可以在墙内播放与下载 Youtube 视频,支持 Google 搜索,有广告。来源:http://www.qiangwaiba.net/安全性未知,请谨慎使用。墙外吧 ( www.qiangwaiba.net ) 成立于2016年1月,为广大网友提供各大知名网站的视频搜索、观看和下载,以及网页搜索服务。更新历史2016年4月24:增加字幕下载选项。2016年4月10:视频搜索增加过滤选项。2016年3月22:优化线路,新增香港线路。2016年3月01:支持Youtube播放字幕,包含YouTube自动生成和翻译的字幕。2016年2月23:支持Youtube下载。2016年2月18:支持视频观看时多线路选择(目前支持:日本/美国/香港)。2016年2月15:支持视频评论。2016年2月08:支持Google搜索。2016年1月16:网站正式上线,支持YouTube视频的搜索和观看。捐赠支持本站支付宝扫码:QQ群交流群号:421905939 翻墙技术博客订阅地址及社交帐号
阅读更多三年前斯诺登泄密事件揭露的东西,从安全的角度看对互联网服务提供商来讲并没有太多的帮助,甚至可以说做的有些过火。同时也模糊了反恐政策的概念。而当新闻爆出像NSA的Vulcan数据库或者它的Diffie-Hellman策略时,任何一个网络隐私主义者看过了都会心中发颤。突然间似乎每个人都需要重新评估下某些网上用于保持隐私的工具——VPN。来源:http://www.freebuf.com/articles/network/106346.html参考来源:http://arstechnica.com/security/2016/06/aiming-for-anonymity-ars-assesses-the-state-of-vpns-in-2016/2/传统VPN简介VPN(虚拟专用网络),这款工具通常用于混淆用户的IP地址,或在用户进行WEB浏览时增加一层安全保护。它会把你的流量转到加密且安全的VPN服务器上。不同的人使用VPN的目的也不同,有些人可能是用它来改变自身的IP地址,这样就可以获取一些其他地域的媒体内容,或者能匿名下载一些东西。还有的人希望以此规避广告商的网络追踪,或者防止盗用WIFI后的负面影响,甚至只是为了在他们访问特定网站时隐藏真实的IP地址。然而VPN的质量也是参差不齐的。事实上某些存在问题的VPN会让用户的安全更加脆弱。某些VPN是禁用了torrent下载的,还有些会记录下信息,跟踪上网行为,或者按照当地的法律对数据进行保留。去年我开始尝试整理一份好的VPN列表,虽然网上已有不少类似的VPN清单,但是通常都充斥着附加内容链接,很难确认其准确性。这份VPN比较图表,里面概述了VPN业务流程、日志记录、服务配置和其他特性。但它存在矛盾策略,并误导读者,声明各类的服务是100%有效的。但其实大部分内容是从真实的VPN网站导入的,这就意味着可能会混入一些错误信息。几个月的研究后,笔者的尝试都失败了。所以现在笔者仍然不能推荐一组安全的VPN列表给大家。相反的是,研究结果刷新了笔者对目前VPN的三观。当涉及到日志记录的时候,评估可行性和验证准确性也不是件容易的事,所以,我觉得与其给大家一个简单的列表,还是提供一些指导方针更加靠谱,让大家自己了解在本年度哪些VPN是有效可用的。VPN不是用来匿名的关于VPN的一个常见的误读是:它们会给大家提供匿名功能,即使是针对民族主义者。但是,安全研究员Kenneth White表示:“如果政府对目标进行专门的监测追踪,VPN是不足以做到这一点的。”事实上,VPN声称的会给提供用户匿名性,是“不可行的,不负责的,或者两者兼备的”。DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者:“为了实现匿名去使用公共VPN是非常愚蠢而危险的,无论服务配置的有多么安全,匿名技术本身并没有在这里实现。VPN服务要求你信任他们,但匿名系统本身是没有这个属性的。”White没有坚持完全放弃VPN,但是他警告说它应该作为一个辅助工具,而不是一个隐私的解决方案,他表示:“相反,像专门的隐私工具如Tor浏览器之类的(里面可能包含了信用良好的VPN),那就是可以使用的。它们不仅实现了匿名化属性,而且浏览器已经进行了大量定制,以实现网络隐私的最大化(比如弱化了cookie、Flash、Java插件等特征)。”Tor分布式网络,会尝试在多个中继传输流量来实现匿名。但其实它也很难进行核实,没有人知道Tor这样是否能够获得百分百成功。Tor浏览器最近受到了美国国防部的瞩目,这只会强化这种担心。