥有静态的IP地址。所谓静态IP地址,就是对使用者来说,是固定不变的IP地址,这个IP地址给您使用后,其他人就不能再用了。一种是通过电话线拨号或 ISDN拨号等方式接入因特网,您的机器可以在您拨号上网的在线期间从ISP的访问服务器的IP地址池中获得一个临时的标准IP地址,这个IP地址在您下线后就不归您使用了,而您下次拨号再上网,很可能分配给您的机器的是另外一个临时的IP地址了。这种临时分配的IP地址,称为动态IP地址。无论是静态地址还是动态地址,在您的机器访问因特网时,使用起来没有什么区别。
现在因特网发展速度这么快,而IP地址资源又这么紧张,这不能不说是一个尖锐的矛盾。虽说Ipv6正在开发中,但远水不解近渴,好多的企业、公司内部的Intranet现在就想接入因特网这个浩瀚的资源海洋,但又苦于没有充足的IP地址资源,怎么办?还好,有代理服务这个好东西。代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址(以下称内部地址)的机器和因特网上的其他主机打交道,提供代理服务的这台机器称为代理服务器。拥有内部地址的机器想到因特网上查找资料时,先把这个请求发给拥有标准IP地址的代理服务器,由代理服务器把这个请求通过它的标准IP地址发到请求的目标地址。然后目标地址的服务器把返回的结果发回给代理服务器,代理服务器再原封不动的把资料发给最初那台拥有内部IP地址的机器。这样就完成了一次内部机器访问因特网的一个过程。若干拥有内部地址的机器就组成了内部网,代理服务器的作用就是勾通内部网和因特网,解决内部网访问因特网的问题。而且这种代理是不可逆的,因特网上的主机不能访问任何一台拥有内部地址的机器,这样又可以保障内部资料的安全性。
能够完成这种代理功能的服务器软件有好多,我给大家推荐一种能在linux下使用的比较优秀的代理服务器软件Squid。之所以说它比较优秀,一方面是因为它可以在代理服务器上作一个很大的缓存,可以把好多常去的网站内容存储到缓存中,这样,内部网的机器再访问那些网站,就可以从缓存里调用了。这样一可以加快内部网浏览因特网的速度,二可以减少专线的数据流量。另一方面,Squid不仅仅支持HTTP协议,而且还支持FTP,GOPHER,SSL和 WAIS等协议。下面我将逐步介绍该服务器软件的下载、编译、安装和调试。
一、 准备工作
最好是为Squid建立专用的运行帐号和用户组。比如建立新帐号test1,把该帐号归为test组,把该帐号的根目录设为/usr/local/squid。以下操作均由这个专用帐号来完成。
二、 下载:
可以在http://squid.nlanr.net/Squid/ 处下载Squid代理服务器软件。文件名字是 squid-2.2.STABLE3-src.tar.gz。这是一个压缩以后的数据包。假设下载后我们把它放在 /usr/local/squid/src目录里。
三、 解压缩数据包
进入/usr/local/squid/src目录,键入如下命令:
gzip –dc squid-2.2.STABLE3-src.tar.gz | tar –xvf –
这个命令将该数据包解开,建立一个目录叫作squid-2.2.STABLE3,并且把所有的文件放在这个目录里面。
四、 编译源程序
首先运行配置脚本,以便生成适合您的机器的编译脚本。命令格式是:
./configure
这种方式产生的编译脚本编译后默认安装路径是/usr/local/squid。
如果想改变安装路径,需要用以下格式:
./configure –prefix=/some/other/directory
这种方法编译后安装到/some/other/directory里面。
生成编译脚本后,可以正式开始编译了。命令为:
make
五、 安装Squid代理服务器
编译无误,安装显得更加简单了。命令为:
make install
安装完成后,会在您指定的安装路径里产生一个squid目录,squid目录下有三个目录:etc、bin、logs。其中etc里面是配置文件,bin里面是执行文件,logs里面是日志文件。
六、 调试代理服务器
安装结束后就是调试服务器,使其按照您的要求工作。Squid的配置文件只有一个,在etc目录里,名字是squid.conf,所有的配置选项都在这个文件里面。而且每个配置项目都有注释说明。我们就不一一介绍所有的配置项目了,只介绍几个常用的项目。
首先,在squid文件里面找到下列配置项:
cache_mem
这里可以添上您准备给squid作为高速缓存使用的内存大小。注意,如果您的机器有N兆内存,那么,推荐您在这里添的数字是N/3。
cache_dir /usr/local/squid/cache 100 16 256
这里的第一个数字100是您准备给squid作为cache使用的硬盘空间大小,单位是兆。如果您想划100M空间当作cache,那么这里就写100。
acl, http_access, icp_access
用您的网络地址(比如:192.168.10.0)和子网掩码(比如:255.255.255.0)填写“allowed host”ACL访问控制列表。这是很重要的一项,它可以防止未经您授权的人窃取您的网络资源。
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 192.168.10.0/255.255.255.0
http_access deny manager all
http_access allow allowed_hosts
http_access deny all
icp_access allow allowed_hosts
icp_access deny all
cache_mgr
这里填写cache管理员的Email地址,系统出错会自动提醒cache管理员。
修改完配置文件,在正式运行squid代理服务器之前,先进行初始化。命令如下:
% /usr/local/squid/bin/squid -z
% /usr/local/squid/bin/squid
检查cache.log文件确保所有部分运行正常。如果有出错信息,系统不能正常启动,一般情况是由于目录和文件的存取权限导致的,请仔细检查各目录和文件的权限设置。
如果一切正常,那么就可以投入使用了。系统默认的服务端口是3128。
七、 使用代理服务器
在调试完成之后,就可以试试代理服务器了。将您的某台终端机设置成内部地址,将该终端的DNS服务器设置为代理服务器的DNS服务,在内部地址和标准地址之间作一个路由,这样,您应该在终端上可以ping通代理服务器的标准地址了。在您的浏览
器里设置代理服务器地址为squid代理服务器的地址,端口号为3128,试试浏览外面的网站,怎么样?成功了!!!
代理服务器的安装调试结束了,您可以根据您的网络出口带宽,随时调整访问控制列表,决定代理多少台终端访问因特网。您还可以调整squid.conf的其他配置使其更能适应您的需要。
最后说明一点,squid不仅可以用在Linux系统上,经过测试,它还可以用在以下系统上:AIX, Digital Unix, FreeBSD, HP-UX, Irix, NetBSD, Nextstep, SCO, Solaris等等。您还在等什么?赶快动手试试吧!
