翻墙问答:iMessage是否有保安漏洞?(视频)

firewall620.jpg

李建军向大家介绍IMessage保安漏洞(苹果官网图/粤语部制)

视频链接:http://www.rfa.org/cantonese/video?v=1_15yfzj91

问:虽然在Mac和iOS设备上用的iMessage,因点对点加密而得到相当多网友的信任。但最近iMessage被发现有保安漏洞,有可能令Mac和iOS设备上的资料外泄,能否介绍一下。

李建军:这次iMessage的保安漏洞,问题不在于令iMessage与朋友间的通讯外泄,而是令你的iOS装置和Mac所储的资料外泄。只要黑客将有问题的图像档,透过iMessage送到你的手机或电脑,而你的手机或电脑作业系统未有更新到最新版本的话,黑客就可以取得你电脑或手机储存装置的密码,换言之,只要黑客利用混有特殊代码的图片,伪装成维权图片之类,就可以将你电脑或手机内的资料偷清光。

只要你将电脑或手机的作业系统升级做最新版,就不会受这次事件影响。如果你的iOS不能够升级做最新版,亦可以于iOS装置上关闭iMessage,来避免受事件的影响。这次翻墙问答,我们会有片段介绍如何关闭iMessage,欢迎本台听众浏览本台网站收看有关视频。而在Mac机上,只要你没有启动iMessage程序,就不会收到iMessage,因此,你暂时在Mac机上不启动iMessage程序,就已经不会受到这次保安漏洞所影响。

问:关闭iMessage,会否对iOS用家有潜在影响?

李建军:其实关闭iMessage这个选项,我个人不大鼓励,因为iOS当知道收件人关闭了iMessage后,就会自动用无加密短信传送信息。而短信不单无加密,而且必须经过电讯公司传递,中国几乎所有电讯公司都是国有,你的信息有机会被当局拦截,令对方无法收到,亦会令你和你朋友身陷险境。因此,如果你能用iMessage,尽可能更新作业系统后恢复用iMessage比较安全。但可以肯定是,由于点对点加密已经成为主流,黑客运用附加古怪代码附件意图入侵,或拦截通讯内容,将会成为新的主流。这种需要避免黑客攻击而停用iMessage的情况,日后都仍然有机会发生。

问:最近其中一个主流翻墙软件蓝灯已经推出收费版本,其实翻墙软件收费,会否成为主流?一旦成为主流,又可以如何应付?

李建军:让中国网民翻墙,除了软件开发费用外,要应付中国那些古灵精怪封网手段,甚至动用黑客攻击翻墙软件主机的情况,都需要相当一笔费用,还未计相关连的机器维护,以及数据传送费用。因此,翻墙软件最终要向用户收取费用,这是相当合理的趋势。特别各国政府的财政都相当吃紧时,西方国家政府亦难拨出大笔预算投放在翻墙软件开发和维护之上。

对中国听众而言,现时最大难关在于支付翻墙软件的月费。因为这肯定要透过信用卡收取月费,而银联系统掌握在中国国有银行手上,一旦银联拒绝处理涉及翻墙软件的交易就会造成困扰。另一方面,亦非每一个人有能力申请海外银行的VISA或万事达信用卡或扣帐卡。

但最近有香港便利店开始售卖万事达预付卡,称为礼品卡,用法与大部分信用卡一样,只不过需要在香港增值,而这类预付卡并不需要登记任何个人资料。相信香港这种预付卡,很适合用作支付翻墙软件或VPN使用费,除了有匿名的好处外,亦避免了中国当局拒绝交易的麻烦,只要你买的金额足够的话,相信可以在一段颇长时间作扣除VPN或翻墙软件帐项之用,而且并不需要远赴日本或其他西方国家买这类卡,只要有亲友能自由往返香港,在香港的便利店就能买到卡和增值,颇为方便。

原文:http://www.rfa.org/cantonese/firewall_features/imessage-07222016085734.html?encoding=simplified

教你用 google-drive-ocamlfuse 在 Linux 上挂载 Google Drive

如果你在找一个方便的方式在 Linux 机器上挂载你的 Google Drive 文件夹, Jack Wallen 将教你怎么使用 google-drive-ocamlfuse 来挂载 Google Drive。



作者:Jack Wallen 译者:GitFuture 校对:wxy
编译自:http://www.techrepublic.com/article/how-to-mount-your-google-drive-on-linux-with-google-drive-ocamlfuse/
原创:LCTT https://linux.cn/article-7604-1.html

Google 还没有发行 Linux 版本的 Google Drive 应用,尽管现在有很多方法从 Linux 中访问你的 Drive 文件。

如果你喜欢界面化的工具,你可以选择 Insync。如果你喜欢用命令行,有很多像 Grive2 这样的工具,以及更容易使用的以 Ocaml 语言编写的基于 FUSE 的文件系统。我将会用后面这种方式演示如何在 Linux 桌面上挂载你的 Google Drive。尽管这是通过命令行完成的,但是它的用法会简单到让你吃惊。它太简单了以至于谁都能做到。
这个系统的特点:
  • 对普通文件/文件夹有完全的读写权限
  • 对于 Google Docs,sheets,slides 这三个应用只读
  • 能够访问 Drive 回收站(.trash)
  • 处理重复文件功能
  • 支持多个帐号
让我们接下来完成 google-drive-ocamlfuse 在 Ubuntu 16.04 桌面的安装,然后你就能够访问云盘上的文件了。

安装

  1. 打开终端。
  2. sudo add-apt-repository ppa:alessandro-strada/ppa 命令添加必要的 PPA
  3. 出现提示的时候,输入你的 root 密码并按下回车。
  4. sudo apt-get update 命令更新应用。
  5. 输入 sudo apt-get install google-drive-ocamlfuse 命令安装软件。

授权

接下来就是授权 google-drive-ocamlfuse,让它有权限访问你的 Google 账户。先回到终端窗口敲下命令 google-drive-ocamlfuse,这个命令将会打开一个浏览器窗口,它会提示你登陆你的 Google 帐号或者如果你已经登陆了 Google 帐号,它会询问是否允许 google-drive-ocamlfuse 访问 Google 账户。如果你还没有登录,先登录然后点击“允许”。接下来的窗口(在 Ubuntu 16.04 桌面上会出现,但不会出现在 Elementary OS Freya 桌面上)将会询问你是否授给 gdfuse 和 OAuth2 Endpoint 访问你的 Google 账户的权限,再次点击“允许”。然后出现的窗口就会告诉你等待授权令牌下载完成,这个时候就能最小化浏览器了。当你的终端提示如下图一样的内容,你就能知道令牌下载完了,并且你已经可以挂载 Google Drive 了。
应用已经得到授权,你可以进行后面的工作。
应用已经得到授权,你可以进行后面的工作。

挂载 Google Drive

在挂载 Google Drive 之前,你得先创建一个文件夹,作为挂载点。在终端里,敲下mkdir ~/google-drive命令在你的家目录下创建一个新的文件夹。最后敲下命令google-drive-ocamlfuse ~/google-drive将你的 Google Drive 挂载到 google-drive 文件夹中。
这时你可以查看本地 google-drive 文件夹中包含的 Google Drive 文件/文件夹。你可以把 Google Drive 当作本地文件系统来进行工作。
当你想卸载 google-drive 文件夹,输入命令 fusermount -u ~/google-drive

没有 GUI,但它特别好用

我发现这个特别的系统非常容易使用,在同步 Google Drive 时它出奇的快,并且这可以作为一种本地备份你的 Google Drive 账户的巧妙方式。(LCTT 译注:然而首先你得能使用……)
试试 google-drive-ocamlfuse,看看你能用它做出什么有趣的事。

原文:http://www.chinagfw.org/2016/07/google-drive-ocamlfuse-linux-google_50.html

科学上网——CentOS7 环境下 PPTP VPN 搭建

之前写过一篇Ubuntu 14.04下面的PPTP搭建方法。

本文仅介绍 PPTP 在CentOS7环境下的搭建方法,大致和Ubuntu环境下的类似。

注意,务必在root用户下操作。

以下是搭建过程:

安装组件

运行下面的命令安装iptables、ppp、pptpd

yum install ppp iptables pptpd

运行完成后,应该顺利安装完成了需要的组件

配置组件

1、编辑pptpd.conf:

vi/etc/pptpd.conf

2、搜索localip,去掉下面字段前面的 #(注释符号),然后保存退出

localip192.168.0.1

remoteip192.168.0.234-238,192.168.0.245

3、编辑options.pptpd

vi /etc/ppp/options.pptpd

4、搜索ms-dns,去掉搜索到的两行ms-dns前面的#,并修改为下面的字段(Google DNS)

ms-dns8.8.8.8

ms-dns8.8.4.4

5、接下来编辑/etc/ppp/chap-secrets设置VPN的帐号密码

vi/etc/ppp/chap-secrets

6、添加一行,按照下面的格式写入你的用户名和密码

用户名 pptpd 密码 *

注意:上面的用户名和密码都区分大小写

7、接下来修改内核参数,运行下面的命令编辑sysctl.conf

vi /etc/sysctl.conf

8、在conf末尾添加下面的代码,使内核支持转发

net.ipv4.ip_forward=1

9、运行下面的命令使内核修改生效

sysctl -p

10、添加下面的iptables转发规则(直接在SSH运行下面命令即可)

XEN架构:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

OpenVZ架构:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT –to-source VPS公网IP

11、但是添加转发规则后重启就会失效,Centos 6系统可以使用service iptables save保存配置,但Centos 7不支持,我们需要将配置写入rc.local文件中,开机自动设置,运行下面的命令赋予rc.loacl执行权限:

chmod +x /etc/rc.d/rc.local

12、编辑rc.local,并把上面的转发规则添加到文件末尾

vi /etc/rc.d/rc.local

13、保存退出

启动组件

1、用下面的命令启动pptpd

/etc/init.d/pptpd start

2、用下面的命令使pptpd开机自动启动

chkconfig pptpd on

3、现在就可以使用你的设备连接到你的VPN了,若配置正确,就可以正常连接并上网了

最后福利…

现在通过此推广链接注册的新用户,可以获得10刀的免费信用额度,也就是2个月的最低配置VPS的使用权。(挂个VPN,搭个博客绰绰有余了。)

文/振衣(简书作者)
 

Kino网络加速器 [The Kino VPN]——又一款免费好用的科学上网软件工具

又是周末好时光,上周没有好好的发博客,本周末就来一波福利:分享一款新鲜出炉的免费好用的科学上网工具——Kino网络加速器 [The Kino VPN]。这个周末福利是不是很不错呢!首先说明一下,这款科学上网软件是某网友制作的,分享给我测试了一下,我觉得还不错,线路非常多,可选择性强,跟我之前分享的:PJM-Free VPNsqsxfree等科学上网软件有得一拼!下面来看一下Kino网络加速器软件界面:

一打开Kino网络加速器就需要授权登陆,这个授权码呢,本来需要加群到群共享里看的,这里就先放出来(觉得好用可以加群获取最新版Kino VPN,加群暗号:光的传人),授权码是:kino8888 。

输入正确的授权码就可以打开主界面了:

大家最关心的其实就是可以用来科学上网,打开谷歌搜索、facebook、youtube、推特等常用国外网站的香港线路、日本线路、韩国线路、台湾线路、美国线路了!博主亲自测试了一下,线路非常多,总有一个适合你!虽然有的连接不上或者连接上之后不能访问网站,其实就是线路问题,换一个就可以了!总体来说,可用来科学上网的线路非常多,速度也不错,关键是好免费,值得使用!

软件公告:

[The Kino VPN]

[2016/7/19]

[2016/7/19] 随着VPN的使用用户越来越多,线路是有一定饱和度的,若连接不上换线路,常规线路不行换测试

[2016/7/19] 如果美国常规线路连接不上,请到美国测试线路区连接编号是1600后的线路.

[2016/7/19] 软件版本已经更新到最新版本1.1,修复部分细节,以及更换总服务器,欢迎测试

[2016/7/17] 最新更新了线路测试区,线路可能会有不稳定连接不上等原因,为筛选出优质线路若感觉有哪条线路不错的,劳驾及时在群里反馈,以方便更多人使用.

[2016/7/17] 新版本1.1即将开工,若大家对现版本有什么意见,欢迎反馈通过QQ群反馈.

[2016/7/16] 台湾2016/7/14的全为服务器禁Ping,但均可连接.

Kino网络加速器 [The Kino VPN]下载地址:http://pan.baidu.com/s/1jHQTrV4   密码: ahrd 觉得好用记得来评价哦!

原文:http://www.liu16.com/post/TheKinoVPN.html

使用 Youtube-DL 离线下载 YouTube 视频并且 VPS 上在线观看


在一些特殊的条件需求下,一些人可能需要vps离线下载视频,或者在不科学上网的情况下在线观看。
有人给我推荐了Youtube-dl,的确很强大,这篇文章只是简单介绍一下Youtube-dl的基础功能和如何在自己的VPS上面在线观看。


 
如果你只是想要简单的下载youtube视频到本地,请看这个:教你如何从YouTube上下载视频

安装步骤

安装很简单,Youtube-dl支持Windows,Linux,OS X,etc等系统,这次主要介绍Linux系统。
以下代码不一定是最新的,最新的请去 官方下载中心 查看。

Linux系统安装:

以下三种下载安装方式选择一个就行了。
  1. sudo curl -L https://yt-dl.org/downloads/2016.07.13/youtube-dl -o /usr/local/bin/youtube-dl
  2. sudo chmod a+rx /usr/local/bin/youtube-dl
如果你的vps没有安装 curl ,可以使用 wget 来下载。
  1. sudo wget https://yt-dl.org/downloads/2016.07.13/youtube-dl -O /usr/local/bin/youtube-dl
  2. sudo chmod a+rx /usr/local/bin/youtube-dl
当然你也可以用pip来安装,如果你没有pip就先安装pip, apt-get install python-pip -y
  1. sudo pip install --upgrade youtube_dl

OS X系统安装:

  1. sudo wget https://yt-dl.org/downloads/2016.07.13/youtube-dl.sig -O youtube-dl.sig
  2. gpg --verify youtube-dl.sig /usr/local/bin/youtube-dl
  3. rm youtube-dl.sig

Windows系统安装:

直接官方下载一个exe文件就行了。
但是,要运行这个程序还需要安装微软的运行库。

基础功能介绍

Youtube-dl的官网是:http://rg3.github.io/youtube-dl/
Github项目地址是:https://github.com/rg3/youtube-dl
在这里都能看到最新最全的youtube-dl信息。
Youtube-dl支持八百多家视频网站,具体列表可以看这里:http://rg3.github.io/youtube-dl/supportedsites.html ,优酷、爱奇艺等国内视频网站也是支持的。

下载视频

以下教程均以 这个youtube视频链接为例 https://www.youtube.com/watch?v=jK5coaM2X9g
最基础的下载视频的方法很简单,直接 youtube-dl URL
  1. youtube-dl https://www.youtube.com/watch?v=jK5coaM2X9g
这样就会自动选择一个最好的视频格式和清晰度下载到 当前的文件夹 了。
如果想把这个视频的所有格式都下载下来怎么办?