某些批评者认为,Tor会让人们更容易依赖过时版本的Firefox,但这些东西都不能保证是万无一失的。Johns Hopkins大学的密码学教授Matthew Green表示:“某些在俄罗斯出口节点的恶意Tor,实际上会偷偷修改二进制文件。所以,如果你不幸在Tor下载文件时碰巧遇到了这些节点,它们可能会将它转换成恶意软件。”尽管Green并没有听说过VPN发生过这样的事,但他指出这样的攻击是存在可能的。与多数VPN不同,Tor和Tor浏览器通常用于高风险的情况,工程师需要迅速修复安全漏洞,这样的方式可能不适用于所有的VPN。用VPN来BT下载安全吗?某些VPN提供商会禁用p2p,如果有必要还会把用户的名字给版权所有者。代表版权所有者的利益的,可能会取消惯犯的账户。希望使用VPN进行torrent下载和流媒体观看的亲们,可以寻找那些特殊的服务提供商(或者不保留日志),但是问题又来了,Campbell表示:“然而,我们并没有办法验证VPN提供商所说的话。大家必须依靠新闻报道和网上论坛的讨论等等,来判断服务提供商的声誉。”看来,必须时刻保持警惕才行。VPN可以“防御”广告追踪?尽管VPN能掩饰你的IP地址,但它不一定能保证你免受间谍广告和追踪的困扰。Campbell表示:“VPN提供的防广告追踪的技术可以忽略不计,因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术,这些东西VPN是无法进行保护的。”为了防止无处不在的广告跟踪,广告阻断器uBlock、uBlock origin,以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护。禁用JS代码,或者使用Firefox下的NoScript可以消除一些指纹。更高级的用户可以使用虚拟机或者沙箱浏览器。当然,Tor浏览器也能防止产生特定浏览器指纹。VPN让你更危险?用户使用VPN的是为了保护自身网络安全,特别是在处于公共WIFI之下的时候。GoGo被爆出使用了Youtube的伪造证书,这可能会泄露用户的流量,包括用户的Youtube密码。因为VPN建立了用户和VPN商服务器之间的通道,所以用户对于VPN提供商的信任非常重要。毕竟提供商能看到和记录你所有的流量,甚至可以更改你的流量内容。一个VPN的配置不当,黑客就可能直接访问你的本地局域网,这比别人在咖啡店网络下,嗅探你的流量更加可怕。“如果VPN服务供应商不老实的话,你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉,若是使用了一个粗制滥造的VPN服务,很可能就会把自己推入虎口。”预共享密钥White提供了一个VPN的列表,在网上已有共享密钥发布:GoldenFrog、GFwVPN、VPNReactor、UnblockVPN、IBVPN、Astril、PureVPN、PrivateInternetAccess、TorGuard、IPVanish、NordicVPN、EarthVPN。“如果我知道了你正在使用的VPN预共享密钥,并且我控制了你所在WIFI的热点,那么就可以进行中间人攻击并且解密你的上网行为。也就是说,当黑客拥有这预共享密钥时,您的网络安全系数就降低了。”PPTP的代替品一些VPN还使用了老掉牙的的PPTP VPN协议,这在根本上就是不安全的。更好的选择包括IPSec(有人积极维护)、L2TP/IPSec、IKEv2以及OpenVPN等等。在上述的几个选项中,IPSec可以设置为不需要安装额外的软件,但有人认为这是故意破坏和削弱NSA(美国国家安全局)的力量。OpenVPN比它还要安全,但是搭建手法更加复杂,需要第三方软件的帮助,以及用户进行正确且复杂的配置。根据High-Tech Bridge最近的研究发现,SSL VPN中,有90%会使用不安全的或者过时的加密。而有77%使用了不安全的SSLv3(甚至SSLv2)协议,76%用了不可信的SSL证书(黑客可以更轻易的进行中间人攻击,拦截VPN连接中的流量),更有一大部分用的不安全的RSA密钥长度的签名,以及不安全的SHA-1签名。不管你信不信,其中还有10%存在心脏出血漏洞。数据保留和日志记录一些VPN会根据本国或当地的法律,进行日志信息保存。而且许多VPN服务提供商会记录大量信息,比如在特定的用户来连接时,是从哪里、从什么时候连上的,甚至还有他们做了哪些连接。甚至有些VPN服务提供商,日志量少时会记录下重要日志,比如连接的IP地址和用户名,以及内部路由使用的内部负载均衡和服务器维护。