分类 : 网站技术 | 发表时间 30-03-2006
域控制器是公司网络管理的核心,它出现故障往往会导致全网用户计算机的登录失败。不过,大家在建立域控制器时往往忽视了对DNS的设置,致使域中的DNS频频引发故障。你是否知道DNS的重要性呢?如果DNS设置出问题会带来什么样的后果呢?笔者负责公司服务器的维护工作,最近在实际工作中就遇到了一起突发的与DNS相关的服务器故障。
故障现象
公司规模不是很大,大概有50多台计算机,购买了两台IBM服务器。由于内部使用的某个应用软件需要Windows域的支持,所以在这两台IBM服务器上启用了Windows 2000 Server的域。一台作为域控制器DC,另一台设置为备份域控制器BDC。
由于备份域控制器在管理域上主要起辅助作用,所以配置完毕后基本没有做任何修改和操作。然而最近却出现了主域控制器DC那台服务器无法登录系统桌面的故障,每次启动该域控制器都停留在登录界面(即要求输入管理员账号和密码操作之前的界面),下方登录信息显示的是“正在连接网络”,等待近一个小时仍然没有任何进展。重新启动该服务器按F8键可以正常进入安全模式,然而只要一进入正常模式就会出现上述问题。
故障排查
由于系统登录总是停留在“正在连接网络”处,所以笔者怀疑是网络出现了问题,例如主域控制器无法通过DNS解析自己。笔者尝试进入安全模式将网卡禁用,这样系统就不会搜索网络,也不会尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
不过禁用网卡并不能治本,虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢?笔者再次将排除故障的思路集中到域名解析上。众所周知在启用了域的网络中,DNS解析的域名与计算机是一一对应的,任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
笔者在主域控制器上查看DNS服务的配置,发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查,原来是备份域控制器上的网线与网卡接口连接处松动了,也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插紧后,启动主域控制器上的网卡就可正常进入系统了,故障得到排除。
进阶思考
本次故障看起来似乎是因为备份域控制器上的网线松动造成的,实际上是我们在建立域时的配置出现问题的结果,因为我们忽视了对DNS的配置。在建立域时,最好按照以下规则来配置DNS。
1.DC与BDC上都安装DNS服务,而不是只在一台服务器上启用,防止DNS解析错误,为DNS解析提供冗余功能。
2.DC本机DNS服务器设置为自己的IP地址,BDC本机DNS服务器也设置为自己的IP地址。
3.DC辅助DNS服务器地址要设置为BDC的地址,相应的BDC上的辅助DNS服务器地址要设置为DC的IP地址。
这样我们在进行DNS解析时就不会轻易出问题。因为登录主域控制器进行DNS解析并连接网络时会自动查询本机的DNS设置,即使BDC网线松动或关机也不会影响DC的登录。
总结:在Windows系统中配置域控制器是一件非常麻烦的事情,而且故障的发生没有规律可言,所以在升级网络为域时的初始化操作中一定要遵循相应规则,这样可以将故障发生几率降到最低。
分类 : 美文美景 | 发表时间 26-03-2006
提供个免费ftp,速度快,不要密码,东西爆多
ftp://221.224.20.206/
ftp://218.6.43.31/
2006年2月14日晨测试可用!
更多的FTP
1青蛙摄影的FTP(高速)
ftp://ftp.chyangwa.com
有 余世维 全套, 小说, 相声, 超多的英语学习资料,
摄影的视频教学
(旅游摄影,实用人物摄影.,静物摄影.等等) 长期有效,高速
2 回龙观网站FTP
ftp://hlgnet:hlg1@ftp2.hlgnet.com
(长期有效)30K/S
教程.软件,音乐,影视,游戏,其它
3 ◇SHU-ZZB◇的 VIP FTP服务器
ftp://vip:vip@202.120.124.166/休闲娱乐/影视/〓综艺〓/
(每个IP限2线程) 不是很稳,一般30K/S 高可到150K/S
休闲娱乐/影视/〓综艺〓/ 〓电影〓/ 〓连续剧〓/音乐 学习资料
常用软件等
上面这个多试几次(不支持passive mode被动模式,请用port模式连接)
4, MP3 专门的
FTPftp://mp3:mp3@202.107.231.92/
(160K/S)
5,软件的
ftp://smusermuser@ftp.nbsmzx.com/
6 乔客
joekoe.net@ftp.joekoe.net/upload/other/agui888_”” target=_blank>ftp://ftp@joekoe.net:ftp@joekoe.net@ … /upload/other/agui888_
(超多的书, 教程,片)100K/S
7 [维维软件园] ftp://vvsoft:vvsoft@tmp.vvsoft.com/
8 浙江大学网络教育中心FTP ftp://218.75.127.104/
9 10M光纤FTP多数程300K
ftp://userdownass@syzzj.3322.org/
10 kelvin的ftp ftp://kelvinxx.vicp.net/
(mtv和演唱会,经典mp3,电影)60K/S 主要看人多人少
11.北京大学 FTP ftp://ftp.pku.edu.cn/
12.天下ftp服务器 ftp://218.7.95.13/
同济大学 Linux FTP ftp://plinux.org
最大用户数150,
速度50kb/s,双线程
(游戏,教学,软件,电子书籍,音乐,少量动画)
-====流行音乐专用FTP=====-80K/S
我行我素FTP
龙联论坛(bbs.51vip.net)专用下载空间
影音遐迩电台 个别的速度开始慢,后来就越来越快,所以要耐心,
ftp://Ao_music:Ao_music@202.102.2.218/ 80K/S
ftp://218.26.163.62/
请先上传至“用户上传区”后再下载
ftp://www.zingking.com_guest:bt.zingking.com@218.27.12.79/
ftp://down:bbs.51vip.net@downbbs.51vip.cn:29/一些简单动画教程/
(注意查每个文件夹,不少好东西)
ftp://downown@218.75.56.218/
ftp://www.xyhc.com.vip01skmnaiuw3y7r8wa@ftp1.yhcmovie.com/综艺下载/
第九中文长期有效FTP
限制50K/(每号服务器一线程序),里面内容一样,请挑选自己最快的服务器连接下载
电信一号主力服务器
直接进去办法:ftp://www.d9com.com:www.d9com.com@202.104.11.90:8080/
电信二号主力服务器 直接进去办法:ftp://www.d9com.com:www.d9com.com@202.104.11.73:8080/
网通三号服务器
直接进去办法:ftp://www.d9com.com:www.d9com.com@210.21.115.118:8080/
CG资源火星FTP
ftp://YY_DOW:524767@ftp2.cnzoo.net/
————————————————————-
疯狂连续剧FTP
ftp://mydvdrip.com:mydvdrip-zhangze.vicp.net@zhangze.vicp.net
———————————————————
软件类
主机名: ftp://ftp.feedom.net
——————————————————
综合FTP,绝对的稳定速度,达80K以上
如出现421错误,请排队耐心等待
ftp://hddnvip:3637352@ftp.hddn.net
—————————————————–
中南大学影视
中南大学影视movie.hn.edu.cn
—————————————————–
扬州大学ftp服务器
要取消被动模式
扬州大学ftp服务器202.195.62.11
————————————————–
新发现的FTP,大型软件 和
大型游戏
ftp://202.102.148.6/
没密码,没用户名,IE就能打开
里面东西超级多
————————————————
三星爱好者FTP
地址:ftp.52samsung.com
端口:21
用户:52samsung
密码:52samsung
————————————————-
集美大学FTP(学习资料、影视资料)
ftp://jmu:jmu@210.34.132.102
————————————————
FTP电影中心
电影中心:ftp.feedom.net
用户名:feedom
密码:空
——————————————————————————-
无名ftp合集[共六个]
ftp://sxr.dns0755.net
ftp://202.196.160.15
ftp://www.zingking.com_guest:bt.zingking.com@218.27.12.79
ftp://smusermuser@ftp.nbsmzx.com
ftp://movie:www.fjnt.com@www.fjnt.com/
ftp://downloadownload@210.29.152.1:21
——————————————————————————
新增FTP资源- –
站点标签: routerclub 软件路由器的镜像等,速度不错!