下载全部格式

  1. youtube-dl  --all-formats https://www.youtube.com/watch?v=jK5coaM2X9g
–all-formats :添加这个参数之后,所有存在的格式全部下载;
但是你又不想全部下载,想挑选指定视频的格式和清晰度怎么办?

列出视频的所有格式/清晰度

–list-formats/-F:这是一个列清单参数,执行后并不会下载视频,但能知道这个目标视频都有哪些格式存在,这样就可以有选择的下载啦!
  1. youtube-dl --list-formats https://www.youtube.com/watch?v=jK5coaM2X9g
然后就会看到一大片的视频格式,如果你要下载其中一个,请看前面第一列的编号ID。

下载指定格式视频

-f + 编号:通过上一步获取到了所有视频格式的列表,第一列就是编号对应着不同的格式,例如我想下载22号那个mp4格式分辨率为1280*720的视频,则按下面的命令就可以轻松指定下载视频哦;
  1. youtube-dl -f 22 https://www.youtube.com/watch?v=jK5coaM2X9g

离线下载/后台下载

我发现Toutube-dl不带有后台下载的功能,或者说我没找到命令,不过没事,可以试用 screen 来实现。
首先如果你没有安装 screen 的话请先安装。
Debian/Ubuntu系统安装:
  1. apt-get update
  2. apt-get install screen
Centos系统安装:
  1. yum update
  2. yum  install screen
然后用 -S 创建一个活动,这时候你就进入了这个活动中,你就可以去下载视频了,这时候即使关闭ssh也不会断开下载。
  1. screen -S video
如果你不小心关闭ssh或者想要重新查看 video活动,可以用 -r 来重新进入这个活动
  1. screen -r video

VPS中在线播放

这个其实很简单,HTML5本身就可以去播放指定格式的视频,所以我们只需要搭建一个nginx或者apache,把视频下载到默认虚拟主机的文件夹里,就可以在线观看了。
需要注意的是,HTML5支持在线播放的格式有限,建议下载 mp4 和 Webm 格式的,免得HTML5无法在线播放。
我们这里以apache为例,先安装apache。
Debian/Ubuntu系统安装:
  1. apt-get install apache2 -y
Centos系统安装:
  1. yum install httpd -y
然后去  /var/www 目录下载视频。
  1. cd /var/www
下载好了之后用 ls -a 查看当前目录下的文件,找到你的视频文件名称,比如:233.mp4
然后打开网页: http://你的VPS_IP/233.mp4
就可以在线观看了。
当然这样看视频也会有一些不方便,不能方便的选视频。你可以试试我的逗比云的程序 :自用的逗比云 目录列表程序 Directory Lister 兼容中文版
可以列出虚拟主机目录下的文件列表。当然,我这个程序是php的,所以还需要安装php,如果你不会可以直接去lnmp.rog 安装lnmp一键包,因为不需要用到数据库,所以你可以 lnmp mysql stop 把Mysql数据库关掉。
当然你也可以直接使用 apache/nginx 自带的列表功能,开启方法很简单,只要删掉/var/www目录下的index.html文件,这时候访问你的 http://vps_IP/ 就可以看到一个简陋的列表了。
  1. rm -rf /var/www/index.html
如果你安装的是nginx (通过apt-get install -y 、 yum install nginx -y 安装的才是),那默认的虚拟主机文件夹是 /usr/share/nginx/www
  1. rm -rf /usr/share/nginx/www/index.html
如果你安装的是上面我说的 lnmp.rog 中的lnmp一键包,那默认虚拟主机文件夹就是 /home/wwwroot/default
  1. rm -rf /home/wwwroot/default/index.html
就暂时先介绍这么多,稍后慢慢补充。

翻墙问答:Facebook Messenger是否有加密功能?(视频)

firewal310.jpg

李建军向大家介绍脸书Facebook Messenger。(无版权限制图片)

问:传闻已久的Facebook Messenger加密功能,脸书现时正进行测试。同样点对点加密,Facebook Messenger的加密功能,与同公司推出的Whatsapp有何分别?而脸书的用家,又何时能享受点对点加密保护?

李建军:脸书最近开始对Messenger的加密功能做测试,由于现时只是小规模测试,因此,现时脸书Messenger的用家,并不需要更新或重新安装应用程式。当你的帐户被选中作测试之用时,脸书会通知你。

虽然Messenger和Whatsapp都是脸书公司的产品,但Messenger和Whatsapp在加密策略上截然不同。Whatsapp是强制选择点对点加密,而纵使你使用Whatsapp网页版,或Whatsapp桌面版,都不会影响你通讯的保密性。但Messenger由于依附脸书本身运行,加上有不同的第三方应用依附Messenger运作。因此,Messenger并不预设加密,而你一旦设定了使用点对点加密,就只有一部设备会享受到加密的好处,如果你选择已经选定加密设备以外的设备的话,就不会享受到点对点加密的好处。

但一旦你选择使用点对点加密,纵使你用Messenger都好,脸书公司都不会再知道你的通讯内容。因为Messenger用是点对点通讯,除了发信人和收件人,其他各环节都不会知道通讯内容。

问:在脸书未全面采用点对点通讯的时候,那脸书用户之间的通讯,怎样会比较安全,而不会外泄?

李建军:由于脸书Messenger,实际是脸书的一部分,因为,你用脸书网站版本,某程度上,你的通讯已经得到一定加密。现时脸书网站版已经使用256位元加密金钥,以及SHA-2技术,只要你使用最新版的浏览器,除了脸书公司本身外,其馀人等都很难知道你的通讯内容。当然,如果你脸面书公司都不信任的话,那就要等脸书Messenger全面引进加密功能后,才使用Messenger与朋友通讯。

问:在Messenger未全面引进点对点加密前,脸书用户之间通讯的保密,很大程度上仍然要依赖脸书在网站版本上的加密工作。那我怎知脸书的加密水平,以及使用的数码证书标准如何?

李建军:当你进入已经加密的网站后,浏览器网址的一栏,都会显示一个灰色的锁,或绿色的锁,这个代表网站通讯己经加密了。而你只要按一下灰色或绿色的锁,就可以浏览网站加密用的数码证书资料,从而知道你的网站加密水平是否足够。绿色锁并不代表网站使用比较强的加密,但仍然代表比较可靠,因为网站数码证书发出过程中,数码证明签发机构,曾经对持有人作出详尽审核。一般而言,银行的网站都会有绿锁。但脸书或谷歌,一般都只会出现灰锁,所以要知道网站的保安是否足够,仍要审视网站的数码证书资料。

而以现代网站的要求而言,数码证明要显示使用SHA-2或SHA-256技术,至少以256位元加密,以及加密金钥长度至少为2048位元,至称得上在资料保护上够安全。如果你发现网站使用SHA-1技术,或加密金钥长度仍然维持在1024位元的水平,或加密水准仍然在128位元,证明这些网站可能已经用了过时的技术,当然你将私隐交托给这些网站时,应保持相当审慎的态度。因为SHA-1早已是漏洞百出的技术,而以现代电脑的运算水平而言,128位元已经不足以保护你的个人资料。

这集翻墙问答,会有视频示范,如何查阅网站数码证书的资料,欢迎听众浏览本站网站,收看有关视频。虽然这集用Firefox来作示范,但Safari和Chrome这两只浏览器使用方法都大同小异,分别不大。

视频链接:http://www.rfa.org/cantonese/video?v=1_r8xaw0x8(如何查阅网站数码证书的资料)

原文:http://www.rfa.org/cantonese/firewall_features/fbm-07152016091726.html?encoding=simplified

Lantern 3.0.7版

蓝灯(Lantern)官方论坛

帖子页面请点这里进入,或者点击左上方的Issues进入。

你可以在右上角“sign up” 注册账号。 通过邮件验证后,请点击 https://github.com/getlantern/forum/issues 回到论坛。

在论坛内,可用右上角使用“New issue” 发新帖,或者在帖内使用“Comment”回复。

版规

本论坛可进行任何关于蓝灯(Lantern)以及关于其它翻墙的讨论。:red_circle:提问前,请先阅读蓝灯精华帖:red_circle:因为版面有限,请不要重复发帖,也请不要在开新帖发表邀请码。邀请码请发表到汇总贴或其他论坛。 禁止广告帖,包括非官方的讨论群。 关于蓝灯的问题,请上传log。

蓝灯(Lantern)最新版本下载

现有版本是3.0.7

Windows 版本(要求XP SP3以上) 备用地址

安卓版(要求4.1以上) 备用地址 请勿使用UC浏览器点击下载,会被替换成假的有广告的版本 Google Play下载

macOS (10.7及以上) 备用地址

SpiderOak网盘下载 Sync网盘下载 PCloud网盘下载 Evernote下载 Mega网盘下载(只能用Chrome或火狐下载)

蓝灯(Lantern)官方网站是 https://getlantern.org 其它网站均为假冒。

原文:https://github.com/getlantern/forum#蓝灯lantern最新版本下载

GoGo 快速使用

GoGo是一个基于Paas平台的代理工具,同时支持SOCKS5和HTTP两种代理协议。针对HTTPS链接采用隧道代理(盲转发)而非中间人方式,保证用户隐私不泄露。

来源:http://www.gogotunnel.com/getStarted
官方网站:http://www.gogotunnel.com/

1. 安装前准备

在安装GoGo之前,你需要满足如下条件:

安装Java 6
或以上版本
GoGo是基于Java开发的,所以必须要先安装Java虚拟机。

从GoGo-1.3.0版本开始,GoGo同时支持Socks5和Http代理。两种代理方式都是走隧道,代理Https网站使用的都是网站的原生证书,所以使用GoGo无需担心安全性问题,这一点也是GoAgent无法做到的,GoAgent代理Https网站时, 将原先的加密连接打断,在中间使用自己签发的证书完成代理,容易导致私人信息泄漏,你的所有信息对GoAgent来说其实是明文,后果你懂得。 关于浏览器建议使用Chrome或者 Firefox,IE 浏览器很烂,不建议使用。如果非用IE不可的话,注意IE 不支持Socks5代理(Socks4使用本地域名解析,所以不能访问部分国外网站),所以只能使用Http代理。

2. 安装和运行

单击这里 GoGo下载最新版本,解压到磁盘,执行启动脚本运行GoGo(start.bat for Windows, start.sh for linux, start.command for Mac OSX, 如果没有执行权限则要手动添加,执行 chmod a+x start.*)。

如果启动失败,请检查是否安装了Java,确认方法:单击开始菜单-单击运行,输入cmd回车,执行命令java -version 如果返回Java版本信息则表示安装成功。如果提示找不到java命令,并且确实安装了Java,请将路径“java安装目录/bin”设置到环境变量Path中。

...

3. 使用GoGo

如果你使用Chrome浏览器,最好使用SwitchySharp插件切换代理设置,单击这里SwitchySharp下载。 SwitchySharp插件的安装也很简单,在Chrome地址栏中输入chrome://extensions/并回车,然后将下载的SwitchySharp文件拖放到这个窗口中就完成安装了。

接下来要在SwitchySharp插件中配置GoGo代理,单击Chrome浏览器地址栏右侧的图标,单击选项, 再单击按钮创建新的情景模式, 命名为”GoGo”, SOCKS代理配置为127.0.0.1,端口为9090,9090和gogo外形很相似,所以很容易记。 ,一定要记得选中

...

配置完成后,单击保存按钮,单击Chrome地址栏右侧的图标,单击Gogo。好了,试试在Chrome中访问youtube

如果你使用Firefox浏览器,单击菜单栏 “工具” – “选项” – “高级” – “网络”, 单击“连接”区域的“设置”按钮, 选择“手动配置代理”填写SOCKS Host为127.0.0.1, Port为9090,一定要记得选中, 如果有”Remote DNS”复选框,也要选中。

...

如果你使用IE浏览器,在菜单栏上单击”Tools” – “Internet Options” – “Connections” – “LAN settings”, 选中 “Use a proxy server for you LAN”, 然后单击”Advanced”。填写如下,注意Http代理端口是9091,记得选中 “Use the same proxy server for all protocols”:

...

4. 搭建私有服务端

详情请参考搭建服务端.