某些VPN服务提供商的日志记录可能会很快销毁,而其他的由于本地的相关法律,处理方式会有所不同。不管怎样日志里保存的信息都是足以破除用户匿名性的。仔细阅读服务条款会帮助你确定服务商日志维护保留的情况,并可以了解他们会如何使用收集到的信息。但是其中的真伪也很难验证。有人认为进行犯罪活动时VPN也会保护用户的身份,但人家美国政府已经与世界上数十个国家签署了司法互助条约了。泄露用户隐私即使用户已经连上了VPN服务器,但某些发出的包可能没有经过VPN通道进行通信,这就泄露了用户的隐私。Campbell表示:“从技术角度来讲,我认为最被低估的漏洞就是VPN软件客户端的网络信息泄露。严重的时候,它可能会危及用户的生命,许多网络安全和隐私社区已经对此漏洞进行了重点关注。”一些VPN服务提供商设置了规则,在用户出篓子之前,能阻止不安全的连接。比如你首次登入某个WIFI热点,或者从一个热点转入另一个的时候。其他服务商还会允许用户自己设置防火墙规则。2015年6月,罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业VPN服务,他们发现了其中10个会泄露IP的数据,且都会遭受IPV6 DNS劫持攻击。虽然后期研究人员并没有全面复查他们是否修复了,但是也做了一些特别的测试,并发现情况有所改善。但是可能修复了问题后,还存在其他漏洞。伦敦玛丽女王大学的研究员GarethTyson博士表示:“我给大家的建议是,如果你担心被政府监控,你应该全方面使用Tor。”同样,这可能也是一个不完美的解决方案。虽然Tor浏览器提供匿名、规避审查和反监控追踪,但是它并不像VPN一样迅速。更糟糕的是,某些互联网服务提供商会拒绝Tor。营销宣传许多声称安全的VPN服务提供商,其实缺乏可信度。某些VPN服务提供商声明不会记录日志,接受比特币,浮夸地表示他们是军用、政府、NSA级别的加密。而且,VPN不仅仅会存在安全漏洞的问题,还可能是民族主义者的蜜罐,相反,那些事先声明他们的威胁模型,讲清楚能保护的和不能提供保护VPN服务提供商,可能更值得信任。阅读服务条款有时能给用户一个清晰的认识。比如2015年,免费的以色列VPN Hola被发现将用户带宽出售给Luminati VPN。那些想要隐藏IP地址的用户不知不觉就变成了VPN的出口节点和终点(暴露了自己的IP地址,混入了别人的流量)。直到8chan留言板运营商 Fredrick Brennan说,直到Hola用户在不知不觉中被利用来攻击他的网站后,才更新了自己的FAQ。如何寻找可信的VPN看到上面所有的预防措施和VPN说明了吧,靠它们去找可信的VPN靠谱么?VPN服务提供商表示购者自慎。某家VPN服务提供商是否使用了最新的协议,该公司的背景和声誉如何,服务条款是否容易理解,这些VPN 到底能防护什么和未能照顾到什么,它对于信息披露的细节表达了足够诚实吗?抛开这些因素,Campbell建议大家看看公司的行为,他说这可能会显示出一个服务商是否关心客户的隐私。这三年来,他自己也在寻找一个清晰明确的隐私政策,而不是只有样板政策的公司。Campbell警告道:“在斯诺登泄密事件后,过去几年已有了很多廉价的VPN服务提供商。这些新入行的VPN服务提供商在安全方面做的不是很好。许多情况,他们想把部分服务器的主机业务转为带宽业务,但是他们完全没有安全方面的经验。”作为最后一个预防措施,Campbell也在寻找不通过第三方系统捕获用户敏感数据的VPN,他表示:“任何尊重客户隐私的VPN服务提供商,都不会去触碰与客户交互的系统,比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据,但是他们并不一定清楚他们的VPN服务提供商是否单独监控了流量系统。”自己动手,丰衣足食根据你的隐私需求,一个满意的预解决方案可能并不存在。如果是这样的话,懂技术的用户可以自己搭建VPN。如果你的方案里更在意速度,你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。Streisand是在土耳其推特全面被封杀后推出的,它的目的是为了帮助用户绕过互联网封锁。Streisand的Github页面称:“Streisand可以在服务器上搭建L2TP/IPsec、OpenConnect、OpenSSH、OpenVPN、Shadowsocks、sslh、Stunnel,以及Tor桥,它还会为这些服务生成自定义配置指令。”其缔造者Joshua Lund告诉记者,Streisand的目标之一就是使得安装过程尽可能简单。