主机名: www.cx168.net
用户名: routerclub
密码: routerclub.com
端口: 21
使用被动模式
站点标签: suzhou software 2 苏州电信软件FTP,以PDA软件、动画为主。
主机名:
218.4.155.102
用户名: xiazai
密码: software0527
端口: 21
使用被动模式
站点标签: suzhou software 1 超好的FTP,不过有IP限制!苏州用户应该不成问题!
主机名:
218.4.155.103
用户名: xiazai
密码: software0410
端口: 62121
协议类型: ftp
使用被动模式
站点标签: suzhou software 3 杂货店FTP,学习资料较多!
主机名:
218.92.206.166
用户名: gy6
密码: 666666
端口: 21
使用被动模式
站点标签: routerclub primany 软件路由器
主机名: ftpsc.vicp.net
用户名:
rount
密码: rount
端口: 21
使用被动模式
站点标签: YTdown
这个偶也忘了-_-!
主机名: 61.156.14.198
用户名: down
密码: @ytdown1025@
端口: 21
使用被动模式
站点标签: jujumao7 jujumao的免费FTP!
主机名:
ftp7.jujumao.cn
用户名: jujughost
密码: www.jujumao.com20050421
端口: 2188
协议类型: ftp
使用被动模式
站点标签: netbar 网吧的FTP,软
件也比较多!
主机名:
fzfj.8800.org
用户名: tfw_user
密码: tfw_user
端口: 21
使用被动模式
站点标签: linuxsir linux类的软件
主机名: www.linuxsir.org
用户名:
upload
密码: upload
端口: 21
使用被动模式
站点标签: jujumao10
jujumao的免费FTP!
主机名: zfydl.vicp.net
用户名: user
密码: zfydl
端口: 21
使用被动模式
站点标签: routerclub pri 软件路由器
主机名: 221.194.29.83
用户名:
rsusdown
密码: 9998
端口: 21
使用被动模式
站点标签: jujumao9
jujumao的免费FTP!
主机名: ftp9.jujumao.cn
用户名: jujughost
密码:
www.jujumao.com200504202227
端口: 2188
协议类型: ftp
使用被动模式
站点标签: jujumao2 jujumao的免费FTP!
主机名: ftp2.jujumao.cn
用户名:
jujughost
密码: www.jujumao.com200504202317
端口: 21
使用被动模式
站点标签: 菊花论坛3 MCSE,CCNA等认证的BIBLE
主机名: juhua6.3322.org
用户名:
sharecenter-net-user
密码: sharecenter.net.041101
端口: 3839
协议类型: ftp
使用被动模式
站点标签: 菊花论坛2 MCSE,CCNA等认证的BIBLE
主机名:
juhua5.3322.org
用户名: sharecenter-net-user
密码: sharecenter-user-03212400
端口: 21
使用被动模式
站点标签: CiscoFans 有关于思科的一些资料!
主机名:
219.147.198.115
用户名: ciscofan
密码: ciscofan
端口: 21
默认远程文件夹: /
使用被动模式
站点标签: 菊花论坛1 MCSE,CCNA等认证的BIBLE
主机名: 61.139.100.4
用户名:
sharecenter-net-user
密码: sharecenter-net-user-03151930
端口: 21
使用被动模式
站点标签: Netbsd NetBSD北京镜像站点,速度在50K左右!
主机名: ftp.cn.netbsd.org
端口: 21
使用被动模式
站点标签: 菊花论坛4 MCSE,CCNA等认证的BIBLE
主机名:
juhua2.3322.org
用户名: sharecenter-net-user
密码:
sharecenter-user-0502241159
端口: 2121
协议类型: ftp
使用被动模式
站点标签:
100M杭州电信 如题!Ebook居多!
主机名: jd.8800.org
用户名: newsfan
密码: xinwenzu
端口: 21
使用被动模式
======================
全国高校FTP站点列表
==========================
上海理工大学ftp
202.120.223.50
用户名:download
密码:usstdown
成都理工大学 FTP 服务器 (非常快)!!!
ftp://ftp.cdut.edu.cn/
山东大学英语学习ftp ftp://211.87.235.172/
请单线程下载
东北师大FTP
202.198.128.107
郑州航院视频中心
郑州航院视频中心,内容丰富
202.196.160.15
哈工大FTP
哈工大FTP ftp://ftp.hagongda.com/ ;;
有人数限制的,人太多了进不去的!