如果有问题,欢迎到GoGo问答区域提问: http://wenda.gogotunnel.com,或在GoGo Web控制台的留言区提问。

 

原文:http://www.chinagfw.org/2016/07/gogo.html

翻墙服务 Lantern 发布 3.0,引入付费模式

免费的突破网络审查工具 蓝灯(Lantern) 刚刚发布了它的 3.0 大版本更新,其中最大的变化就是有了免费版和付费的“专业版”的区隔。

在蓝灯官方的中文论坛里,一位昵称为 p3rcya 的维护者 发帖解释了推出付费版的原因 

蓝灯原来是免费的,GFW 工作人员搞很多个 IP 检测,直接封了。现在需要付钱,GFW 没法收集付费用户使用的 IP。而且目前服务器流量大,成本高。专业版可以保证用户能稳定的使用。

除了寄希望于每年一百多元的收费墙挡住 GFW 的 IP 扫描,当然收费版也比一般的翻墙服务更好翻墙。 在另一篇帖子里 ,p3rcya 对蓝灯专业版和免费版的区别进行了介绍:

免费版有 800MB 流量限制。免费版流量使用完毕之后会限速到 20KB/s,但对浏览网页是基本没有影响的。对稳定性和速度不太有要求的人,看看网页用免费版完全可以。

专业版流量无限,速度无限。 支持同时连接多台服务器。

近期 GFW 工作人员搞很多个 IP 来检测蓝灯的 IP,进行封锁。专业版需要付费,GFW 就没办法一下子注册很多帐号,来批量封锁 IP。所以付费能有效抵御 GFW 的封锁。

专业版支持 meek 等一些特殊的翻墙协议。因为这些协议耗费大,或者是被广泛使用后 GFW 会封锁,只有专业版才能使用。

专业版的价格是一年 180 元,两年 320 元,需前往 官方网站 下载升级到最新的 3.0.6 版本才能够显示。蓝灯目前并不会强制用户全部升级到最新版本,但旧版本的连通性会有何种改变,目前还不得而知。

没有任何可信来源标识蓝灯与谷歌有直接的隶属或者投资关系,蓝灯是由 Brave New Software 公司开发,这家公司是由 LimeWire 和 LittleShoot 的前首席工程师 Adam Fisk 成立。Lantern 的前身,uProxy 是谷歌旗下致力于解决全球“人祸”的智库 Google Ideas(已改名  Jigsaw)中的一个项目。唯一可查的投资是 来自美国国务院的 220 万美元种子轮投资 

除了 VPN(TC 主站的同事 Jon Russell 前几天介绍了一个 VPN 横向测速工具, 点击这里 阅读),国内的“翻墙”工具在近几年魔高一尺道高一丈的互相升级之后,发展成了多种形式,各个阶层皆有的工具,蓝灯是给需求简单,对费用敏感的小白用户使用;如果需要更快的连接,那么 Shadowsocks 配合各个平台的工具就能胜任,但这需要一些计算机使用经验,并且要为租用 VPS 付费。当然还有赛风、自由门、无界等其他工具给不同需求的人使用。

一款免费应用,从无名到有名,涌入的用户越来越多,服务器的成本和客服成本都是不可避免要增加的。从运营者尤其是身在中国的运营者角度来看,增加一道付费墙,既可以平衡支出,也可以尽量减少极有可能的来自政府的骚扰。总体来说,比起 GFW 的技术升级,翻墙服务开始付费并不会阻挡人们的使用热情。

桌面版(macOS  Windows)与 安卓版 可以更新,或者 点击这里 选择更多下载方式。目前蓝灯还没有推出 iOS 版。

原文:http://techcrunch.cn/2016/07/09/lantern-introduces-premium-model/?ncid=rss

VPN-WS源码解析

vpn-ws一个开源的,承载协议使用Websocket的VPN实现。代码简单易读,其中对于tuntap/SSL/socket/event的C API使用,有三个平台的版本(Win、Linux和MacOSX1),具有参考价值。

参考

词汇

  • peer,VPN中的节点,对于服务器而言包括自己的tuntap和每个客户端socket
  • tuntap,Linux/Unix中创建的虚拟网卡,读取和写入数据和其它文件设备如socket、file差不多

实现

VPN的实现无非是客户端创建一个虚拟网卡tun/tap,从tun/tap中读取数据包,发送到服务端,服务端写入到它的tun/tap虚拟网卡中,从而让两端像是在同一个局域网内。发送数据无论是走UDP/TCP还是websocket,都只是为了转发虚拟网卡中接收到的数据包(以太包或者ip包)。

客户端与服务端的交互如下:

vpn-ws client <—HTTP/websocket—> Nginx <—uWSGI—> vpn-ws server

VPN-WS的客户端与Nginx Web交互,通过HTTP/HTTPS传送HTTP数据,而后Nginx通过uWSGI接口协议发送至应用服务即VPN-WS服务端。在完成了websocket的upgrade协商后,整个通路变成了websocket数据帧的转发通路。

用Nginx作前端的好处是,可以直接在现有的基于Nginx的服务上添加入口布置这个VPN服务器。客户端有重连机制,但是只有一条连接到服务端,如果拿来翻墙,可就太弱了

服务端实现

创建tun/tap虚拟网卡

因为Linux视一切设备为File,所以其与file fd(文件句柄),与socket fd使用上没有区别。以此创建一个peer放到全局数组vpn_ws_conf.peers里。

tuntap_fd = vpn_ws_tuntap(vpn_ws_conf.tuntap_name);
vpn_ws_peer_create(event_queue, tuntap_fd, vpn_ws_conf.tuntap_mac);

void vpn_ws_peer_create(int queue, vpn_ws_fd client_fd,
uint8_t *mac) {

vpn_ws_event_add_read(queue, client_fd)
vpn_ws_peer *peer = vpn_ws_calloc(sizeof(vpn_ws_peer));
peer->fd = client_fd;
vpn_ws_conf.peers[client_fd] = peer;
if (mac) {
memcpy(peer->mac, mac, 6);
peer->mac_collected = 1;
//只有创建虚拟网卡时,peer的raw属性才置为1,这个值
//决定了websocket数据包是直接转发还是还原成原始数据包再转发
peer->handshake = 1;
peer->raw = 1;
}

创建服务端口,以接收客户端连接

server_fd = vpn_ws_bind(vpn_ws_conf.server_addr);
vpn_ws_event_add_read(event_queue, server_fd);

接收新客户端连接并分配一个peer节点

为走web socket而来的客户端创建的peer,其raw属性为0,也就是说从这个peer读取出的数据包非原始包(而是websocket数据帧格式)。而handshake属性也为0,则需要与服务端作协议认证交互后才能让这个peer正常使用,即接收和转发数据包。

int ret = vpn_ws_event_wait(event_queue, events);
for(int i=0;i<ret;i++) {
int fd = vpn_ws_event_fd(events, i);
if (fd == server_fd) {
vpn_ws_peer_accept(event_queue, server_fd);
continue;
}

if (vpn_ws_manage_fd(event_queue, fd)) break;
}

服务端添加一个peer到peer数组里:

void vpn_ws_peer_accept(int queue, int fd) {
int client_fd = accept(fd, (struct sockaddr *) &s_un, &s_len);

vpn_ws_peer *peer = vpn_ws_calloc(sizeof(vpn_ws_peer));
peer->fd = client_fd;
if (mac) {
//只有虚拟网卡才会进这里
memcpy(peer->mac, mac, 6);
peer->mac_collected = 1;
peer->handshake = 1;
peer->raw = 1;
}
vpn_ws_conf.peers[client_fd] = peer;
}

处理每一个peer事件(发送数据或接收数据)

这里只解释读取的代码。读取部分,主要是做三件事:

1, 完成HTTP到websocket的协议升级协商。 
2, 读取websocket的数据帧。忽略掉其中一些ping/pong等无用类型数据。并解出里面的以太网帧格式的数据包
3, 跟据包的目标MAC地址,进行数据包转发。转发的目标peer在已登录了的所有的peer中查找。

1, 如参考文档所示,The WebSocket Handshake是请求web服务进行HTTP->Websocket协议升级的过程(其实跟HTTP->HTTP2的升级协商几乎是一样的)。因为Nginx与server是通过uWSGI交互的,所以这里HTTP请求头通过uWSGI的api解释出来的。

请求头除了标准的升级要求的字段,还有自定义字段HTTP_X_VPN_WS_MAC/HTTP_X_VPN_WS_BRIDGE,用来传送客户端peer的MAC地址和是不是bridge的属性:

#define HTTP_RESPONSE "HTTP/1.1 101 Switching Protocols\r\nUpgrade: websocket\r\nConnection: Upgrade\r\nSec-WebSocket-Accept: "

int64_t vpn_ws_handshake(int queue, vpn_ws_peer *peer) {
ssize_t rlen = vpn_ws_uwsgi_parse(peer, &modifier1, &modifier2);

char *ws_mac = vpn_ws_peer_get_var(peer,
"HTTP_X_VPN_WS_MAC",
17, &ws_mac_len);

char *ws_bridge = vpn_ws_peer_get_var(peer,
"HTTP_X_VPN_WS_BRIDGE",
20, &ws_bridge_len);


int ret = vpn_ws_write(
peer,
http_response,
sizeof(HTTP_RESPONSE)-1 + ws_accept_len + 4);

}

2, 如果来源peer是raw的(即tuntap/本地虚拟网卡),直接将数据包读取出来就好了。如果这peer是raw的,那么就没有上面的第1步:

if (peer->raw) {
data = peer->buf;
data_len = peer->pos;
mac = data;
ws_ret = data_len;
goto parsed;
}

不然就是远端的peer,那么还要解码websocket的数据帧格式,得到原始的以太网数据包:

int64_t vpn_ws_websocket_parse(vpn_ws_peer *peer, uint16_t *ws_header) {

uint8_t byte1 = peer->buf[0];
uint8_t opcode = byte1 & 0xf;
uint64_t pktsize = byte2 & 0x7f;


switch(opcode) {
case 0:
case 1:
case 2:
return needed + pktsize;
case 8:
return -1;
case 9:
case 10:
*ws_header = 0;
return needed + pktsize;
default:
return -1;
}
}

这段代码主要是解释头部格式,找出Payload在websocket数据包中的范围。跟据RFC文档,websocket数据帧里的opcode取值如下,注意binary frame和ping/pong的处理就行了:

*  %x0 denotes a continuation frame
* %x1 denotes a text frame
* %x2 denotes a binary frame
* %x3-7 are reserved for further non-control frames
* %x8 denotes a connection close
* %x9 denotes a ping
* %xA denotes a pong
* %xB-F are reserved for further control frames

综上,第1和2步旨在解释出以太网数据包,代码简要如下:

int vpn_ws_manage_fd(int queue, vpn_ws_fd fd) {
int ret = vpn_ws_read(peer, 8192);

if (!peer->handshake) {
int64_t hret = vpn_ws_handshake(queue, peer);
}

ws_ret = vpn_ws_websocket_parse(peer, &ws_header);
uint8_t *ws = peer->buf + ws_header;
uint64_t ws_len = ws_ret - ws_header;
// 用以整个websocket包进行转发
data = peer->buf;
data_len = ws_ret;

3, 转发非多播目标MAC地址的数据包

目标MAC地址是某个peer的MAC地址或者其bridge下的某个MAC:

if (b_peer->raw && !peer->raw) {
//从远程节点的websocket中取数据包写入到虚拟网卡
wret = vpn_ws_write(
b_peer,
peer->buf+ws_header,
ws_ret-ws_header);
}
else if (!b_peer->raw && peer->raw) {
//从虚拟网卡写入到远程节点websocket
wret = vpn_ws_write_websocket(
b_peer,
data,
data_len);
}
else {
//这里只可能有一种情况即 !b_peer->raw && !peer->raw成立
//也就是从远程节点转发到另一个远程节点,所以保持整个websocket包进行转发
wret = vpn_ws_write(b_peer, data, data_len);
}

客户端实现

1, 创建tun/tap设备,

vpn_ws_fd tuntap_fd = 
vpn_ws_tuntap(vpn_ws_conf.tuntap_name);

2, 创建连接至Nginx Web端

int main(){
vpn_ws_fd tuntap_fd = vpn_ws_tuntap(vpn_ws_conf.tuntap_name);
vpn_ws_nb(tuntap_fd);
peer = vpn_ws_calloc(sizeof(vpn_ws_peer));
memcpy(peer->mac, vpn_ws_conf.tuntap_mac, 6);

if (vpn_ws_connect(peer, vpn_ws_conf.server_addr)) {
vpn_ws_client_destroy(peer);
goto reconnect;
}


}

发送HTTP请求进行websocket升级协商。如果使用HTTPS,那么在此前还有SSL的握手:

int vpn_ws_connect(vpn_ws_peer *peer, char *name) {
if (!strncmp(cpy, "wss://", 6)) {
ssl = 1;
port = 443;
}

struct hostent *he = gethostbyname(domain);


if (connect(peer->fd,
(struct sockaddr *) &sin,
sizeof(struct sockaddr_in))) {

vpn_ws_error("vpn_ws_connect()/connect()");
return -1;
}

int ret = snprintf(buf, 8192,
"GET /%s HTTP/1.1\r\nHost: %s%s%s\r\n%sUpgrade: websocket\r\nConnection: Upgrade\r\nSec-WebSocket-Key: %.*s\r\nX-vpn-ws-MAC: %02x:%02x:%02x:%02x:%02x:%02x%s\r\n\r\n,

)

if (ssl) {
vpn_ws_conf.ssl_ctx = vpn_ws_ssl_handshake(
peer,
domain,
vpn_ws_conf.ssl_key,
vpn_ws_conf.ssl_crt);

if (!vpn_ws_conf.ssl_ctx) {
return -1;
}
if (vpn_ws_ssl_write(vpn_ws_conf.ssl_ctx,
(uint8_t *)buf, ret)) {
return -1;
}
}

等待websocket升级协商回应:

int http_code = vpn_ws_wait_101(
peer->fd,
vpn_ws_conf.ssl_ctx);

if (http_code != 101) {
vpn_ws_log("error,
websocket handshake returned code: %d\n",
http_code);

return -1;
}

3, 读事件的响应。

每个客户端要监听的是tuntap和peer到服务端的连接socket这两个fd,接收前者的以太网格式数据包封装成websocket包转发到后者,接收后者的websocket数据包解码成以太网数据包后转发到前者。

这里的17秒超时设置是为了超时后会发送一个ping包,即每17秒一个ping包的保证。ping包为\x89\x00,这里websocket的数据帧格式,表示FIN=1,opcode=9(PING类型),HAS_MASK=0,Payload length=0:

for(;;) {

FD_ZERO(&rset);
FD_SET(peer->fd, &rset);
FD_SET(tuntap_fd, &rset);
tv.tv_sec = 17;
tv.tv_usec = 0;
int ret = select(max_fd, &rset, NULL, NULL, &tv);

if (ret == 0) {
// 超时
if (vpn_ws_client_write(peer,
(uint8_t *) "\x89\x00", 2)) {
vpn_ws_client_destroy(peer);
goto reconnect;
}
continue;
}

处理远端来的websocket数据包,即写入本地的tuntap设备:

if (FD_ISSET(peer->fd, &rset)) {
if (vpn_ws_client_read(peer, 8192)) {
vpn_ws_client_destroy(peer);
goto reconnect;
}
int64_t rlen = vpn_ws_websocket_parse(
peer,
&ws_header);

uint8_t *ws = peer->buf + ws_header;
uint64_t ws_len = rlen - ws_header;
if (peer->has_mask) {
//XOR解密…
}

vpn_ws_full_write(tuntap_fd, ws, ws_len)
}

转发来自tuntap的以太网数据包以websocket格式封装后转发到服务器:

if (FD_ISSET(tuntap_fd, &rset)) {
vpn_ws_recv(tuntap_fd, mtu+8, 1500, rlen);

vpn_ws_client_write(peer, mtu, rlen + 8)
}

代码不严谨/不妥的地方

C语言直是一门可怕的语言,拿C语言写出大工程更不容易。心疼C语言超弱的表达能力:字符串操作还要自己写,字符串拷贝还要自己写,还要小心什么时候应该释放掉。缺乏面向对象和结构体的权限限制。