他设想这个开源服务能够成长为一个“集中式知识存储库”,成为一个自动化升级最佳实践的社区。Lund 在邮件中告诉记者:“Streisand将几个最困难的步骤实现了自动化,大大提升了安全性。比如Streisand配置OpenVPN时会启用TLS认证(又名HMAC防火墙)”,生成了一个自定义组的Diffie-Hellman参数,启用了一个更强大的多密钥校验机制(AES-256/SHA-256替代了原来默认的Blowfish/SHA1)。许多用户在手动配置时,其实会跳过这些选择性的耗时步奏。事实上,大多数商业VPN服务商并不启用这些OpenVPN配置。Streisand还有个好处在于,当自动安全更新和安装过程后,约十分钟就能让用户得到一个全新的服务。相比商业VPN服务商,Streisand也不太可能成为审查、DDoS或者流媒体封锁的目标。像大多数VPN一样,Streisand会不同。在2016年考察这些产品后,我们只得到一条准则:寻找VPN决定于你使用它的第一目的。寻求对自身网络安全进行保护的用户,与那些想隐藏自己真实地址的用户目的是不同的。意识到VPN的局限性和具体的弱点缺陷,至少可以帮助你做出一个更明智的复杂决定。翻墙技术博客订阅地址及社交帐号
阅读更多支持国内Chrome/360/QQ/猎豹/UC等主流浏览器,一键翻墙免配置插件,免费使用。来源:http://speedplus.org/插件下载地址:http://speedplus.org/ext/speedplus_1.0.7.crx谷歌应用店地址:https://chrome.google.com/webstore/detail/speedplus-vpn-%E9%AB%98%E5%93%81%E8%B4%A8vpn%E6%9C%8D%E5%8A%A1/fiddahcmipladlobggbjojeimokalcnjSpeedplus VPN,稳定和便捷的VPN服务.多国线路,百兆带宽,不限流量速度,可单独安装使用。免费使用!安装后默认开启无需要任何操作。目前支持国内众多主流浏览器,体验最佳推荐使用Chrome浏览器!版本:1.0.7 大小:569Kb 更新:2016-06-10 支持:Chrome/360/QQ/猎豹/UC等浏览器 安装图示1、以Chrome浏览器为例,按照下图所示步骤,进入浏览器的扩展程序(chrome://extensions/)界面;2、将下载的插件文件拖到Chrome浏览器 插件管理界面中去,进行安装;3、浏览器会弹出安装插件的提示,点击”添加扩展程序”;4、安装完成后,扩展管理中就可以看到插件了。右上角闪电图标可以快捷打开插件。翻墙技术博客订阅地址及社交帐号
阅读更多开眼是史上操作最简单速度最快最稳定的一款科学上网Chrome浏览器翻墙插件,一键安装,即装即用,无需任何繁琐设置,科学上网,翻墙必备,轻松快速稳定浏览google,facebook,twitter,youtube等海量国际网站,开眼,让你看清这个世界。来源:http://www.jianshu.com/p/2d266876b8ee谷歌网上应用商店:https://chrome.google.com/webstore/detail/%E5%BC%80%E7%9C%BC/kpamljbkjaaljbcgobdealnpalcgicna?hl=zh-CN墙内下载:http://pan.baidu.com/s/1miChczm ,密码:jzhp 最近突然迷上美国的脱口秀节目《艾伦秀》,Ellen的轻松幽默和吐槽恶搞无底线简直让人欲罢不能,无奈爱奇艺更新太慢,每次跟美国的播出日期迟了近两周才上线,等得我心累啊,无奈中听到有朋友说可以去youtube上,说播出当天就更新了,赶紧输入网址。。结果大家也都知道,哒哒。。你所输入的网址无法打开。。心碎中发了个朋友圈吐槽天朝,结果另一技术大牛的老同学看到后马上给我传了一个神秘的CRX结尾的文件,带着诡异的表情说:试试,马上就能上。 半信半疑中按照同学的指导,你猜怎么着,没想到一分钟之内就装好了,而且马上就能上到youtube看到ellen show了,嘿,速度还挺快还不卡,稳定,哈哈,好东西怎么能独享呢,所以最懂得分享的我就给大家分享这个叫开眼的谷歌chrome科学上网插件哈。 首先呐,大家得装一个谷歌chrome浏览器,当然这个开眼插件是支持谷歌chrome、360浏览器、猎豹浏览器,百度浏览器等webkit核心的浏览器,不过呐还是谷歌chrome相对最稳定,装好后打开,然后看下图找到扩展程序这一栏,然后将开眼CRX的文件拖到这里面,点击添加扩展程序就OK啦。