【下载】东北师大FTP(影视教学齐全) ftp://202.198.128.107
既有教学也有电影和音乐
大家一定喜欢
此ftp有很多经典和最新影视! ftp://vod.zzia.edu.cn
清华C语言服务器 ftp://cpp:cpp@166.111.168.29
上海电力学院
哪个地方有LOTUS 5设计教程
公用Ftp服务器:210.35.88.9
校外上传用户名:suepoutup 密码:suepoutup
校外下载用户名:suepoutdown 密码:suepoutdown
FTP16(铁通北分网络FTP站点)
地址:&nbsftp://ftp.crcbj.com ;
帐号: crcbj 密码: crcbj
山东大学2003年本科教学优秀课件 ftp://202.194.14.235/ecourse/
主机名: ftp.gdut.edu.cn
用户名: gdut
密码: 2003gdut@ftp
端口: 21
最多容许 250 位使用者同时在线。 最大下载速度为50
人较多,可上
ftp地址 名字 内容 速度星级
ftp://202.115.112.29 光华影院 有很多电影、音乐、工具
★★★★★
ftp://202.112.94.136 北京师范大学 有音乐、游戏、软件,好象没有电影 ★★★★★
ftp://162.105.106.11 音乐、游戏、电影、软件、书 、MTV ★★★★★
ftp://202.205.10.22
电影、音乐、软件、很多游戏 ★★★★
ftp://210.36.80.51 Gxtc 电影、音乐、游戏 ★★★★
ftp://166.111.168.118 清华大学 音乐…… ★★★
ftp://166.111.168.168 清华大学 动画、音乐、书
★★★★
ftp://166.111.168.18 清华大学 电影、音乐 ★★★★
ftp://166.111.168.6 清华大学
动画、音乐、游戏、软件 ★★★★
ftp://162.105.108.46 小屋 电影、音乐、书籍 ★★★
ftp://162.105.92.40 北京大学 mp3、mtv、flash、少量电影 ★★★
ftp://162.105.90.53 北京大学
mp3、mtv、大量软件、game、少量电影 ★★★★
ftp://162.105.56.6 北京大学 有很多电影,值得一看 ★★★★
ftp://162.105.90.54 北京大学 mp3、mtv、flash、少量电影 ★★★
ftp://162.105.37.231 流云坊
有大量电影,而且比较新,还有很多音乐 ★★★
ftp://162.105.43.253 北京大学 有不少电影,分类比较清楚 ★★★★
ftp://166.111.65.6 清华大学 有非常多电影 ★★★★
ftp://166.111.174.33 清华大学
有电影很音乐,电影非常多 ★★★
ftp://166.111.162.27 清华大学 没什么电影,但软件真的很多 ★★★
ftp://166.111.168.8 清华大学 有大话西游的DivX版 ★★★
ftp://166.111.60.159 清华大学 电影很少
★★
ftp://202.112.94.136 北京师范大学 有很多东西,不过没有电影 ★★★★
ftp://202.112.105.119
北京邮电大学 有
十多部电影、还有书、软件、字体库等 ★★★★
ftp://tracy.bupt.edu.cn 北京邮电大学 有很多东西,不过好象没有电影
★★★★
ftp://202.38.240.223 华南理工大学 音乐、书籍、墙纸、少量电影、其它 ★★★
ftp://202.38.248.1
华南理工大学 有十多部电影、音乐和其它东西 ★★★
ftp://ftp.lib.pku.edu.cn 很多东西,电影也不少 ★★★★
ftp://ftp.nju.edu.cn 没什么电影,但还有很多其他东西 ★★★★★
ftp://ftp.xjtu.edu.cn 西交
电影非常多,还有很多东西。 ★★★★★
ftp://vod.sjtu.edu.cn 上海交通大学 电影不少,不过是拼音命名的。 ★★★★
清华大学&nbsftp://www.lib.tsinghua.edu.cn ; ftp://ftp.net.edu.cn
;
北京大学&nbsftp://www.lib.pku.edu.cn ; ftp://ftp.pku.edu.cn ;
北京邮电大学&nbsftp://ftp.bupt.edu.cn ; ftp://ftp.buptnet.edu.cn ;
华中理工大学&nbsftp://ftp.whnet.edu.cn ftp://nlcc.hust.edu.cn
ftp://dlbftp.dhs.org ftp://202.114.22.148 ftp://iprai.hust.edu.cn
ftp://ia.h
ust.edu.cn
暨南大学&nbsftp://202.116.9.61 ;
ftp://202.116.9.59 ;
大连理工大学 ftp://ftp.dlut.edu.cn ;
上海交通大学
ftp://ftp.shnet.edu.cn ; ftp://mssite.sjtu.edu.cn ;
同济大学
ftp://ftp.tongji.edu.cn ;
河北师范大学的FTP
地址:ftp.hebtu.edu.cn
用户:movie
密码:movie
端口:21
西安电子 ftp://202.117.35.170
内有大量资料
ftp://202.117.35.170
成都理工大学的ftp
里面有很多unix和linux的资料和系统及工具哦~~~
速度不错~~~~~强烈推荐!!!! ftp://ftp.cdut.edu.cn/
南开大学数学学院匿名ftp
ftp://ftp.math.nankai.edu.cn/
山东大学软件学院教学课件ftp ftp://211.87.226.11/Downloads
ftp://211.87.226.11/skonline/study
没有密码,希望大家喜欢
北京信息工程学院
ftp://pubftp.biti.edu.cn/ ftp://ftp.biti.edu.cn/
上海理工大学ftp
ftp://202.120.223.50【软件、学习】
用户名:download
密码:usstdown
南开大学数学学院FTP服务器
匿名 ftp://202.113.29.4
清华大学FTP ftp://ftp.tsinghua.edu.cn
南大的三个ftp ftp://ftp.nju.edu.cn ftp://ftp2.nju.edu.cn/
ftp://thephy.nju.edu.cn/
扬州大学ftp服务器 ftp://202.195.62.11
不用密码
中山大学
ftp://ftp.zsu.edu.cn
中南工业大学 ftp://ftp.csut.edu.cn ;
广东大学FTP站点
主机名:&nbsftp://ftp.gdut.edu.cn
用户名: gdut
密码: 2003gdut@ftp
端口:
21
同济大学ftp ftp://plinux.org ;;24小时开机
匿名,最大用户数100,速度50kb/s。【游戏,教学,软件,电子书籍,音乐,少量动画】
中山大学化学与化学工程学院FTP服务器
ftp://202.116.83.77
西安交大,西工大课件之FTP ftp://www.slsz.com/
匿名登录。
西安交大ftp
主机名:&nbsftp://ftp.xjtu.edu.cn
匿名
端口
集美大学FTP&nbsftp://210.34.132.102 帐号密码:jmu
此FTP站点资料丰富….从学习资料到影视资料….应有尽有…而且下载速度奇快,就算是在下载高峰期里都能保持在60K/S以上….唯一缺点就是人
数太多,很难连.建议大家使用CuteFTP
Pro这个下载软件,在全局设置当中重试时间设置为30秒,重试次数300次以上….
鹭江大学FTP&nbsftp://210.34.212.105 帐号:qq 密码:5510
此FTP学习资料比较多….影视资料相对较少…但这个FTP速度快.是下载资料的好FTP!但一样有很多人连接.就看你好不好运了…
中南大学FTP&nbsftp://202.197.78.128 ftp://202.197.78.129 帐号:jszx 密码:IloveYou
这个FTP连接数设置的比较多.但下载速度却没有下降,缺点就是没把资料整理好.找资料不是很容易….