本项目代码存在的一些问题:

  • 低效的重分配内存。没有内存池复用,只使用了C的realloc,会有频繁的分配内存和内存拷贝(这里又没有对write_buf的收缩,网络状态不好时只能一直涨大下去)
uint64_t available = peer->write_len - peer->write_pos;
if (available < amount) {
peer->write_len += amount;
void *tmp = realloc(peer->write_buf,
peer->write_len);
  • 可能会指针越界的字符串拷贝(几处地方,一下子找不到了)
  • websocket的代码没有封装,客户端和服务端代码都把websocket的组包和解包的逻辑(尤其是XOR解密MASK的数据)全放入发包的地方,可读性差
  • 没有客户端认证机制?看起来是是个客户端就能连上服务端
  • 缺少合理的封装。比如MAC地址及相关方法。比如vpn_ws_peer这个结构太多成员而且很多不相关,可以封装更多子结构。
  • 客户端与服务端的主循环代码太长,还使用了好多goto,每一个IO调用都要有不同返回值表示出了什么情况,也就是0,小于0,大于0的三种路经,整体逻辑复杂。

  1. Windows并未完全实现,不可用 ↩︎

原文:https://medium.com/@FWTO_O/vpn-ws%E6%BA%90%E7%A0%81%E8%A7%A3%E6%9E%90-7f21809ceaa#.pngnsl8f8

无界浏览16.03正式版(2016年7月10日)

谢谢大家帮助测试并反馈,16.03e升级为16.03正式版。

鉴于很多用户希望使用Linux做整机隔离,同时这一版在某些Linux下用wine有兼容问题,我们特别提供一版Linux版本,不需要Wine,而且更快,更安全,更稳定。请Linux的用户直接使用Linux版。

执行版:
http://wujieliulan.com/download/u1603.exe
SHA1: 77fab0ee5ce094d1f465eba9053d425e10c1d199
MD5: c92ca9b2e2b5463fe2ada76c7eed1b58

压缩版:
http://wujieliulan.com/download/u1603.zip
SHA1: a3ea8a138b11866d5b7be1df3c86faa58e916a85
MD5: 5b44e6b6489d026ea3cb55674dd4c67c

Linux版:
http://wujieliulan.com/download/u1603
SHA1: bc3afb2a878d54913ac16fb261878ea050e32bae
MD5: e61a5deac7826d066e8ec94bd98fc54b

Linux版使用方法:
下载后打开一个终端,chmod +x u1603,然后执行:./u1603, 默认监听地址:127.0.0.1:9666。需要手动设置浏览器代理。
如需要监听 0.0.0.0:./u1603 -L=”0.0.0.0:9666″ 或 u1603 -L=”:9666″
如需要通过代理: ./u1603 -P=“1.2.3.4:8080” 或 ./u1603 -P=”socks://1.2.3.4:1080″
./u1603 -h 会給出提示。

原文:http://forums.internetfreedom.org/index.php?topic=21574.0

无界浏览测试版16.03e (2016年7月9日)

用户反馈在断网后一直显示“服务器连接成功”,已修复,请大家再测试16.03e。请大家在Windows下测试,Linux的用户,请测试下面的Linux版本。

执行版:
http://wujieliulan.com/download/u1603e.exe
SHA1: 77fab0ee5ce094d1f465eba9053d425e10c1d199
MD5: c92ca9b2e2b5463fe2ada76c7eed1b58

压缩版:
http://wujieliulan.com/download/u1603e.zip
SHA1: 36bffb8d2e380dcff2af641698addd62a8c7ffd0
MD5: 310bf932625be4ea7298970877bb6583

Linux版:

鉴于很多用户希望使用Linux做整机隔离,我们特别提供一版Linux版本,不需要Wine,而且更快,更安全,更稳定。
http://wujieliulan.com/download/u1603e
SHA1: bc3afb2a878d54913ac16fb261878ea050e32bae
MD5: e61a5deac7826d066e8ec94bd98fc54b

使用方法:
下载后打开一个终端,chmod +x u1603e,然后执行:./u1603e, 默认监听地址:127.0.0.1:9666。需要手动设置浏览器代理。
如需要监听 0.0.0.0:./u1603e -L=”0.0.0.0:9666″ 或 u1603e -L=”:9666″
如需要通过代理: ./u1603e -P=“1.2.3.4:8080” 或 ./u1603e -P=”socks://1.2.3.4:1080″
./u1603e -h 会給出提示。

原文:http://forums.internetfreedom.org/index.php?topic=21565.0

goproxy r803

Downloads

附:

简易教程

  • 部署

    1. 申请 Google Appengine 并创建 appid。
    2. 下载 goproxy 服务端 https://github.com/phuslu/goproxy/archive/server.gae.zip
    3. 运行 uploader.bat 或 uploader.py 开始上传, 过程中需访问 google 页面并输入授权码, 上传完成后即可使用了。
  • 使用

    • 下载 goproxy 正式版 https://git.io/goproxy, 复制 gae.json 为 gae.user.json 并填入部署完成的 appid
    • Windows 用户推荐使用 goproxy-gui.exe 托盘图标设置 IE 代理(对其它浏览器也有效)。
    • Chrome/Opera 请安装 SwitchyOmega 插件(下载到本地然后拖放文件到扩展设置),导入 SwitchyOptions.bak
    • Firefox 请安装 FoxyProxy ,Firefox需要导入证书,方法请见 FAQ
    • 出现连接不上的情况可以尝试使用 MotherFuckerFang 测速。

配置介绍

前言

  以当前r758正式版为准。以后版本有出入再修改。这是新人入门用的,不是最详细的配置介绍,以能运行能用为准。最主要的配置文件为 gae.json 和 httpproxy.json。没有写到的地方(文件)一般不要修改,如要修改,前提是你理解它的具体作用或用途。
  注:
a.当前版本已支持 autorange 和 http2 。默认配置已开启这两项。
b.当前版本格式已较宽松,即末尾有无逗号都可以。如:”ID1″,”ID2″,”ID3″, 和 “ID1″,”ID2″,”ID3” 效果一样。
c.当前版本支持 xxx.user.json 这种命名格式文件(即,用户配置文件)。升级最新版时可以直接覆盖 xxx.json 。
方法一:如 gae.json,复制 gae.json 为 gae.user.json 修改并保存。
方法二:如 gae.json,使用 
notepad++ 或者 notepad2 新建名为 gae.user.json 的文件,文件格式选 UTF-8, 内容举例如下:

{
    "AppIDs": [
        "ID1",
        "ID2",
        "ID3",
    ],
    "Password": "123456",
}

即:在新的 gae.user.json 文件里只加上你想要修改的内容(选项)。不要忘了外层大括号”{}”。

d. 善用搜索。礼貌提问。提问之前最好搜索一下。没有人有问答你问题的义务。别人都很忙,别人时间都是宝贵的。
e. 不要使用 Windows 系统自带的“记事本”来修改任何配置文件,容易出错(大多数是编码问题)。推荐用上面两个编辑器来修改。

gae.json 文件

  • “AppIDs” 选项

  在这里加入你的 Google Appengine 的帐号。格式如下:

"AppIDs": [  
    "ID1" ,   
    "ID2" ,    
    "ID3" , 
],   
  • “Password” 选项

格式:”Password”: “密码写在这里”

注:密码必须和gae服务端里的相同。密码只是用来防止 appid 被别人盗用。 如果服务端没有设密码,这里也不要改动。

  服务端密码设置(gae.go文件)

前提:须先下载 goproxy 服务端 https://github.com/phuslu/goproxy/archive/server.gae.zip

用文本编辑器打开 gae目录下的 gae.go 文件,不建议使用 Windows 自带的记事本,推荐 notepad++ 或者 notepad2

找到23行(行数随版本变化不一定对),如下:

Version  = "1.0"
Password = ""

改成:

Version  = "1.0"
Password = "你的密码"

保存。重新上传。

  • “SSLVerify” 选项

作用:验证服务器的SSL证书。检查服务器的SSL证书是否是 google 证书。

false : 关闭。   
true : 开启。   
  • “ForceIPv6” 选项

作用:强制使用 IPv6 模式。

false : 关闭。   
true : 开启。   
  • “DisableHTTP2” 选项

作用:关闭 http2 模式,使用 http1 模式。不懂或不理解 http1 和 http2 的区别不要修改。

参数:

false : 默认。先验证IP是否支持http2,否则使用http1。   
true : 关闭 http2 模式,所有IP使用http1。   
  • “ForceHTTP2” 选项

作用:强制开启 http2 模式。不懂或不理解 http1 和 http2 的区别不要修改。

参数:

false : 默认。   
true : 强制开启 http2 模式。所有IP使用http2。   
  • “EnableDeadProbe” 选项

作用:是否开启死链接(无效链接)检测

false : 关闭。   
true : 开启。   
  • “EnableRemoteDNS” 选项

作用:是否启用远程DNS解析。配合 “DNSServers” 选项使用。

false : 关闭。   
true : 开启。   
  • “HostMap” 选项

这里填写你找到的IP。格式如下:

"HostMap" : {
    "google_hk": [
        "xxx.xxx.xxx.xxx",
        "xxx.xxx.xxx.xxx",
        "xxx.xxx.xxx.xxx",
        "xxx.xxx.xxx.xxx",
    ],
    "google_cn": [
        "xxx.xxx.xxx.xxx",
        "xxx.xxx.xxx.xxx",
        "xxx.xxx.xxx.xxx",
        "xxx.xxx.xxx.xxx",
    ]
},

注:
a. “google_cn” 子项可以不用修改。默认情况下使用的是 google 中国 IP (服务)。
b. 当前版本已支持IP自动去重—-即,填入的IP即使有重复,程序会自动去掉重复的再导入使用。
c. 此项配合 “SiteToAlias” 选项使用。

  • “SiteToAlias” 选项

此项配合 “HostMap” 选项使用。

作用:简单说是让哪些谷歌服务(搜索、广告、视频)翻不翻墙(使用谷歌中国IP还是使用谷歌外国IP)。

  • “ForceGAE” 选项

作用:哪些网址强制走GAE代理。

  • “ForceDeflate” 选项

作用:哪些网址强制使用”压缩”功能?

  • “TLSConfig” 选项

作用:TLS协议配置。

“Version” 子项:TLS协议版本号。

“ClientSessionCacheSize” 子项:

“Ciphers” 子项:

“ServerName” 子项:

  • “GoogleG2KeyID” 选项

  • “FakeOptions” 选项

  • “DNSServers” 选项

作用:远程DNS服务器IP。”EnableRemoteDNS” 选项为 false 时此项无效。

  • “IPBlackList” 选项

作用:DNS服务器黑名单,此项配合 “DNSServers” 选项使用。”EnableRemoteDNS” 选项为 false 时此项无效。

  • “Transport” 选项

httpproxy.json 文件

这里分两大部分。 “Default” 和 “PHP” 。这两种代理模式可同时开启。

“Default” : 即 GAE 代理。
“PHP” : 即 PHP 代理。

说明:双斜杠 “//” 是注释符号,取消即使用,加上即关闭该功能。

  • “Enabled” 选项

参数:

false : 关闭代理("Default" 或者 "PHP")。   
true : 开启代理("Default" 或者 "PHP")。   
  • “Address” 选项

这里一般不用改。格式: “IP地址:端口”

这里常用有两种(任选一种):

"Address": "127.0.0.1:8087",

"Address": "0.0.0.0:8087",

注:
1. 第一种是只能本机使用。
2. 第二种是用来共享时使用。当然本机也能用。

  • “RequestFilters” 选项

作用:请求过滤。

一般不要修改。

“auth”: 前置代理?
“rewrite”: 使用自定义UserAgent?
“stripssl”: 使用SSL证书?
“autorange”: 多线程传输(下载)?

  • “RoundTripFilters” 选项

作用:往返过滤。

一般不要修改。

“autoproxy”: SiteFilters或pac或gfwlist模式?
“auth”: 前置代理
“vps”: vps代理
“php”: php代理
“gae”: gae代理
“direct”: 直连

  • “ResponseFilters” 选项

作用:响应过滤。

一般不要修改。

“autorange”: 多线程传输(下载)?
“ratelimit”: 限速?

php.json 文件

PHP 代理配置。

  • “Servers” 选项

这里写上 PHP 代理地址(网址)和密码。可以同时写上多个代理。

“Url”: PHP 代理地址(网址)
“Password”: PHP 代理密码
“SSLVerify”: 开启ssl证书验证
“Host”: PHP 代理IP地址

多个代理格式:

"Servers": [
    {
        "Url": "http://yourapp1.com/",
        "Password": "123456",
        "SSLVerify": true,
        "Host": "xxx.xxx.xxx.xxx",
    },
    {
        "Url": "http://yourapp2.com/",
        "Password": "123456",
        "SSLVerify": false,
        "Host": "",
    },
    {
        "Url": "http://yourapp3.com/",
        "Password": "123456",
        "SSLVerify": false,
        "Host": "",
    }
],

addto-startup.vbs 文件

用途:设置 goproxy 开机启动。(windows系统)

get-latest-goproxy.cmd 文件

用途:升级到最新版。(windows系统)

auth.json 文件

autoproxy.json 文件

  • “SiteFilters” 选项

  • “IndexFiles” 选项

  • “GFWList” 选项

autorange.json 文件

  • “Sites” 选项

  • “SupportFilters” 选项

  • “MaxSize” 选项

  • “BufSize” 选项

  • “Threads” 选项

direct.json 文件

ratelimit.json 文件

rewrite.json 文件

  • “UserAgent” 选项

stripssl.json 文件

vps.json 文件

原文:https://github.com/phuslu/goproxy/releases/tag/goproxy

翻墙问答:GitHub应中国要求封锁“赵家人项目”

firewall620GitHub.jpg

2015年,GitHub曾受到来自中国大陆的网络攻击。最近,GitHub应中国当局要求作出区域性封锁。(维基百科公开资料图片/粤语部制图)

问:对针对中国太子党网络的赵家人开发项目,最近GitHub应中国当局要求作出区域性封锁。GitHub的新机制,会否影响其他翻墙项目的开发,以及程式的流通?