添加好后在右上角可以看到一个眼睛一样的图标,点击然后就看到开眼的本体了,哈哈,然后注册不用我教了,是个人都会,注册好后马上登陆哈。登陆后你会在界面中部看到3个按钮,智能,一直和关闭,智能是你打开国外网站时候会默认翻墙,而看国内网站时候则不翻墙,这样避免在看国内网站时候也翻墙会搞得很卡,是不是很人性化;而一直就是一直是翻墙状态,而且速度也是最稳定的,还有关闭就是关闭翻墙状态了,亲们都学会了么而且用开眼翻墙后不光是youtube打开神速,谷歌google,facebook,twitter,instagram等等海量国外网站都能快速稳定打开,而且操作超简单,再也不需要去搞什么youtube代理,facebook代理之类的麻烦事了。另外偷偷告诉大家一个秘密,现在开眼是免费的哦,至于什么时候收费,我就不太清楚了,趁着免费赶紧用哈哈,好了不多说了我去看我的ELLEN去了,祝大家用开眼开心自由科学上网,多看看外面的世界哈哈。翻墙技术博客订阅地址及社交帐号
阅读更多为什么要做无线中继?因为两个场景:第一个是在我司,WIFI上网同一账户只能连接两个设备,现在两个设备哪里够?第二个场景是在宾馆,我希望就像在家里一样,所有设备都是连上路由器就可以免设置科学上网,这就需要对宾馆原来的WIFI进行处理。来源:请各位看官注意两个关键字:无线中继 科学上网。为什么要做无线中继?因为两个场景:第一个是在我司,WIFI上网同一账户只能连接两个设备,现在两个设备哪里够?第二个场景是在宾馆,我希望就像在家里一样,所有设备都是连上路由器就可以免设置科学上网,这就需要对宾馆原来的WIFI进行处理为什么要随时科学上网?我只能说,为了知识和真相树莓派使用的系统:RASPBIAN JESSIE另外,因为手头没有路由器,因此,本文介绍利用电脑直连树莓派进行相关设置。不多说,开始了。1.设置IP按照树莓派官方的做法,树莓派需要一根网线直连路由器,通过路由器的DHCP分配到IP后,就可以远程登录了。但是刚才已经提到,因为手头没有路由器,所以我们需要用电脑直连树莓派进行远程登录。将制作好的树莓派SD卡插入电脑,会弹出一个名为Boot的磁盘,其中有一个cmdline.txt文件,打开之后,在最后的位置追加一个IP如下:dwc_otg.lpm_enable=0 console=serial0,115200 console=tty1 root=/dev/mmcblk0p2 rootfstype=ext4 elevator=deadline fsck.repair=yes rootwait ip=192.168.3.1 插回SD卡至树莓派,通电后,将我们的电脑端IP设置为192.168.3.100,掩码设置为255.255.255.0即可连接树莓派了2.更改磁盘大小和LOCALE树莓派默认并没有用足所有的SD卡,具体原因未知。但是也很好调整。运行sudo raspi-config,可以打开树莓派设置窗口:第一项,就是将文件系统扩展到整个SD卡。顺便把第五项中的语言项也改了吧,否则在安装软件时,总会提示language没有设置,我一般会选择生成en_US.UTF-8以及zh_CN.UTF-8,默认语言使用赵家语言(选择时,使用空格键来切换选中/未选)。3.更改WIFI国别为什么要更改WIFI国别?因为按照规范,各国的频谱不一样,详见这里,如果不更改,树莓派默认使用大英帝国,直接的影响就是,可能某些5G信道会搜索不到。编辑/etc/wpa_supplicant/wpa_supplicant.conf,更改country为CN4.安装第一块WIFI适配器因为我司所在的WIFI环境支持5G信号,因此,在选择WIFI适配器时,我选择了TP-LINK TL-WDN3321,该设备插入即可使用,免驱动。5.配置基于WPA-EAP的WIFI认证我司使用了基于PEAP和MSCHAPV2的WPA-EAP的WIFI认证,但是没有使用证书。配置时,只需要在/etc/wpa_supplicant/wpa_supplicant.conf增加如下段落即可network= ssid=”ssid” key_mgmt=WPA-EAP eap=PEAP identity=”id” password=”password” #ca_cert=”/etc/cert/ca.pem” #phase1=”peaplabel=1″ phase2=”auth=MSCHAPV2″ priority=10更改其中的ssid identity和password为你所在环境的配置。