甘肃联合大学&nbsftp://ftp.guu.gs.edu.cn/
兰州大学&nbsftp://xxxy.lzu.edu.cn/
上海理工大学&nbsftp://202.120.223.50/
帐号ownload 密码:usstdown
复旦大学&nbsftp://sxr.dns0755.net/
西南交大
ftp://202.115.64.163/
---------------------------
ftp://202.115.112.29
;; NEW
ftp://202.112.94.136 ;; NEW
ftp://162.105.106.11 ;; NEW
ftp://202.205.10.22 ;; NEW
ftp://210.36.80.51 ;; NEW
ftp://166.111.168.118 ;; NEW
ftp://166.111.168.168 ;; NEW
ftp://166.111.168.18 ;; NEW
ftp://166.111.168.6 ;; NEW
ftp://202.115.112.29 ;; NEW
ftp://166.111.14.199 ;; NEW
ftp://202.113.29.123 ;; NEW
ftp://210.45.73.21 ;; NEW ftp://210.45.73.10 ;;
NEW
ftp://166.111.172.127 ;; NEW ftp://ftp.lib.pku.edu.cn ;;
ftp://tracy.bupt.edu.cn ;;
ftp://vod.sjtu.edu.cn ;;
ftp://ftp.xjtu.edu.cn ;;
ftp://162.105.108.46 ;;
ftp://162.105.43.253 ;;
ftp://162.105.37.231 ;;
ftp://162.105.92.40
;;
ftp://162.105.90.53 ;;
ftp://162.105.90.54 ;;
ftp://162.105.56.6
;;
ftp://202.112.105.119 ;;
ftp://202.112.94.136 ;;
ftp://166.111.174.33 ;;
ftp://166.111.162.27 ;;
ftp://166.111.60.159
;;
ftp://166.111.168.8 ;;
ftp://166.111.65.6 ;;
ftp://202.38.240.223
;;
ftp://202.38.248.1 ;;
ftp://ftp.nju.edu.cn ;;
ftp://ftp2.nju.edu.cn
电影 FTP
ftp://tom08:271532@218.75.56.218/
华源FTP4
ftp://bbs.xbwm.com:urwekgfdertgfdgodestysd4@ftp4.xbwm.com
数字ftp15(游戏800G)下载帐号
IP:203.175.255.77:5678
ID:www.5286.cn
PASS: 更多精彩请访问网站
91论坛FTP
FTP地址:
218.66.102.120
用户名: bbs.91.com
口令: bbs.91.com
端口: 21
蓝魂主力FTP50K下载账号
地址:ftp://ftp.bluesma.com:3131
账号:蓝魂主力服务器
密码:http://bbs.bluesma.com
单程线,限速50K,不定时更新密码
蓝魂03号FTP50K下载账号
[RMVB、综艺、连续剧]
地址:ftp://ftp03.bluesma.com
账号:蓝魂03号服务器
密码:http://bbs.bluesma.com
单程线,限速50K
Q族部落60K帐号
FTP下载地址:218.108.38.100
端口:22
用户名称 www.qzone.cn
密码 qzone.cn#5145
顶好sitcom3
0威望下载帐号,单线50k,list
服务器: sitcom3.movieftp.net
端口: 21
用户名: bestmovie.cn.lxj.0ww
密码: zsgnbsr23980os
简单些:
ftp://bestmovie.cn.lxj.0ww:zsgnbsr23980os@sitcom3.movieftp.net
音乐视频ftp
ftp://221.229.250.118
port 21
uesr www.99share.com
password www.99share.com
冰波FTP服务器
地址:ftp://ftp.bingbo.net
用户 down-bingbo
密码为: VT344202
热门游戏
内容:游戏
容量:800G
带宽:100MB
人数:30人
限速:100K/s/进程
IP:203.175.255.77:5678
ID:www.5286.cn
PASS:
更多精彩请访问网站
新空网主力FTP2帐号50K
ip:ftp2.skysg.net
端口:211
帐号:SKYSG-FTP2
密码:uskdjfie98sdf-asdfj383jgb
连续剧服务器3
0威望下载帐号,单线50k,list
服务器: sitcom3.movieftp.net
端口: 21
用户名:
bestmovie.cn.lxj.0ww
密码: zsgnbsr23980os
环球影库
地
址:159.226.8.143
端 口:21
用户名:http://bbs.8002172.com
密 码:新建论坛欢迎光临
有LIST权限
支持50人在线
单线程下载
三峡视窗FTP
IP: 219.153.2.116
端口:21
帐号:www.dy8.com.cn
密码:不要盗联我们的密码
顶好影线RMVB2服务器
ftp://rmvb2.movieftp.net:21
0威望下载帐号,单线50k,list,40用户
用户: bestmovie.cn
密码: UGKBHF^
RMVB服务器1
ftp://rmvb1.movieftp.net:21
0威望下载帐号,单线50k,list,40用户
用户: bestmovie.cn
密码: bestmovie.cnsalkj;632
鸭子的FTP
IP:www.yayadownload.com
帐号:www.yayadownload.com
密码:我爱www.yayadownload.com
GwszBbs音乐FTP私人收藏
服务器:gwszmusic.3322.org
用户名:G.W.S.Z_down
密 码:GwszBbs音乐影视收藏
端 口:22
下载速度均为 100K/S
本帐号限制同时下载100人,如过连接不上请少后连接。
列表用户:用户跟密码都是 list
酷愚综艺FTP
下载速度为50KB/s乘2线程!请不要使用被动模式下!
IP:61.155.39.156端口21
用户名:30home.com
密码:0123456789
新空网主力FTP1帐号50K
ip:ftp1.skysg.net
端口:211
帐号:SKYSG-FTP1
密码:8sfh38sf3-sfjag83hga
新生代主力服务器
服务器会每隔120分钟自动踢一次
服务器:61.139.60.201
用户名:downmov
密 码:h53hgedgfs
端 口:21
冰波FTP服务器
地址:ftp://ftp.bingbo.net
用户 down-bingbo
密码为: VT344202
aimy 于 2005-08-31 00:05 AM 发表评论:
FTP帐号定期更新了【08月30日】FTP更新新动感游戏、软件、学习服…
FTP帐号定期更新了
【08月30日】FTP更新
新动感游戏、软件、学习服务器
新动感游戏、软件、学习服务器
服务器地址: 61.132.72.45
用户名: www.cooljs.net.soft
passwd: pcbd75d8
端口: 21
传输类型: pasv
RMVB1双线160k
ftp://rmvb1.movieftp.net:21
用户:
bestmovie.cn.3WW
密码: !”;n./430hsjr
新动感F1服务器
服务器地址:
61.132.72.38