李建军:GitHub为了保持与中国和俄罗斯用户的接触,在审查政策上有一定妥协,只要有关当局向GitHub作出书面抗议,GitHub会将有关书面抗议公开,并且在指定国家作出封锁。而这次中国当局以赵家人项目诽谤习近平的名义,向GitHub提出正式抗议,而GitHub亦将赵家人项目在中国作出封锁,不容许中国IP使用者浏览,出现错误代码451的字样,亦即表示相关内容因中国当局要求而被封锁,纵使中国当局已经一早透过防火长城技术,阻止中国网民浏览GitHub的内容。

现时未知中国当局会否滥用GitHub的投诉机制,试图阻止中国网民参与翻墙软件的开发,但相信中国政府会尝试利用GitHub这个机制,阻止中国网民参与其他有政治意味的开发项目。因此,如果中国网民要开发类似赵家人般,有浓厚政治味道的开源项目,除了GitHub,有可能要考虑其他开源项目开发协调平台。而参与这类项目的开发者,亦必须有一定的翻墙知识,令网民可以保持参与项目的开发和测试。

问:其实除了翻墙软件,GitHub还有什么项目,有可能触怒北京当局,触发GitHub的自我审查机制?

李建军:这次所谓的赵家人项目,并非一个程式,而是一个数据库,集齐了海内外传媒关于太子党的报道,再可以作搜寻之用。因此,除了翻墙软件,各类的禁书资料库,或禁闻资料库,若然以包装式电脑程式或手机应用程式的话,这类项目都可能成为中国当局针对对象,因为这类资料库,往往会有一些中国当局不希望民众所知道的黑幕。而赵家人项目纯粹搜集关于太子党的禁闻,有可能只是类似项目的开端,在可见的将来,这类搜集中国当局丑闻纪录的资料库项目,可能陆续有来。

问:有部分旧款的TP-LINK无线路由器,最近出现无法进入设定网页的问题,令不少人感到非常困扰,这到底发生什么事?

李建军:虽然现时大部分无线路由器,都是以192.168.1.1或192.168.100.1之类数字网址进入路由器设定网页,但这种网址很容易造成保安问题。如果你的无线网络并未有加密,黑客要进入你的无线路由器改动设定非常容易。因此,像TP-LINK之类路由器制造商,就注册了特定网域名称,专门作路由器设定之用,防止有黑客撞入无线路由器设定网页,造成保安问题。而TP-LINK未有就旧款无线路由器的设定网域续期,令旧款的无线路由器想进入设定网页时,结果跳入网域新主人的网站上,令TP-LINK旧款路由器用家无法对路由器设定作出改动,或要作出不少改动后,才能进入无线路由器的设定网页。

由于受影响的无线路由器款式非常旧,不单速度不够快,而且路由器的作业系统软件亦由于太旧,厂商一直亦未必就路由器的软件作出相应的保安更新,可能有不少保安漏洞,黑客有不止一个方法入侵你的路由器,那对你的网络安全构成威胁。在现时无线路由器相当普及,而且价廉物美的情况下,倒不如买一个新的无线路由器,取代受影响的路由器,可能是更为实在的做法。而如果你是VPN的用家,有可能买一个内置VPN支援的新款无线路由器,比保留现有的TP-LINK路由器更为实际。(完)

原文:http://www.rfa.org/cantonese/firewall_features/github-07082016090104.html?encoding=simplified

无界浏览测试版16.03d (2016年7月8日)

再次感谢大家帮助测试反馈,请大家再测试16.03d。请大家在Windows下测试,Linux的用户,请测试下面的Linux版本。

执行版:
http://wujieliulan.com/download/u1603d.exe
SHA1: 20e7be26ae1a6cf2ed0de85935c41458e8e50873
MD5: 9f1f32c1d70f5d443111f644c082b12d

压缩版:
http://wujieliulan.com/download/u1603d.zip
SHA1: 3d2e0d245acd0da4b3a9dc29a2dfc252a87e665e
MD5: c76255cfe4286d4d1912f554ba4fa08b

Linux版:

鉴于很多用户希望使用Linux做整机隔离,我们特别提供一版Linux版本,不需要Wine,而且更快,更安全,更稳定。
http://wujieliulan.com/download/ul1603d
SHA1: 5eb83b0ab4bf5748a935a335e55bd5faa8a811bd
MD5: 5dc683662a304b483240d919129aaac5

使用方法:
下载后打开一个终端,chmod +x ul1603d,然后执行:./ul1603d, 默认监听地址:127.0.0.1:9666。需要手动设置浏览器代理。
如需要监听 0.0.0.0:./ul1603d -L=”0.0.0.0:9666″ 或 ul1603d -L=”:9666″
如需要通过代理: ./ul1603d -P=“1.2.3.4:8080” 或 ./ul1603d -P=”socks://1.2.3.4:1080″
./ul1603d -h 会給出提示。

原文:http://forums.internetfreedom.org/index.php?topic=21562.0

极客DIY:使用树莓派搭建Tor节点,实现科学上网

GeekFeastGiveaway

我们的目标是:用树莓派实现-硬件Tor,通电自动连接Tor节点,所有流量全部强制通过Tor节点引出,到达目标地址。断线无限重连。不管是手机,还是平板,还是PC,只要连接到树莓派之后,全部实现全程Tor节点流量,实现科学上网。

0×01:前期准备

1.1:准备硬件:

IMG_20160412_091607.jpg

1.2:安装系统

下载kali-2.1.2-rpi.img,并且使用win32diskimager写入SD卡。

0x01.png

将电源+电源线+树莓派B板+无线网卡+SD卡接好,通电,连接到家庭路由器上,此处为常用的姿势,不可能插错的,所以就不上图了。树莓派上四个灯都点亮了之后,进入家庭路由器网关,找到树莓派的IP地址,用Putty软件SSH连到树莓派上,kali的SSHD是默认开启的,账号是root,密码是toor。连接时会弹出是否接受SSH秘钥,选择“是”接受。连接成功的正确姿势是这样的:

屏幕截图_041216_101249_AM.jpg

1.3:添加源&更新

如果不更新,后面很多软件会无法进行自动化安装。Vi打开/etc/apt/sources.list,在源里添加以下内容,然后进行更新,apt-get update && apt-get upgrade。根据网速可能需要若干小时,因为要连欧洲服务器,所以速度很龟毛。完成后手动reboot重启。

deb http://mirrors.ustc.edu.cn/kali kali main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali main non-free contrib
deb http://mirrors.ustc.edu.cn/kali-security kali/updates main contrib non-free
deb http://mirrors.aliyun.com/kali kali main non-free contrib
deb-src http://mirrors.aliyun.com/kali kali main non-free contrib
deb http://mirrors.aliyun.com/kali-security kali/updates main contrib non-free

1.4:可选项

恢复只有官方Wheezy镜像才自带的raspi-config功能:安装过原版系统的都知道,原版功能确实很便利。(下方文件可能有更新,可根据需求安装最新版)

wget http://archive.raspberrypi.org/debian/pool/main/r/raspi-config/raspi-config_20150131-1_all.deb
wget http://http.us.debian.org/debian/pool/main/t/triggerhappy/triggerhappy_0.3.4-2_armel.deb
wget http://http.us.debian.org/debian/pool/main/l/lua5.1/lua5.1_5.1.5-7.1_armel.deb
#以上为下载主安装包和依赖包
dpkg -i triggerhappy_0.3.4-2_armel.deb
dpkg -i lua5.1_5.1.5-7.1_armel.deb
dpkg -i raspi-config_20150131-1_all.deb

以上是安装依赖包和主包 注意要严格按照安装顺序
raspi-config的配置过程省略,网上遍地都是,以上准备工作结束。

屏幕截图_041216_062117_PM.jpg

0×02:配置网络

2.1:简介

这里采用的是无线网卡(wlan0)连接家庭无线网关上网,有线网口(eth0)作为hdcpd服务器连接AP分发IP地址作为网关收集client信息。这样做有几个优点:

1.wlan0可以后期变更为市面上有售的无线网卡,作为网络出口,或者可以连接手机热点,手机作为出口,达到移动网关的目的。这些均可以充电宝供电。

2,eth0连接AP,可以扩大信号范围,增强收集强度,在树莓派上设置wireshark拦截所有请求,达到中间人的目的,或者安装XAMPP自建钓鱼网站,骗取用户账户和密码。

3,任何终端均可自行连接到AP上,自动获得IP地址,对树莓派进行配置,比较方便。可以是电脑,平板,或者手机,在公共场合操作非常方便,不必一直扛着电脑。(改掉树莓派上的SSH的默认密码,否则任何人都可以连上你的树莓派。)

4,如果全部要求可移动,那可以增加一个wlan1作为dhcpd服务器分发IP,这样的缺点是信号比较弱。

现在开始搭建:

2.2:

无线网卡设置DHCP模式,连接上无线网:修改/etc/network/interfaces,添加:

allow-hotplug wlan0    #这是网卡wlan0
iface wlan0 inet dhcp   #把wlan0设置成dhcp模式,以自动获取ip地址
wpa-ssid ChinaNGB-WF   #这是你的ssid
wpa-psk my123456    #这是ssid的wifi密码
#wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf #把这一行注释掉
iface default inet dhcp   #默认dhcp模式

然后reboot,然后无线网卡上小灯开始闪呀闪,就知道已经开始工作了。然后再去路由器上找到e8开头的MAC地址(EPUB网卡),SSH连上去。

IMG_20160412_180107.jpg

输入ifconfig命令:会出现已经获取到的ip地址等等,说明已经成功连上无线。这时候你可以把有线断掉了,把eth0口腾空出来。
(PS:在户外的时候,没有家庭网络,但是我们有手机,可以共享无线热点出来,我们可以共享无线热点,同时连接上树莓派进行设置和监视,同时进行“工作”。此时要把wlan设置连上我们手机分享出的热点。)

屏幕截图_041216_060339_PM.jpg

2.3

把腾出来的eth0设置成静态地址:修改/etc/network/interfaces:

2.4:安装和配置

安装DHCP服务器为接进热点的设备分配IP:

apt-get install isc-dhcp-server

修改/etc/dhcp/dhcpd.conf:将里面所有的内容都#掉,末尾加上:

ddns-update-style none;default-lease-time 600;
max-lease-time 7200;authoritative;log-facility local7;
subnet 192.168.10.0 netmask 255.255.255.0 {  range 192.168.10.2 192.168.10.254;
option domain-name-servers 8.8.8.8;
option domain-name "raspberry";    option routers 192.168.10.1; option broadcast-address 192.168.10.255;    

}→→→→→修改/etc/default/isc-dhcp-server:同理将所有内容#掉,末尾加上:

DHCPD_CONF="/etc/dhcp/dhcpd.conf"INTERFACES="eth0"

→→→→→isc-dhcp-server这个软件有一点小缺陷,需要自建一个leases文件:

touch /var/lib/dhcp/dhcp.leases

→→→→→启动isc-dhcp-server:

service isc-dhcp-server start

将isc-dhcp-server加入开机自启:

update-rc.d isc-dhcp-server enable0x02.4

添加iptables引导流量走向:打开流量转发:A.修改/etc/sysctl.conf:net.ipv4.ip_forward=1 B.修改/proc/sys/net/ipv4/ip_forward为1:

修改proc下的文件有点特殊 不可用vi,而是用echo命令的方式#echo 1 > /proc/sys/net/ipv4/ip_forward  添加转发规则:然后用iptables -t nat -S和iptables -S检查是否添加成功开NAT:

sudo iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE wlan的全部进eth,全接受sudo iptables -A FORWARD -i wlan0 -o eth0 -m state –state RELATED,ESTABLISHED -j ACCEPTeth的全部进wlan,全接受# sudo iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT规则开机自添加# sh -c “iptables-save > /etc/iptables.ipv4.nat”#reboot此时已经可以连接eth0实现上网。打开水星的AP,设置SSID为i-Shanghai,密码为空,设置过程略。eth0连接到AP的lan口,启动AP,任何客户端连接到AP即自动连接到eth0口。

0×03

安装监视软件,监测树莓派实时动态→netdata ,如果需要年月周汇总动态,可以选择Monitorix(已亲测,可以安装。)。参考文档:https://github.com/firehol/netdata/wiki/Installation

3.1:安装netdata:安装所有的依赖包配置环境#apt-get install zlib1g-dev gcc make git autoconf autogen automake pkg-config

3.2:第一行从GitHub下载编译文件,然后cd到文件夹,然后运行编译:

git clone https://github.com/firehol/netdata.git --depth=1
cd netdata#./netdata-installer.sh

3.3:加入开机启动,在rc.local下加入/usr/sbin/netdata,然后reboot重启。

3.4:然后在任意浏览器打开 树莓派IP地址:19999,别忘了端口号,默认是19999,然后正确的姿势如下:

屏幕截图(9).png

正确配置和连接好后的拓补如下:

IMG_20160412_214252.jpg

0×04

好了,以上均为foreplay,前戏,现在进入正题。我们的目标是:(没有蛀牙!)用树莓派实现《硬件Tor》,通电自动连接Tor节点,所有流量全部强制通过Tor节点引出,到达目标地址。断线无限重连。不管是手机,还是平板,还是PC,只要连接到i-Shaghai之后,全部实现全程Tor节点流量,实现科学上网。

4.1:Tor是什么:Tor是加密互联网路由器,可以将你的流量加密后在Tor节点上至少进行三层跳板,跳板不定期随机耦合,到达目的网址,混淆你的IP地址,由于其加密传输,可以躲过·政·府·的关键词过滤探针,在国外广泛被应用于暗网入口。有了这款《硬件Tor》之后,可以随时随地进入暗网。本文不介绍如何进入暗网。

initpintu_副本.jpg

4.2:网桥是什么:以上这么多福利满满,在本国被禁掉也是理所当然的事情。所以在国内,第一步是连接上Tor节点之前,需要搭一座桥,以连接上节点服务器。这座桥就叫做网桥。第一代网桥只是简简单单的IP地址,现在的第三代抗干扰混淆网桥(obfsproxy)大概的姿势是这样的:可以突破封锁,直达国外。(以下网桥时效性不保证)

obfs3 37.187.65.72:35304 E47EC8C02C116B77D04738FA2E7B427F241A0164
obfs3 194.132.209.8:57356 B43A8BDE049073CA7AA7D3D46A7F97A93042DF35
obfs3 23.252.105.31:3443 CDAE9FD7710761D1914182F62B1B47F2FBF1FDE1