配置文件中可以有多个network配置,系统会根据搜索到的ssid来自动匹配6.连接WIFI连接WIFI其实就是一个重新加载配置的过程,先执行sudo ifdown wlan0,再执行sudo ifup wlan0即可。之后,可以利用iwconfig命令查看wifi配置是否已经加载,用ifconfig来查看是否分配到IP,如果一切顺利,就应该能够上网了。7.更改为中科大的源树莓派的apt-get的源在英国,因此访问起来比较缓慢。感谢中国科学技术大学 Linux 用户协会做了镜像,编辑/etc/apt/source.list,删除其中的内容,使用一下内容代替deb http://mirrors.ustc.edu.cn/raspbian/raspbian/ jessie main non-free contrib 之后运行sudo apt-get update来更新源8.固定接口名称什么叫固定接口名称?当我们插入WIFI适配器时,尤其是我们的整个方案中,会使用两个WIFI适配器时,系统会随机分配哪个是wlan0,哪个是wlan1。因为两个适配器不一样,会导致运行在上面的配置可能没办法生效。因此,我们必须让系统记住WIFI适配器使用的接口名称。编辑新增文件/etc/udev/rules.d/10-network.rules,其中的内容如下:SUBSYSTEM==”net”, ACTION==”add”, ATTRaddress==”aa:bb:cc:dd:ee:ff”, NAME=”wlan0″ 注意其中的mac地址,设置为你的设备的mac地址。获得mac地址,可以使用命令ip link重启系统后,再插入设备,就会绑定接口名称9.更改eth0的IP前面的第一步中,我们使用了一个变相的手法分配了树莓派的IP。但是我发现在该模式一下有一个问题:如果不插网线,树莓派启动时会很长一段时间都在等待插入网线。既然已经进入了系统,我们自然还原为标准的配置。编辑文件/etc/network/interfaces,将eth0的配置改为如下auto eth0 iface eth0 inet static address 192.168.3.1 netmask 255.255.255.0然后编辑/boot/cmdline.txt,去掉第一步中增加的IP配置10.安装dnsmasq来设置DHCP服务先来说明一下我的网段设置,有线网络使用192.168.3这个网段,而无线AP端,使用192.168.4这个网段。很多博文使用udhcpd来做作DHCP服务器,但是考虑到将来要科学上网,既然dnsmasq就可以做这个事,那就只用它好了。使用命令sudo apt-get install dnsmasq,编辑/etc/dnsmasq.conf,注意更改如下几段:#配置监听地址listen-address=127.0.0.1,192.168.3.1,192.168.4.1 #配置DHCP分配段dhcp-range=192.168.3.50,192.168.3.150,12h dhcp-range=192.168.4.50,192.168.4.150,12h 运行命令sudo service dnsmasq restart来启用11.开启包转发Linux系统默认关闭了IP包转发,因此不能做路由器。所以需要先打开包转发编辑/etc/sysctl.conf,去掉以下属性前的注释:# Uncomment the next line to enable packet forwarding for IPv4net.ipv4.ip_forward=1 运行sudo sysctl -p来启用之后运行sudo iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE 来启用wlan0端口的NAT12.安装iptables-persistent上一步中,我们启用了一条防火墙规则,但是防火墙规则重启后就丢失了,为了能够规则开机自动加载,我们可以使用iptables-persistent。用命令sudo apt-get install iptables-persistent来安装该组件,根据其提示进行初次设置(一路确认)。该组件默认会将防火墙规则保存到/etc/iptables/rules.v4中。你可以使用如下命令保存和读入规则:#保存现有规则sudo service netfilter-persistent save #读取并应用先有规则sudo service netfilter-persistent reload 为什么服务名称变成了netfilter-persistent,这里面好像有故事,留待以后再digg13.