用户名: www.cooljs.net
密码: ck1ejyf2
端口: 21
传输类型: PASV
风月无边
ftp://风月无边bbs.chinazt.net:有贡献才有享受!@218.75.63.204/
新动感F4(特)服务器
服务器地址: 61.132.72.45
用户名:
www.cooljs.net.f
passwd: uhi3aiis
端口: 21
传输类型: pasv
学习FTP高级帐户
ftp://tlfadv:v4f5g65y@221.12.78.185:8028
RMVB2双线160k
ftp://rmvb2.movieftp.net:21
双线160k,list,30用户
用户: bestmovie.cn.3ww
密码: SUFc@!fdasio90
吃协主力影视服务器50k
地址:61.152.144.228
端口:2100
帐号:
bbs.cnool.net.cn_50K
密码: 论坛需要大家多多宣传
E时代
地址:ftp4.e-shidai.com
端口:999
用户名:www.e-shidai.com/bbs
密码:雨不停的下
ftp://dvdrip1.movieftp.net:21
用户名:
bestmovie.cn.hww
密码: bbs.bestmovie.cn554IKGyFUF
天香小筑
www.txxz.com_rmvb_100@221.242.59.244:3000″
target=”_blank”>ftp://txxz_out_cuntry_ftp244:www.txxz….242.59.244:3000/
新荧火虫综艺节目,3线程,每线程33K
地址 :ftp1.yhcmovie.com
用户名:www.xyhc.com.vip01
密码 :gdfgd3636343
端口 :21
有LIST
天堂rmvb威望帐号
ftp://rmvb2.xn99.com:5566
1威望帐号:tt_01_xn99
1威望密码:bbs.xn99.com需要您的支持
天堂连续剧威望帐号
ftp://FTP4.xn99.com:21
1威望帐号:tt_01_xn99
1
分类 : 娱乐休闲 | 发表时间 21-03-2006
VeriSign的首席安全专家Ken Silva表示,这种新的拒绝服务攻击第一次出现是在去年12月底,并在一月迅速恶化,但四周前开始慢慢减弱。他透露,在不到两个月的时间里,就有1,500个独立的IP地址受到这种方法的攻击。他表示,这种攻击比以往所见的任何拒绝服务攻击都明显要严重很多。
通常的拒绝服务攻击都是利用网络上数量众多的傀儡机(被控制的电脑)来对某个网络服务器或者邮件服务器等进行洪水式的访问,以造成目标机器的瘫痪。而这种新出现的拒绝服务攻击是把带有指向攻击目标返回地址的请求发给DNS(域名服务器)。这样,DNS服务器就会对目标机器进行直接的攻击,而不是黑客所控制的傀儡机。这样的结果是,它的攻击比以前更加强并且更难制止。
Silva表示,对于以前的拒绝服务攻击,由于是傀儡机进行攻击,所以可以通过屏蔽傀儡机的IP地址来阻挡攻击,但实践证明,要屏蔽DNS的请求要难很多。他提醒道,作为一个可能的解决方案,企业应该重新配置他们的DNS服务器以阻止这种所谓的递归名字服务功能(Recursive Name Service)。不过他补充道,很多公司都可能不希望阻止潜在的客户,合作伙伴,研究人员和其他人向他们的DNS发送请求。
中国可生气的事数不胜数,不到忍无可忍,谁也不愿动肝火,到今天为止,我投诉互联互通问题刚好满一年,在此正式宣布投降,本文列举的两大电信运营商的七大罪状全是我亲身经历,作为庶民,我很生气,但后果一点也不严重,因为我连选择的余地都没有,当你厌倦了一个运营商想选择另一个时,却发现他们位于长江的另一边。
1. 互联不互通
这个问题之经典,随便在长江南北找个人问问都知道,首先,这不是技术问题,如果说中国的软件和芯片行业比国外弱我信,互联网方面的技术,全球基本是一致的,说白了,诞生于上世纪中页的互联网从来都不是一个技术含量很高的东西,两大运营商有足够的能力将这件事做好,互联互通问题就象两个人对着头挖隧道,他们宁肯挖成两条隧道,也不肯在中间对接,最终,中国铺设了全世界最庞大的光缆系统,但这些光缆却没有给我们贡献多少实用的带宽,你打 10060 或 10000 抱怨网速,他们会信誓旦旦地说网速没有问题,你去桃花源找部电影看看慢吗,你访问新浪看看慢吗,诸如此类,在很多人看来,上网就是去看盗版电影或者浏览八卦新闻,但互联网上有无数的应用,很多应用需要全程带宽的支持,如果某个接点出现瓶颈,你没有权利说那是别的运营商的问题,即使是,你也有义务去协调,事实上互联互通问题已经存在了四年的时间,这四年,各大门户自己搞了负载均衡,下载站点开设了镜像,网吧开通了双路,倒霉的是家庭和企业的宽带用户,在这方面,你几乎没有任何可以做的事,网通和电信是不受理互联互通投诉的,他们会将你的问题混淆,转移,实在躲不过,就推给北京的高层。
关于互联互通问题在中国已经严重到什么程度,我举一个例子,我的公司在青岛和广州分别有多台服务器托管在电信和网通的机房,其中青岛的服务器使用双 IP,一个 IP 属于网通,另一个属于电信,使用青岛网通的 IP PING 广州电信的服务器,时延是 700ms,改用电信的 PING,时延马上缩短为 10ms 以下;现在,我用青岛网通的 IP PING 同一个机房中使用电信 IP 的服务器,时延是 600ms,同一个机房的两台服务器位于同一个机架,它们之间的物理距离只有王家卫的 0.01 公分。另一个例子,为了远程登陆我广州的服务器,我需要首先登陆位于澳门的另一台服务器,再跳到广州,这样连接的速度,是直接连接的 20 倍。关于互联互通,网通的一个客服曾说过一句很经典的话,“陈天桥比你厉害吧,他的网络游戏公司也得接受这个现实。”
2. 成为瓶颈的国际端口
中国是鼓励老百姓老老实实待在家里,没事不要出门的,但互联网是一张全球的网,理论上没有地域概念,在国际互联网中,你没有办法独善其身。从 2005 年以来,我一直向网通抱怨国际端口瓶颈问题,但网通一直都在热火朝天地忙他们的宽带中国,在网通的一些视频点播网站,你差不多能用一两个小时就下载一部大片,却无法在同样的时间内从国外的服务器上收下一封几十K的邮件,同时,我的用户在国外出差的时候,半夜给我打电话,抱怨无法收邮件,而他们用远程技术登陆他们的办公室网络的时候,速度只有几百字节,相当于九十年代中期拨号的速度,网通的客服对这个问题的解释永远是爱国的,那就是,肯定是国外的网络出了问题,在网通看来,国外大概落后得不得了,为了证明国际端口的瓶颈问题,我特地在电信和网通的两个网络上做了一个测试,众所周知,电信的国际端口要快很多,我从广州向澳门(澳门是中国领土不可分割的一部分)做了一个 tracert,发现数据包先是传到北京,再从北京传到澳门,其中最大的一个越点时延是 4ms;同时,从青岛向澳门同一台服务器做了另一个 racert 测试,数据包也是先到达北京,再去澳门,而在这个 trace 中,最大的一个时延为 890 ms,这个延迟所在的越点正好位于北京和澳门之间。
3. 关公战秦琼
让多个运营商展开竞争,以提高电信服务质量,是当初电信拆分的初衷,这没有错,问题是,既然要竞争,为什么不放在同一个地区短兵交接,却让他们一南一北隔江而治,这中间信产部当然难辞其咎,但两大运营商也不该将错就错,偏安一方,电信拆分已经四年多了,中国的电信用户在资费和服务方面并没有得到多大的改善,与这种荒唐的竞争方式有直接的关系,在北方,如果你对网通不满,你唯一能做就是继续不满,并没有多少电信的网络资源供你选择,所以,如果你想对网通发火,最好先到楼道里看看那里有没有电信的接入盒,如果没有,赶紧收声吧。然而,如果你因此说网通的服务差,那也不对,事实上,网通的服务很到位,10060 基本随时可以接通,人工座席的声音也算甜美,一个服务请求一般会招来三到四个回访电话,这点和海尔颇有一拼,但海尔的皮毛好学,精髓难通,海尔在服务的时候基本不回避问题,他们的客服对任何问题都能说到点上,网通的客服却总是先将自己撇清。
4. 唯利是图与泼脏水倒掉孩子