4.3:网桥这么宝贵,如何获取网桥,本文推荐的方式是去官网直接索取网桥。地址(需要科学上网才可以登录)是:https://bridges.torproject.org/bridges?transport=obfs3
4.4:接下来就是重头戏安装和配置Tor了:(以下需要在VPN环境下进行,无线网卡需要连接到VPN内部)在更新源里/etc/apt/sources.list添加以下两项:deb http://deb.torproject.org/torproject.org wheezy maindeb-src http://deb.torproject.org/torproject.org wheezy main更新和导出前面包和秘钥:#gpg –keyserver keys.gnupg.net –recv 886DDD89#gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -然后:更新源和安装最新版的Tor:apt-get updateapt-get install tor deb.torproject.org-keyring此时最新版的Tor就安装好了,截止发稿,版本为:0.2.7.6-1

屏幕截图_041316_124606_PM.jpg

4.5:安装obfsproxy:

#apt-get install obfsproxy   完成后最新版如下图:

屏幕截图_041316_010726_PM.jpg

4.6:接下来就是对Tor进行配置(离成功越来越近了,欣喜!):修改/etc/tor/torrc:

SocksPort 9050
SocksListenAddress
192.168.10.1:9050 # 树莓派IP
ClientOnly 1
VirtualAddrNetwork 10.192.0.0/10
DNSPort 53
DNSListenAddress 192.168.10.1
AutomapHostsOnResolve 1
AutomapHostsSuffixes .onion,.exit
TransPort 9040
TransListenAddress 192.168.10.1
Log notice file /var/log/tor/notices.log  # log日志路径
RunAsDaemon 1
ClientTransportPlugin obfs3 exec /usr/local/bin/obfsproxy managed        # obfsproxy路径
UseBridges 1
Bridge obfs3 37.187.65.72:35304 E47EC8C02C116B77D04738FA2E7B427F241A0164 #刚刚获取的网桥
Bridge obfs3 194.132.209.8:57356 B43A8BDE049073CA7AA7D3D46A7F97A93042DF35
Bridge obfs3 23.252.105.31:3443 CDAE9FD7710761D1914182F62B1B47F2FBF1FDE1

4.7:添加iptables规则

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j REDIRECT --to-ports 22
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 19999 -j REDIRECT --to-ports 19999
sudo iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j REDIRECT --to-ports 53
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --syn -j REDIRECT --to-ports 9040

为了让上面的规则在开始时自动添加,执行:
# sh -c “iptables-save > /etc/iptables.ipv4.nat”
  第一条命令为22端口开一个特例,这样SSH才能连上树莓派。
  第二条命令为19999端口开一个特例,这样netdata才能连上树莓派。
  第三条命令将所有DNS(端口号53)请求转发到配置文件torrc中的DNSPort中
  第四条命令将所有TCP流量转发到配置文件torrc中的TransPort中

4.8:启动tor客户端进程:
# service tor start
在/var/log/tor/notices.log中查看tor启动情况,正常的是:

Apr 13 13:32:46.000 [notice] Bootstrapped 5%: Connecting to directory server
Apr 13 13:32:46.000 [warn] We were supposed to connect to bridge ’162.217.177.95:18869′ using pluggable transport ‘obfs4′, but we can’t find a pluggable transport proxy supporting ‘obfs4′. This can happen if you haven’t provided a ClientTransportPlugin line, or if your pluggable transport proxy stopped running.
Apr 13 13:32:47.000 [notice] Bootstrapped 10%: Finishing handshake with directory server
Apr 13 13:32:57.000 [notice] Bootstrapped 15%: Establishing an encrypted directory connection
Apr 13 13:32:58.000 [notice] Bootstrapped 20%: Asking for networkstatus consensus
Apr 13 13:32:58.000 [notice] Bootstrapped 25%: Loading networkstatus consensus
Apr 13 13:33:22.000 [notice] Bootstrapped 80%: Connecting to the Tor network
Apr 13 13:33:23.000 [notice] Bootstrapped 90%: Establishing a Tor circuit
Apr 13 13:33:28.000 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
Apr 13 13:33:28.000 [notice] Bootstrapped 100%: Done

屏幕截图_041316_013613_PM.jpg

然后任何时候reboot,树莓派会自动启动,开始连接加密节点,同时eth0口等待你的终端进行连接,我们的目的已经实现。网络出口会自动间隔几分钟就会跳动一次,表现为出口IP会不断变化,隐藏你的真实身份。这时候,你可以畅享目前为止军方都无法破解的加密服务了。

原文:http://www.freebuf.com/news/topnews/101629.html

无界浏览测试版16.03c (2016年7月7日)

新增了自动打开关闭 IE 和 Chrome 的选项,修复了16.01,16.02和 16.03a 的一些问题。
请再帮助测试并反馈,谢谢。

执行版:
http://wujieliulan.com/download/u1603c.exe
SHA1: 8f3a386b15c603a7bc1ab3d624d682d29203e3e3
MD5: a009e1c66be6ea9f4d36ef8db8345ee2

压缩版:
http://wujieliulan.com/download/u1603c.zip
SHA1: b079fe0f8f97a6e695a744c39d6c8d1340a5679f
MD5: ce478743dcbc00e05a5da4e4d1080ebe

原文:http://forums.internetfreedom.org/index.php?topic=21559.0

无界火狐测试版0.1c (2016年7月6日)

谢谢大家测试反馈,这一版增加了“恢复火狐代理”功能。旧版关闭无界火狐扩展后设置成“使用系统代理”,新版则恢复成使用无界火狐扩展前的代理设置。

请将旧版卸载再安装新版以免有冲突。

自带破网功能,无需运行其他破网软件,支持Windows, Mac, Linux, 32/64 (不需要再运行wine).

安装: 可以用火狐直接下载安装,点击“允许”。如火狐禁止下载,可用其他浏览器下载后用鼠标拉到火狐浏览器,点击“安装”。

使用:点击火狐右上角的无界图标,点击开关即可开启或关闭。 连接成功后,无界图标变成彩色。

http://wujieliulan.com/download/uf001c.xpi
SHA1: d90792c1b9b350ee4f8ad3d1e48cba96be15921a
MD5: 23e5c6894763732fa3c727e0f604e3be

原文:http://forums.internetfreedom.org/index.php?topic=21556.msg74806#msg74806

无界浏览16.02正式版(2016年7月5日)

谢谢大家帮助测试并反馈,16.02a升级为16.02正式版。

1. 修复了手动设置代理的问题。
2. 修复了无界分享。

一些用户反馈了一些在Linux下的问题,请测试无界火狐,直接支持Linux, Mac 和 Windows, 无需使用wine, 这样速度更快更稳定,谢谢。

执行版:
http://wujieliulan.com/download/u1602.exe
SHA1: 0e937c374b890cdcf45469e99b2b438fe3aa0849
MD5: 95bc8056a4c1b0cfd55a29725a7a0767

压缩版:
http://wujieliulan.com/download/u1602.zip
SHA1: b2052c8ecbc3a6c966a4894f3db8bfc9f89c3223
MD5: b694a2f7a398211501019e002fb4a827

原文:http://forums.internetfreedom.org/index.php?topic=21552.0

GreatFire.org 现在开始测试VPN在中国的速度和稳定性

 

在中国有一个普遍观念,如果你有一个可以使用的VPN,那么你应该保持沉默。就信息自由而言,这种观念的问题在于获取知识竟成了一种秘密。今天,我们推出一个项目,希望能够摧毁这种模型。

来源:https://zh.greatfire.org/blog/2016/jul/greatfireorg-now-testing-vpn-speed-and-stability-china

我们最新的网站,翻墙中心,目的在于实时提供那些能够在中国使用的翻墙方案的信息和数据。在2011年以来我们就已经开始收集在中国被屏蔽的网站,现在我们也将增加那些可用的VPN和其他翻墙工具。
我们发布翻墙中心主要有四个目的。
我们的首要目标是助长使用翻墙工具的国人的数量。通过分享我们这些工具的信息和数据,我们希望对更广泛的受众展示那些工具时可以使用的。
我们的第二个目标是通过带来工具性能的透明化来提升中国用户的翻墙体验。我们将会测试工具的速度(流行网站的加载速度)和稳定性(流行网站加载成功的程度)。
我们开发速度测试的目的是要真实反映用户的体验。当用户在网站测速时,浏览器在后台会从10个世界上最流行的网站上下载一些资源文件。根据Alexa(link is external)排名,这些网站分别是Google, Facebook, YouTube, Baidu, Amazon, Yahoo, Wikipedia, QQ, Twitter and Microsoft Live。速度的结果是简单的计算下载文件文件的大小和下载所需的时间。我们同样也会验证下载的文件是否完整。如果文件的内容是错误的或者在40秒内无法完成下载,我们会标记为失败。这个数据被我们用来生成另一个重要指标-稳定性。
其他的速度测试工具仅仅是通过发送数据到它们自己的服务器来测量上传和下载的速度。这种数据无法反应用户的体验,因为正常的浏览器通常会频繁的发送一系列的请求(而不是上传或下载一个大文件)到许多的服务器,而不止是一个。
我们的第二个指标 – 稳定性 – 是其他的服务通常不会测试的。一个健康的互联网连接应该达到100%的稳定性,除非有人在测试中把网线拔了。但是在中国使用翻墙工具却不是这样。任何时候连接都有可能变得不稳定或十分缓慢。根据请求的大小,最终的地点和代理的方式,一些请求有可能会失败。比较服务的稳定性要比比较速度更加重要。
你可以测试任意的翻墙工具,列表之外的也可以。中国的VPN用户也可以测试他们的工具,测试结果也会添加到数据库中。这些数据都将会对所有人开放。实时的在中国测试是非常重要的,因为VPN随时都可能被封锁或解封。我们欢迎任何的关于测试过程的反馈。有技术能力的用户也可以通过审查我们的javascript代码来获悉我们的测试是如何工作的。
我们郑重的邀请翻墙工具的开发者们向我们提供测试过程的反馈。我们的第三个目标是帮助这些开发人员改进他们的产品,让更多的选择适用于中国的顾客。此外,越多的工具可以工作,就意味着中国当局对翻墙的打击就会越难。
中国的用户都知道,在过去的18个月中当局加紧了对翻墙工具的攻击。而翻墙中心将会吹响反击的号角。反其道而行之,让这不再成为秘密。我们要鼓励人们分享翻墙工具可以工作的信息。
我们的第四个目标就是要为GreatFire.org创造收益。目前GreatFire仍然依靠世界各地的热心人士和组织的捐款。我们希望减少对这些机构的依赖,并探寻GreatFire.org自给自足的道路。用户只需到翻墙中心就能购买任意一款我们目前在测试的付费工具。GreatFire将作为这些工具在中国的经销商,因此VPN供应商会给予我们每个零售的一部分。用户也不必在中国购买这些翻墙服务。
可靠的VPN在中国是个秘密也不是完全正确的,许多网站也会提供“VPN评论”和“VPN评分”。但是访问了这些网站的任何人都可以很明显的看到他们是作为VPN供应商推荐和营销网站的的一小部分,而且这些服务大多数都在中国行不通。
您可能看到过这个匿名者创建的VPN大列表(link is external)。我们招募了一些在中国的测试人员来测试这个列表中几乎所有的工具,看看什么可行,什么不可行。这给那些中国的人们带来了一些惊喜,让他们知道有极少数的工具实际上在中国时可以工作的。
直到翻墙中心上线之前,没有人提供过公开的关于哪些翻墙工具能够在中国使用的信息。许多人有一些或能或不能工作的误传。一些VPN提供商也鼓励他们的客户对解决方案有效性“保持安静”。与之相反,我们鼓励大家阅读这篇文章,访问我们的新网站,来和大家分享购买翻墙工具的益处。
如果你是一个VPN提供商,并且你想要被添加到列表中,请联系 charlie.smith@greatfire.org

SNI Proxy用于科学上网

SNI是一个扩展的TLS计算机联网协议,这允许在握手过程开始时通过客户端告诉它正在连接的服务器的主机名称。

来源:https://haiwx.github.io/2016/07/01/gsxd/

相关链接:

这里介绍SNI Proxy科学上网的应用。

  • 优点:客户端不需要安装任何客户端,也不用做什么帐号认证之类的东西。 自己的SNI Proxy服务器配置好 只要哪个网站需要用到代理只要把域名解析到自己的SNI Proxy上即可进行代理 方便各种手机不能Root之类的直接使用。
  • 缺点:没有认证机制,只要知道IP的人都可以用来作为自己的代理使用,让自己的VPS损失流量在这里就不说具体原理了,直接用就行。

因为中国移动香港已经为大家建立好了SNI服务器 我们就不需要再自己花钱买VPS来建立,我们只需要HOST\路由器的Dnsmasq或者自己搞一个DNS都行,把需要域名执行SNI服务器即可完成.