安装第二块WIFI适配器第一块WIFI适配器是为了连接现有网络,第二块则是为了建立WIFI热点。为了建立WIFI热点,适配器必须具有AP的mode。可以使用命令iw list|grep -A10 ‘Supported interface modes’查看。比如,我选用的设备是widemac SL-1506N,其参数如下:Supported interface modes: * IBSS * managed * AP * AP/VLAN * WDS * monitor * mesh point该设备依然是插入即可,不需要驱动。14.设置第二块Adapter的IP依然是编辑/etc/network/interfaces,更改wlan1的配置如下auto wlan1 iface wlan1 inet static address 192.168.4.1 netmask 255.255.255.015.固定第二块WIFI适配器的接口名称做法类似于第一块,只不过再加入一行而已,接口名称为wlan1,这里就不说了,记得重启让其生效。16.安装并开启hostapdLinux启用WIFI热点,使用的是hostapd。首先,用命令sudo apt-get install hostapd安装它,然后增加配置文件/etc/hostapd/hostapd.conf如下:interface=wlan1 driver=nl80211 ssid=ssid hw_mode=g channel=13 macaddr_acl=0 auth_algs=1 ignore_broadcast_ssid=0 wpa=2 wpa_passphrase=passwd wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP rsn_pairwise=CCMP 只需要更改其中的ssid和wpa_passphrase属性。之后运行命令sudo hostpad -d /etc/hostapd/hostapd.conf来观察测试,没有错误可以连接,就OK了。 CTRL+C后,编辑/etc/default/hostapd,改变DAEMON_CONF的配置如下DAEMON_CONF=”/etc/hostapd/hostapd.conf” 之后就可以使用sudo service hostapd start正式启动WIFI热点了至此,通常一个WIFI中继路由器就好了,以下介绍透明科学上网部分17.建立无污染DNS以前都需要使用chinadns等项目,现在基本上都直接使用中科大的DNS,直接无污染。在/etc/dnsmasq.conf,加入如下规则no-resolvserver=202.38.93.153server=202.141.162.123重启dnsmasq,可以用dig t.co测试一下18.安装shadowsocks这里首先要说明一下,我找了很久,也没有找到适合树莓派的shadowsocks-libev,因此,我们使用了redsocks+shadowsocks的组合来替代。树莓派源中的shadowsocks的版本很低,连rc4-md5都不支持。因此,我们使用pip安装,键入sudo pip install shadowsocks即可安装,之后新建配置文件/etc/shadowsocks.conf如下{ “server”:”xxx.xxx.xxx.xxx”, “server_port”:8964, “local_address”:”0.0.0.0″, “local_port”:1080, “password”:”password”, “timeout”:600, “method”:”rc4-md5″}然后用命令sudo sslocal -c /etc/shadowsocks.conf -d start来启动没有问题,就将sslocal -c /etc/shadowsocks.conf -d start加入/etc/rc.local来让其开机启动19.安装redsocks执行sudo apt-get install redsocks来安装软件,之后编辑/etc/redsocks.conf,更改其中的redsocks部分如下redsocks local_ip = 0.0.0.0; local_port = 12345; ip = 127.0.0.1; port = 1080;使用命令sudo service redsocks start来启动软件可以使用netstat -an|grep 1080和netstat -an|grep 12345来确认一下shadowsocks和redsocks都启动了20.