电信和医疗教育一样,是国家垄断的公众资源,要求运营者拥有一定的社会责任,但网通和电信显然都掉进了钱眼,只要肯付钱,你做什么他们并不关心,这就是中国成为垃圾邮件天堂的原因。在世界几大反垃圾邮件组织(如 SORBS 和 ABUSE)的黑名单中,中国有成段成段的 IP 被列入,广州电信 IDC 的 IP 段在 2004 年曾被全球的邮件服务器抵制,我曾经多次给 SORBS 发邮件解释这个问题,也曾向香港的一家 ISP 交涉,在那段时间,我的用户几乎没有办法向国外发信,他们只要一听到广州电信 IDC 就连声说 NO,如今,广州电信又走入另一个极端,他们决心整治垃圾邮件服务器,整治的办法就是让非法与合法的邮件服务器一起玉石俱焚,大家知道,出于反垃圾邮件考虑,很多邮件服务器使用了反向 DNS 查询机制,以确认邮件的来源是否合法(因为 SMTP 协议是没有办法知道邮件域名和地址是否是伪造的),这就要求为你的邮件服务器的 IP 地址添加一条 PTR 记录,广州电信已经不受理这种业务了,即使受理,费用也高达 200元每月,厚黑到无以复加的程度。
5. 事上而媚者必临下而骄
企业和用户站在一起天经地义,因为你收了用户的钱,政府出于利己因素对国际互联网进行限制也无可厚非,但政府不是行业专家,作为电信运营商,你完全可以凭借自己的专业知识影响政府的决策,比如对国外某些站点的屏蔽,据我所知,很多被屏蔽的资源其实并没有什么问题,比如 wiki 和 dyndns,它们是纯粹的技术和文化性站点,即使有点杂音,也瑕不掩瑜,政府要实行屏蔽,首先要电信运营商合作,完全可以想象,网通和电信高级官僚是以怎样的媚骨迎合政府官员,没准还额外饶上几个。当你发现某些国外的站点无法访问的时候,你唯一能找的就是运营商,但他们根本提供不了任何帮助,他们首先要让他们的上级舒服,至于用户,先站一边吧。 wiki 无法访问已经超过半年了,顺便纪
分类 : 技术文摘 | 发表时间 16-03-2006
在使用电脑的过程中我们会遇到很多的问题,烦人的广告窗口不停的弹出;不停的在多套网络配置中切换;时常忘掉备份网络中的关键数据;加密的文件夹由于误操作无法打开。你想过没有以上这些问题都可以通过一个小文件解决?你甚至可以借助它解决几乎所有在使用电脑时遇到的问题。它就是功能强大的bat文件。
一、查漏补缺——给系统功能添把火
我们的操作系统虽然功能强大,但是在某方面的应用上依旧存在欠缺,如:没有定时关机软件。而用bat文件可以解决很多这类问题。
1.关机与重启
我们先做个让电脑在每天指定时间关机的bat,具体方法如下:
打开附件中的记事本,然后在里边写入,at 22:00 shutdown -s -f,然后选择“文件→保存”,保存类型选择“所有文件”,然后将其命名为:shutdown.bat。如果你希望每天都在晚上十点关机,则将这个文件拖动到“开始→程序→启动”中,这样每次开机该文件都将被执行,其具体含义是,at 22:00在每天十点,shutdown -s -f关机且关闭所有未响应程序。
如果你需要经常重启机器,可以编写一个快速关机的bat文件,还是打开一个记事本,写入:
@echo off
//关闭命令行显示
%systemroot%\system32\shutdown -r -t 0
//-r参数表示重启计算机,-t表示时间后边跟随等待秒数,为0则表示马上重启
2.磁盘整理
Windows XP自带的磁盘碎片整理程序无法进行全盘整理,我们可以编写一个全盘整理的bat,在记事本里边输入:
defrag c: /f /v
defrag d: /f /v
//有几个分区就写几行,其中-f表示即使可用磁盘空间不足,也强制进行磁盘整理。-v表示显示整理结果。
将这个存为bat文件,再双击即可。如果你嫌整理的时间太长,不愿意在一旁守着,可以在文件的结尾输入:shutdown -s -f,让其执行完关机即可。
二、一律从简——让网络操作变轻松
访问共享文件夹、备份网络数据、切换网络配置等常规网络操作,如果采用传统做法,实在是费时费力。用bat文件,一切将可以简化为一个双击动作。
1.备份还原网络配置
对于经常使用笔记本电脑在两地上网的朋友,切换网络配置就成了家常便饭,总是该来该去实在麻烦,用bat文件可以使一切都变得简单。
首先选择“开始→运行”,输入:cmd,回车后进入命令行界面,然后输入:netsh -c interface dump>d:\home.txt,回车后,系统将会把你当前的网络配置备份到d盘的home.txt文档中。
然后开始编写bat文件,只有简单的一行:netsh -f d:\home.txt,保存为bat文件,以后双击该文件就会应用home.txt中的网络配置。如果你觉得两个文件烦,也可以将两个文件写成一个bat文件:
@echo off
netsh interface ip set address name=”本地连接” source=static addr=10.10.10.1 mask=255.255.255.0
//设置本地连接的ip地址为:10.10.10.1,子网掩码为:255.255.255.0
netsh interface ip set address name=”本地连接” gateway=110.10.10.2 gwmetric=0
//设置网关
netsh interface ip set dns name=”本地连接” source=static addr=10.10.10.3 register=PRIMARY
//设置主dns
netsh interface ip add dns name=”本地连接” addr=10.10.10.4
//设置备份dns
netsh interface ip set wins name=”本地连接” source=static addr=none
//设置wins
2.在局域网中群发信息
如果你局域网中的机器没有禁止信使服务的话(启用方法为:在“运行”里输入:services.msc,双击里边的Messenger,选择启用即可),当需要定时向全网发送消息时,完全可以用批处理文件实现,实现方法是:
rem 准备发布“9点断网”给局域网所有计算机
//显示在bat运行前,起到提示作用
pause
//暂停运行,按任意键继续,如果需要定时运行,则不要此段
net send * 9点断网
//发送下“9点断网”的信息,网段中所有的机器,“*”表示所有的机器
将其保存为bat文件,双击后得到所示的效果。再按键盘上的任意键,信息将被发送到全网。如果你希望它定时发送,则将pause字段去掉,然后将其加入到计划任务中即可。
3.打开或关闭网络共享
当你需要共享某个远程的文件夹时,总要跑到本地去操作,如果数量众多,就有可能跑断腿,我们可以编写一个自动共享硬盘的bat文件,将文件发给用户,只要其双击该文件,即可实现共享的目的。
@echo off
echo REGEDIT4>c:\1.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\E]>>c:\j.reg echo “Flags”=dword:00000102>>c:\j.reg
//Flags用于是确定共享目录的访问方式,其中”Flags”=dword:00000102是完全共享,101是只读,103是根据密码访问。
echo “Parm1enc”=123:>>c:\1.reg
//Parm1enc键值保存着完全访问方式下的密码
echo “Parm2enc”=456:>>c:\1.reg
//Parm2enc键值保存着只读访问方式下的密码
echo “Path”=”D:\”>>c:\1.reg
//Path键值是共享文件夹的路径
echo “Remark”=”我共享了你的D盘”>>c:\1.reg
//Remark键值是备注
echo “Type”=dword:00000000>>c:\1.reg
REGEDIT /S c:\j.reg DEL c:\j.reg cls exit