最简单的使用的时候方法直接加入Hosts就好,指哪打哪,不用导入额外证书(防止中间人攻击)。

我本人整理了一份SNI替换版Host,常用的都已包括在内,以后会不定时更新(不过想来中国移动香港的IP失效的机会应该很小吧 →_→ ),我是萌哒哒的传送门→链接: pan.baidu.com/s/1i5EtqCl 提取密码:wn6g 解压密码:Firefox

原文:http://www.chinagfw.org/2016/07/sni-proxy.html

小内存福音,Kcptun + Shadowsocks加速方案

本博客曾经发布了通过 Finalspeed 加速 Shadowsocks 的教程,大家普遍反映能达到一个非常不错的速度。Finalspeed 虽好,就是内存占用稍高,不适合服务器内存本来就小的用户;而且现在 Finalspeed 停止维护,就需要寻找一个能替代 Finalspeed 的工具。

今天我就给大家介绍这么一个能替代 Finalspeed 的项目 — Kcptun。

Kcptun介绍

Kcptun 是一个非常简单和快速的,基于 KCP 协议的 UDP 隧道,它可以将 TCP 流转换为 KCP+UDP 流。而 KCP 是一个快速可靠协议,能以比 TCP 浪费10%-20%的带宽的代价,换取平均延迟降低 30%-40%,且最大延迟降低三倍的传输效果。

Kcptun 是 KCP 协议的一个简单应用,可以用于任意 TCP 网络程序的传输承载,以提高网络流畅度,降低掉线情况。由于 Kcptun 使用 Go 语言编写,内存占用低(经测试,在64M内存服务器上稳定运行),而且适用于所有平台,甚至 Arm 平台。

Kcptun 工作示意图:

小内存福音,Kcptun + Shadowsocks加速方案 - 第1张  | 扩软博客

KCP 协议:https://github.com/skywind3000/kcp

Kcptun 项目地址:https://github.com/xtaci/kcptun

如果你在使用过程中有什么问题,也可以添加博主QQ寻求帮助。

相关项目

以下为 Kcptun 的相关项目,如果有兴趣,可以了解一下。

1.Kcp-server:https://github.com/clangcn/kcp-server

Kcp-server 是在 Kcptun 的基础上,添加了配置文件的支持,并简化了安装过程,一条命令即可配置完毕。

如果你是小白,而且看了后面的教程也看不懂的话,推荐直接使用 Kcp-server 吧,就是更新较原版略慢。

2.Shadowsocks-Plus:https://github.com/shadowsocks-plus/shadowsocks-plus

基于 Shadowsocks Go 版本,加入了以下特性:

  • 启动后降低权限至 nobody , 增强安全性;
  • 与 kcptun 集成,配合相应客户端可加速传输;
  • 网页控制面板。

部署Kcptun

2016.07.01 v20160701发布,限定RTO退让的最大值为8xRTT,修正假死问题。

2016.06.27 v20160627发布,新参数-nocomp,需要在两端同时使用以禁止压缩传输。

2016.06.17 添加客户端开机自启批处理,重写软件启动vbs脚本。

本教程以 CentOS 6.5 64位为例。

首先下载 Kcptun,可以到 GitHub 上获取最新版:小内存福音,Kcptun + Shadowsocks加速方案 - 第2张  | 扩软博客

用 Xshell 或者 Putty 登陆服务器,下载 Kcptun 的预编译版:

注:请根据你的系统下载对应版本。32位系统下载 kcptun-linux-386-*.tar.gz,64位系统下载 kcptun-linux-amd64-*.tar.gz

解压之后有两个文件:client_linux_amd64 和 server_linux_amd64,一个用于服务器,一个用于客户端。

这个项目目前还没有 init 脚本,也还不支持配置文件,于是我写了两个简单的 sh 脚本,用于启动和关闭服务端。请在服务端程序相同目录下新建两个文件 start.sh 和 stop.sh。

创建 start.sh

写入以下内容:

server_linux_amd64 对应服务端文件名,请对应修改。

  • -l 表示 Kcptun 的服务端监听端口,用于接收外部请求和发送数据,默认 29900;
  • -t 表示要加速的地址,我这里设置的是我服务器的 Shadowsocks 端口;
  • -key 是 Kcptun 的验证密钥,服务端和本地必须一致才能通过验证,请自行设置;
  • -mode 为加速模式,默认 fast,这里使用 fast2。

由于可用参数太多,不一一举例,其他参数可以参考项目主页的介绍。

响应速度:

fast3 > [fast2] > fast > normal > default

有效载荷比:

default > normal > fast > [fast2] > fast3

中间 mode 参数比较均衡,总之就是越快越浪费带宽,推荐模式 fast2。

其他参数,请使用 ./server_linux_amd64 -h 查看,更深层次的参数调整需要理解 KCP 协议,并通过“隐藏参数”调整。巭孬嫑乱动

下面是作者给的配置样例,适用大部分ADSL接入(非对称上下行)的参数(实验环境电信100M ADSL)。其它带宽请按比例调整,比如 50M ADSL,把 CLIENT 的 -sndwnd -rcvwnd 减掉一半,SERVER 不变。

创建 stop.sh

写入以下内容:

然后可以启动服务端:

kcptun.log 为日志信息。

停止服务端请使用:

配置客户端

以本地 Windows 64位系统为例,首先下载 Kcptun 的 Windows 版本。

我这里先新建一个文件夹,命名为 Kcptun,然后下载:

解压到文件夹下。

由于 Kcptun 是控制台程序,所以我选择使用 vbs 脚本,来达到后台运行的目的。

新建 run.vbs

本地监听端口为 12948;服务器 IP 地址 10.10.10.10 端口 29900;验证密钥和服务端一致。其他参数说明见上面服务端配置的说明。

v20160616 新增参数:-conn,使用多线程连接。可尝试添加 -conn 4 以使用4线程连接服务器。

新建 stop.bat

然后双击 run.vbs 运行程序,使用 stop.bat 来停止程序,kcptun.log 为输出的日志信息。

开机启动配置:

新建 startUp.bat:

Shadowsocks 客户端配置

在客户端中新建服务器:

  • 服务器 IP 填写本机:127.0.0.1
  • 服务器端口填写:12948

正确填写你的 Shadowsocks 密码,加密方式,协议和混淆方式。

切换到该服务器上,测试是否正确运行。

速度实测

我用的服务器是搬瓦工 512M 内存,费利蒙机房,以此测试加速效果。

  • 按结论看,Kcptun 的加速效果略逊于 Finalspeed,估计需要细调配置。
  • 刚运行 Finalspeed 时,内存占用就达到了 9.1% 也就是接近 47M;而此时 Kcptun 占用 0.4%,也就是 2M左右。
  • YouTube 1440p 满跑情况下,FInalspeed 最高内存占用 15.4%,接近 79M;而此时 Kcptun 占用 3% 左右,即 15.5M。
  • 速度方面,Finalspeed 最大速度达到了10000 Kbps +,Kcptun 6000+ Kbps。

以上结论为本人测试所得,仅作为参考;实际情况请自行测试,如有纰漏,欢迎指出。

Index 2016年6月3日 于 扩软博客 发表

原文:https://blog.kuoruan.com/102.html

无界浏览测试版16.02a (2016年7月4日)

1. 修复了手动设置代理的问题。
2. 修复了无界分享。

执行版:
http://wujieliulan.com/download/u1602a.exe
SHA1: 0e937c374b890cdcf45469e99b2b438fe3aa0849
MD5: 95bc8056a4c1b0cfd55a29725a7a0767

压缩版:
http://wujieliulan.com/download/u11602a.zip
SHA1: 32d98b18652037f1a2682d0cc35fbd24c20f9dc4
MD5: 71413a5c81ce779c4ac88d0ebab3cf19

原文:http://forums.internetfreedom.org/index.php?topic=21549.0

无界火狐测试版0.1a (2016年7月4日)

支持Windows, Mac, Linux, 32/64 (需要安装火狐浏览器)。

安装: 可以用火狐直接下载安装,如火狐禁止下载,可用其他浏览器下载后用鼠标拉到火狐浏览器,点击“安装”。
使用:点击火狐右上角的无界图标,点击开关即可开启或关闭。 连接成功后,无界图标变成彩色。

http://wujieliulan.com/download/uf001a.xpi
SHA1: 4dc03924d216a4b91ba8944a9061c5a94f464d69
MD5: 5f401cf3cb18300f9cbcb441ac38087a

原文:http://forums.internetfreedom.org/index.php?topic=21548.0

翻墙问答:如何应对当局收集手机个人资料?

问:中国当局最近要求手机软件供应商,不论外资还是中资,只要向中国销售软件,就要按当局的规定,收集用户的个人资料,以备当局追查,并且要主动过滤所谓的不良内容。这个对一般中国用户使用手机软件时,有没有重大影响?

李建军:中国政府新政策最受影响,其实是实时信息软件,特别是Whatsapp、Telegram、LINE和Skype这四个。因为Whatsapp已经全面改用点对点加密通讯,不会存有任何用户之间的通讯纪录。而Telegram以匿名作卖点,更不会与中国当局合作,而LINE亦有限时自动毁灭信息功能,LINE在这方面的私隐保护,亦不符合中国为监控国民通讯自由而推出的政策。而Skype一向以来,都不会保存用户间通讯纪录,纵使微软公司已经收购Skype,但似乎相关私隐政策﹐并无太大改变以配合中国当局对民众的监控。

由于新政策明显冲著实时通讯软件点对点加密的大潮流而来,一旦海外的点对点加密实时通讯软件流行起来,除了中国当局难以监控民众通讯,亦会令与当局合作那些中国软件面对强大竞争对手。因此,几乎可以肯定,日后在中国版本的Play Store或App Store会很难安装Whatsapp和Telegram一类软件,必须使用海外版才可以安装以上软件。

而要避免自己的私隐受新政策影响,有可能日后不单只购买实时通讯软件,或部分敏感书籍时﹐需要海外的Play Store或App Store户口,而是几乎所有软件都要使用海外Play Store或App Store,而中国国有银行的网上理财,或支付宝之类日常生活应用,就用另一部手机,不在翻墙情况下使用。因为海外的Play Store或App Store受当地的私隐法律保障,而大部分西方国家,以及香港的私隐法律,都不容许软件开发商大规模保留用户个人资料,或必须向政府提供的情况。在新政策下,翻墙或许不只为了浏览禁书禁网,而是保障个人资料安全的必须手段。

要买海外版本软件,于Android仍然相对简单,可以透过翻墙到官方网站下载软件,再自行安装。但如果在iOS平台,除了需要翻墙到海外之外,亦需要开设一个以香港或其他国家为本的Apple ID,在较早前的翻墙问答,都曾经示范过如何设立香港Apple ID户口,听众可以浏览本台网站,浏览相关的视频内容。

问:最近有大型防毒软件公司,推出所谓的Wi-Fi私隐保障服务,其实用VPN技术为骨干。其实这些大防毒软件公司推出的VPN,与其他VPN公司推出的服务有什么分别?

李建军:其实大型防毒公司推出VPN服务最大优势在于,他们能开发比较简单易用的软件,令用家可以不用作出繁琐设定就能享受VPN的好处,例如一般VPN公司可能要求用家就不同国家主机作出设定,而这类大公司推出的VPN由于有专用软件配合,可以在软件上作出切换。而付款亦相对简单,因为这些VPN通常要在App Store或Play Store下载专用软件,再利用App Store或Play Store上缴付费用,对无信用卡的听众是相对来得方便。

只不过,现时大型防毒软件公司推出的VPN,由于绑定在指定软件上运作,因此亦只能在Android或iOS手机上运作,而无法在电脑上使用。而大型防毒软件使用一机一户口收费机制,并非时下流行的VPN,同一户口可以在不用手机或电脑上使用。在决定是否使用大型防毒软件公司推出的VPN前,必须考虑上述的各类技术限制,是否合符你的实际需要。

原文:http://www.rfa.org/cantonese/firewall_features/newprivacy-07012016072919.html?encoding=simplified

自由门7.59版 (2016年06月30日) Emule(电骡/电驴) 下载连接

ed2k://|file|GIFC_20160630_dweb_759.zip|3254127|91B83BE2207F4E40D12B2958F381862B|/

Emule(电骡/电驴) 下载连接请看
Emule-GIFC 翻墙畅游博客 http://emule-gifc.blogspot.com/&nbsp; (http://emule-gifc.blogspot.com/)
欢迎大家订阅最新Emule(电骡/电驴) 下载连接, 已经提供的方法:Email/RSS/Facebook/Twitter/GoogleBuzz

原文:http://forums.internetfreedom.org/index.php?topic=21536.0

CentOS下shadowsocks-libev一键安装脚本

本脚本适用环境:
系统支持:CentOS 32或64位
内存要求:≥128M
日期:2016 年 05 月 12 日

关于本脚本:
一键安装 libev 版的 shadowsocks 最新版本。该版本的特点是内存占用小(600k左右),低 CPU 消耗,甚至可以安装在基于 OpenWRT 的路由器上。
友情提示:如果你有问题,请先参考这篇《Shadowsocks Troubleshooting》后再问。

默认配置:
服务器端口:自己设定(如不设定,默认为 8989)
客户端端口:1080
密码:自己设定(如不设定,默认为teddysun.com)

客户端下载:
https://github.com/shadowsocks/shadowsocks-windows/releases

使用方法:
使用root用户登录,运行以下命令:

wget --no-check-certificate https://raw.githubusercontent.com/teddysun/shadowsocks_install/master/shadowsocks-libev.sh
chmod +x shadowsocks-libev.sh
./shadowsocks-libev.sh 2>&1 | tee shadowsocks-libev.log

安装完成后,脚本提示如下:

Congratulations, shadowsocks-libev install completed!
Your Server IP:your_server_ip
Your Server Port:your_server_port
Your Password:your_password
Your Local IP:127.0.0.1
Your Local Port:1080
Your Encryption Method:aes-256-cfb

Welcome to visit:https://teddysun.com/357.html
Enjoy it!

卸载方法:
使用 root 用户登录,运行以下命令:

./shadowsocks-libev.sh uninstall

其他事项:
客户端配置的参考链接:https://teddysun.com/339.html

安装完成后即已后台启动 shadowsocks ,运行:

ps -ef | grep ss-server | grep -v ps | grep -v grep

可以查看进程是否存在。
本脚本安装完成后,会将 shadowsocks-libev 加入开机自启动。

使用命令:
启动:/etc/init.d/shadowsocks start
停止:/etc/init.d/shadowsocks stop
重启:/etc/init.d/shadowsocks restart
查看状态:/etc/init.d/shadowsocks status

更多版本 shadowsocks 安装:
ShadowsocksR 版一键安装脚本(CentOS,Debian,Ubuntu)
Shadowsocks Python 版一键安装脚本(CentOS,Debian,Ubuntu)
Debian 下 Shadowsocks-libev 一键安装脚本
Shadowsocks-go 一键安装脚本(CentOS,Debian,Ubuntu)

更新说明(2016 年 05 月 12 日):
1、新增在 CentOS 7 下的防火墙规则设置。
更新说明(2015 年 08 月 01 日):
1、新增自定义服务器端口功能(如不设定,默认为 8989)。
更新说明(2015 年 04 月 30 日):
1、本脚本会始终安装最新版的 Shadowsocks;
2、修改配置文件 /etc/shadowsocks-libev/config.json 同时启用 IPv4 与 IPv6 支持:

{
    "server":["[::0]","0.0.0.0"],
    "server_port":your_server_port,
    "local_address":"127.0.0.1",
    "local_port":1080,
    "password":"your_password",
    "timeout":600,
    "method":"aes-256-cfb"
}

3、Shadowsocks libev 版不能通过修改配置文件来多端口(只能开启多进程),如果你需要多端口请安装 Python 或 Go 版;

特别说明:
1、已安装旧版本的 shadowsocks 需要升级的话,需下载本脚本的最新版,运行卸载命令

./shadowsocks-libev.sh uninstall 

然后,再次执行本脚本即可安装最新版。

参考链接:
https://github.com/madeye/shadowsocks-libev

原文:https://teddysun.com/357.html

翻墙问答:云输入是否有保安问题?