安装ipset并导入chnroute我们科学翻墙的规则:凡是国外的网站都用shadowsocks加速。因此,我们借助于ipset保存国内ip段。先用sudo apt-get install ipset安装软件执行命令curl ‘http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest’ | grep ipv4 | grep CN | awk -F| ‘ printf(“%s/%dn”, $4, 32-log($5)/log(2)) ‘ > chnroute.txt 来导出国内ip段然后用如下命令导入到ipsetsudo ipset create chnroute hash:net cat chnroute.txt | sudo xargs -I ip ipset add chnroute ip 21.备份ipset并开机载入各位看官可能已经发现,导入ipset的过程非常缓慢,不适合每次开机都执行。我们可以将ipset的结果保存,每次开机导入。执行如下命令sudo ipset chnroute save > /etc/chnroute.ipset 然后在/etc/rc.local中加入如下语句ipset restore < /etc/chnroute.ipset 即可开机执行22.导入防火墙规则sudo iptables -t nat -N SHADOWSOCKSsudo iptables -t nat -A SHADOWSOCKS -d $server_IP -j RETURNsudo iptables -t nat -A SHADOWSOCKS -d 0.0.0.0/8 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -d 10.0.0.0/8 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -d 127.0.0.0/8 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -d 169.254.0.0/16 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -d 172.16.0.0/12 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -d 192.168.0.0/16 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -d 224.0.0.0/4 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -d 240.0.0.0/4 -j RETURN sudo iptables -t nat -A SHADOWSOCKS -m set –match-set chnroute dst -j RETURNsudo iptables -t nat -A SHADOWSOCKS -p tcp -j REDIRECT –to-ports 12345sudo iptables -t nat -A OUTPUT -p tcp -j SHADOWSOCKS sudo iptables -t nat -A PREROUTING -p tcp -j SHADOWSOCKS 其中server_IP是你的VPS的地址然后保存规则sudo service netfilter-persistent save 23.开机重新生效防火墙规则既然iptables-persistent可以开机加载防火墙规则,为什么还要谈这个?因为防火墙规则中,有使用到redsocks的端口12345,但是因为启动顺序问题,很可能redsocks还没有启动,防火墙规则先加载了,所以会导致防火墙规则加载失败。因此,我们需要把规则加载放入/etc/rc.local中:iptables-restore < /etc/iptables/rules.v4 至此,整个教程就写完了。这些步骤是我实验了三四遍之后的经验所得,请在转载时,注明出处,非常感谢。翻墙技术博客订阅地址及社交帐号
阅读更多