用户运行这个bat文件后,再注销一下,文件夹就会被共享出来了。如果你每天都需要访问某个共享文件夹,且这个共享文件夹设置了密码,你还可以让bat文件帮你在开机的时候先输入密码,你再访问时就只需要双击打开即可。输入:net use \\192.168.0.1\IPC$ “1234″ /user:”administrator,这个表示访问PC机192.168.0.1上边的共享文件夹,用administrator用户,密码为:1234。将其保存为bat文件,并将其加入到启动组中即可。
共享文件夹管理不当,会产生严重安全隐患,所以有时为了安全,需要批量卸载掉共享文件夹,其实只要将命令:net share c$ /del加入到bat文件中即可,其中c$为共享文件夹的名字,完整的例子可以到XXXX下载。
4.备份网络数据
你还可以利用bat文件将数据备份到局域网内的某台文件服务器上,这样就省去了复制粘贴的麻烦,具体做法是:
set source=e:\work
//文件来源为本机e盘的work文件夹
set dest=\\192.168.0.1\backup
//目标文件夹为PC机192.168.0.1的backup文件夹
net use \\192.168.0.1\IPC$ “1234″ /user:”administrator”
xcopy %source% %dest% /e /v /r /y /z
//将源盘文件拷贝到目的服务器
将其保存为bat文件,以后只要双击此文件即可完成备份任务。
分类 : 系统安全 | 发表时间 10-03-2006
1.什么是透明代理?
如果你问:我如何才能使得用户的浏览器不需要任何代理设置就能使用我的Squid cache代理服务器上网?此时你就需要使用透明代理。透明代理让你的客户端不需设置任何代理,当包经过透时代理服务器时实际上被重定向到squid代理服务器的代理端口(如8080),即由本地代理服务器向外请求所需数据然后拷贝给客户端。
2.我需要什么样的环境才能实现透明代理?
a.客户端的windows PC的网关必须设成Squid代理服务器,因为既然你的browser中没有任何代理设置,你要访问某个站点时,包必须经经过squid代理服务器才能被重定向,故这是最基本的条件。
b.客户端必须正确设置DNS服务器。因为既然现在不用设置任何代理。则DNS必须由browser来解析,也就是要由客户端的PC中TCP/IP中设置的DNS服务器来正确解析出某个站点的IP地址来。
c.服务器端可以安装squid代理服务器,1.x or 2.x版本均可。
3.配置Squid代理,启动透明代理功能
Squid-2
加下面的行到你的/etc/squid/squid.conf中
http_port 8080
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Squid-1.1
加下面的行到/etc/squid.conf
http_port 8080
httpd_accel virtual 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
4. 重启动squid. 用下面的命令:
#/usr/sbin/squid -k reconfigure
如提示内核不支持透明代理。则你需要重新编译内核,enable 透明代理的支持。
下面是你需要启动的内核项目:
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
5. 下面的命令针对Linux 2.2.x内核:
# Accept all on lookback
/sbin/ipchains -A input -j ACCEPT -i lo
#Accept my own IP, to prevent loops (repeat for each interface/alias)
/sbin/ipchains -A input -j ACCEPT -p tcp -d 192.168.11.1/32 80
#Send all traffic destined to port 80 to Squid on port 80
/sbin/ipchains -A input -j REDIRECT 8080 -p tcp -s 192.168.11.0/24 -d 0/0 80
下面的命令针对Linux 2.0.x内核:
# Accept all on loopback
ipfwadm -I -a accept -W lo
# Accept my own IP, to prevent loops (repeat for each interface/alias)
ipfwadm -I -a accept -P tcp -D 192.168.11.1/32 80
# Send all traffic destined to port 80 to Squid on port 3128
ipfwadm -I -a accept -P tcp -S 192.168.11.0/24 -D 0/0 80 -r 8080
6.应注意的问题:
a. 这种透明代理只能针对http协议,不能针对FTP协议
b. PC的默认网关应设成squid 代理服务器
c. 防火墙重定向规则在其它的input规则的前面,注意顺序。
如:
/etc/rc.d/rc.firewall:
#!/bin/sh
# rc.firewall Linux kernel firewalling rules
FW=/sbin/ipfwadm
# Flush rules, for testing purposes
for i in I O F # A # If we enabled accounting too
do
${FW} -$i -f
done
# Default policies:
${FW} -I -p rej # Incoming policy: reject (quick error)
${FW} -O -p acc # Output policy: accept
${FW} -F -p den # Forwarding policy: deny
# Input Rules:
# Loopback-interface (local access, eg, to local nameserver):
${FW} -I -a acc -S localhost/32 -D localhost/32
# Local Ethernet-interface:
# Redirect to Squid proxy server:
${FW} -I -a acc -P tcp -D default/0 80 -r 8080
# Accept packets from local network:
${FW} -I -a acc -P all -S localnet/8 -D default/0 -W eth0
# Only required for other types of traffic (FTP, Telnet):
# Forward localnet with masquerading (udp and tcp, no icmp!):
${FW} -F -a m -P tcp -S localnet/8 -D default/0
${FW} -F -a m -P udp -S localnet/8 -D default/0
Here all traffic from the local LAN with any destination gets redirected to the
local port 8080. Rules can be viewed like this:
IP firewall input rules, default policy: reject
type prot source destination ports
acc all 127.0.0.1 127.0.0.1 n/a
acc/r tcp 10.0.0.0/8 0.0.0.0/0 * -> 80 => 8080
acc all 10.0.0.0/8 0.0.0.0/0 n/a
acc tcp 0.0.0.0/0 0.0.0.0/0 * -> *