问:近年不少搜寻引擎,都推出所谓云输入,令汉字输入更快更容易。只不过,这类云输入,被不少保安专家质疑,有可能成为政府当局监控工具,甚至令你的私隐外泄。究竟云输入,对中国用户本身有什么实质威胁?

李建军:以往的汉字输入法,甚少涉及保安问题,因为作业系统的输入法部门,并不会与互联网相连,亦由于要节省电脑记忆空间,以及维持运作效能,亦不会对你所打的一字一句作出任何纪录。因此,作业系统内置的输入法被视为安全,而不会泄露用户的私隐。

但现有的所谓云输入法,声称以人工智能方式加强输入法联想功能,因此,不断将你打过的一字一句送到搜寻引擎的主机上分析和记录。若然搜寻引擎公司不与政府合作,这样的侵犯私隐技术都未必会成为当局监控民众的工具。但中国很多搜寻引擎公司,都与政府当局有密切关系,换言之,当局很容易透过汉字输入法,知道你平日如何与朋友通讯,甚至只要细心分析,可以知道你正预备什么文件,就算你所预备的文件,并没有传到互联网上。

因此,如果你重视私隐的话,应避免使用由搜寻引擎公司所开发的云输入法,在作业系统的内置输入法,至今仍然是最有效率,亦是最安全的输入法。如果你预备的文件内容,并不想被当局知道的话,应使用作业系统内置,与云端功能完全没有关系的输入法。虽然输入速度慢一点,但对用户私隐而言,这速度上的牺牲是值得的。

原文:http://www.rfa.org/cantonese/firewall_features/google2steps-a-06242016075740.html?encoding=simplified

翻墙问答:谷歌推出电话二步认证有何特别?(视频)

视频地址:http://www.rfa.org/cantonese/video?v=1_ski74o7u

问:谷歌一直以来都有二步认证功能,但用法上很多人都认为不大方便,而现在谷歌推出了一项新的电话二步认证功能,请问这功能有什么特别?

李建军:谷歌的新二步认证功能,是配合iPhone和Android手机的谷歌应用程式运作。只要你启动以电话二步认证,当有人意图登入你特定谷歌户口时,你的谷歌应用程式就会弹出视窗,提醒你有人意图登入。如果你打算不批准有关登入要求,只要在应用程式上按一下「否」,对方就会登入失败,既简便,又安全。

而新的二步认证功能,可以配合手机的指纹认证功能,这点相当重要。由于新的二步认证功能,容许用户在利用指纹登入手机后,才批准其他人的登入要求,变相为你的谷歌户口加入指纹二步认证功能,这对大大提升你的谷歌户口安全度好有帮助。因此,新的二步认证功能,最适合配合iPhone 5S或以上,内置指纹认证功能的手机。而你设定二步认证时,紧记启动指纹认证功能,就可以享受得到指纹认证的好处,那就算你手机不幸被偷都好,只要对方没有你的指纹或密码,都不可能透过你的手机,入侵你的谷歌户口。

现时使用付费Google Apps服务的用家要注意的是,现时新的二步认证功能,暂时只适用于Gmail,要稍后才会扩充到Google Apps服务之上。因此,如果你想启用新手机二步认证功能,要等谷歌陆续将新二步认证功能扩展到Google Apps服务之此。但相信谷歌在短期内,就会完成在Google Apps服务上加入手机二步认证功能。

而要设定谷歌的二步认证功能,配合你的手机运作,亦相对容易。这次翻墙问答,预备了视频,示范如何在谷歌户口设定中,加入新的手机二步认证功能,欢迎各位听众浏览本台的网站,收看相关视频示范。

原文:http://www.rfa.org/cantonese/firewall_features/google2steps-b-06242016075658.html?encoding=simplified

Tor Browser 6.0.2 is released

Tor Browser 6.0.2 is now available from the Tor Browser Project page and also from ourdistribution directory.

Tor Browser 6.0.2 is a fixup release to address the most pressing issues we found after switching to Firefox 45.2.0esr.

In particular, we resolved a possible crash bug visible e.g. on Faceboook or mega.nz and we fixed the broken PDF download button in the PDF reader.

Note: In version 6.0 we started code signing the OS X bundle for Gatekeeper support. A side effect of this signature is that it makes it harder to compare the bundles we ship with the bundles produced using reproducible builds, therefore we plan to post instructions for removing the OS X code signing parts on our website soon. An other effect is that the incremental update will not be working for users who installed the previous version using the .dmg file, due to bug 19410. The internal updater should still work, though, doing a complete update.

Update (June 23, 12:38 UTC): We have still some users that report crashes on Facebook and mega.nz. We suspect this happens because those users are not using Tor Browser in its default configuration but have left the Private Browsing Mode. There are at least two workarounds for this: 1) Using a clean new Tor Browser 6.0.2 (including a new profile) solves the problem. 2) As files cached by those websites in the Tor Browser profile are causing the crashes, deleting them helps as well. See bug 19400 for more details in this regard.

Here is the full changelog since 6.0.1:

  • All Platforms
    • Update Torbutton to 1.9.5.5
    • Bug 19401: Fix broken PDF download button
    • Bug 19411: Don’t show update icon if a partial update failed
    • Bug 19400: Back out GCC bug workaround to avoid asmjs crash
  • Windows
    • Bug 19348: Adapt to more than one build target on Windows (fixes updates)
  • Linux
    • Bug 19276: Disable Xrender due to possible performance regressions

原文:https://blog.torproject.org/blog/tor-browser-602-released

如何科学上网 搭建自己的Shadowsocks服务器

0x00 为什么要搭建自己的梯子

虽然目前有许多免费或者付费的科学上网服务,但是大多数都是不可靠的。免费的不稳定,速度又慢,还不安全,付费服务相比免费服务好一点,但是也不能保证安全,毕竟用的是对方的代理服务器。

所以如果有能力,花点小钱买个VPS搭一个自己的梯子是更好的选择。

0x01 需要准备些什么

本文提供的科学上网方案是VPS+Shadowsocks,VPS需要自己购买,大概10几美刀就能买到一个不错的VPS了。

什么是Shadowsocks

Shadowsocks是一个开源的sock代理项目,作者是@clowwindy(作者在去年,也就是2015年被请喝茶,其Github上的仓库被清空了,但是Shadowsocks目前仍然可用)。

Shadowsocks的原理如图:

当然你不用知道原理也可以继续往下看。

购买VPS

比较流行的VPS提供商有:搬瓦工(bandwagonhost),DigitalOcean和Linode。我选用的是搬瓦工,理由嘛,性价比高咯。我现在用的一年19美刀的VPS,1G的RAM,20G硬盘,每月2000G流量。

而且现在搬瓦工支持支付宝支付,这也降低了国内购买的门槛。

搬瓦工的VPS可以到Browse Products & Services里查看购买。注册购买付款就行了,没有什么难度。

顺便甩一个优惠码:IAMSMART5FQ956

0x02 管理你的VPS

你已经购买了搬瓦工,接下来你可以到Client Area –> Services –> My Services中查看自己的VPS。进入KiwiVM面板后,你可以看到VPS的所有信息。

在这里你可以看到IP地址,物理地址,SSH端口(不是默认的22端口),硬盘使用情况,RAM使用情况,流量等等。在面板里也可以直接用Shell直接操作VPS,但是不推荐,一般是使用SSH来操作VPS。

因为不同的操作系统下搭建SS服务器略有不同,本文是在Centos 7 x86_64 上搭建的,如果系统不同,你可以在控制面板上安装新系统(非常快,1分钟都不用就安装好了)。

另外在左侧菜单最底下有一个Shadowsocks Server的选项,应该是搬瓦工官方提供的一键Shadowsocks部署,没有试过。

这里我们只需要记住SSH端口和IP地址就行了。关于登陆密码,初始化密码我也不记得是什么了,你可以在控制面板中生成随机密码,登陆系统后再使用passwd命令修改密码。

回到本机,现在你可以使用SSH连接你的VPS了。在windows上使用putty连接,linux上直接用ssh-client连接。本文以Ubuntu为例。

ssh root@ip-address -p ssh-port

ip-addressssh-port换成自己的ip地址和ssh端口。

0x03 搭建Shadowsocks服务器

Shadowsocks服务端主流有:

  • shadowsocks-nodejs
  • shadowsocks-libev
  • shadowsocks-Python
  • shadowsocks-go

这里我们选用shadowsocks-python,在VPS上安装shadowsocks:

pip install shadowsocks

关于Shadowsocks的配置,有两种方式,一种是将配置写入配置文件中,一种是直接在命令行中配置。

  • 配置文件配置

前提是需要会使用Vi编辑配置文件,配置文件主要配置项为:

{
          "server":"vps的ip",
          "server_port":2333,   #服务器端口,与SSH端口不一样,最好大于1024
          "local_port":1080,
          "password":"barfoo!", #认证密码
          "timeout":60,
          "method":"aes-256-cfb" #加密方式,推荐使用aes-256-cfb
}

将配置文件保存为/etc/shadowsocks/config.json,然后按配置文件启动shadowsocks:

ssserver -c /etc/shadowsocks/config.json -d start

停止shadowsocks服务:

ssserver -d stop
  • 启动时配置

启动时如下:

ssserver -p 2333 -k barfoo -m aes-256-cfb --user nobody -d start
  • p:服务器端口
  • k:认证密码
  • m:加密方式

两种方式没有优劣之分,看你喜欢哪一种方式,如果你觉得第二种方式写得太长,你完全可以把命令写成一个启动脚本。

0x04 如何使用

windows平台

windows客户端下载百度云下载

按照服务器的配置填写服务器IP,服务器端口(不是ssh端口),加密方式。代理端口默认为1080即可。

由于windows本身的原因,在科学上网之前还需要给浏览器装一个代理插件,如switchysharp

新建一个情景模式,配置其sock代理ip为127.0.0.1,端口为1080,并选择SOCKS v5,保存配置。

现在打开客户端,连接Shadowsocks服务器,当你需要科学上网的时候,选择Shadowsocks模式,当你不需要时,可以选择直接直连(比如内网访问的时候)。

Linux平台

Linux平台下的客户端其实跟服务端是同一个,安装:

pip install shadowsocks

连接Shadowsocks服务器:

sslocal -s ip-address -p port -b 127.0.0.1 -l 1080 -k password -m aes-256-cfb

其中

  • s: 服务器地址
  • p: 服务器端口,不是SSH端口
  • l: 本地代理端口,注意不要跟服务器端口搞混了
  • k: 认证密码
  • m: 加密方式

在Ubuntu中,你可以在系统设置 –> 网络 –> 网络代理中设置全局代理。

如果你不想全局,也可以像windows平台一样在浏览器上装代理插件。

Android平台

下载影梭

同样只需要配置服务器IP,服务器端口,认证密码和加密方式就行了。Android上默认是全局代理。

至于Mac OS X和IOS系统,我没用过,自己Google吧。

现在已经可以科学上网了,打开Google试一下.

0x05 多人共享

独乐了不如众乐乐,一个月2000G的流量对一个人来说是有点多了。这时候,你可以分享给你的朋友。Shadowsocks支持多端口,只需要修改配置文件为:

{
        "server":"your-server-ip",
        "timeout":600,
        "method":"aes-256-cfb",
        "port_password":
        {
                "2333":"user1-password",
                "23333":"user2-password"
        },
        "_comment":
        {
                "2333":"myself",
                "23333":"guest"
        }
}

然后启动

ssserver -c /etc/Shadowsocks/config.json -d start


原文:http://itcoding.tk/2016/06/04/fuckGFW01/

出锅翻墙


出锅是一款类似于红杏、jayproxy、时空隧道等科学上网 Chrome 浏览器插件,注册即可使用,翻墙必备,轻松上google、gmail、facebook、youtube等网站,无需像 goAgent/ShadowSocks/VPN/ 等繁琐复杂配置。


谷歌网上商店:https://chrome.google.com/webstore/detail/%E5%87%BA%E9%94%85/ekmmcigapbkblfihobadbdnadfmekfdo?hl=zh-CN
作者推特:https://twitter.com/chuguo_io
来源:
https://www.gitbook.com/book/chuguofan/chuguo/details

(新增香港、日本、新加坡、美国等国内低延迟服务器线路自由切换功能)
单击进入官方网站 (如果官方不能打开,请加入上网加速列表即可)
下载出锅解决访问助手 (出锅插件不能登陆、注册、使用不稳定时请下载该程序在本地电脑执行一次,仅限Windows系统)

AnyConnect 客户端

全平台 AnyConnect 客户端下载 (包括Windows,Android,Mac OS X,Kindle,Android,Linux)

官方Chrome浏览器下载

下载最新官方Chrome 51版本浏览器 (Chrome 51以下版本使用HTTPS代理时只能使用2个连接,经常造成阻塞卡顿,Chrome 51以上版本现在可以使用32个连接,强烈建议大家升级到该版本)

简介

出锅是一款类似于红杏、jayproxy、时空隧道等科学上网Chrome浏览器插件,注册即可使用,翻墙必备,轻松上google、gmail、facebook、youtube等网站,无需像goAgent/ShadowSocks/VPN/等繁琐复杂配置.
全面支持UC、QQ、百度、猎豹、360极速等基于chrome内核浏览器,不止是解决访问,更是加速器,对于手机端的解决方案出锅选用AnyConnect, AnyConnect为思科推出的VPN客户端,目前已有Windows、Android、iOS、Mac OS X、Ubuntu、WebOS等全平台操作系统的客户端,搞干扰和隐蔽性都很强, 结合出锅成熟的代理集群和云端网络分流技术,根据国内外网站智能安排你的访问线路,确保你拥有最快最稳定的速度,客户端我们全部使用SHA 256位 工业级加密证书来保证大家的连接稳定和搞干扰到最低, 同时支持断线自动重连,来彻底解决VPN经常掉线或连接不上等问题.

安装说明

一. 下载Chrome浏览器并安装好,再下载『出锅』 Chrome插件,下载完成以后,打开浏览器的『扩展程序』页, 如果浏览器顶部出现“无法添加……”的黄色警告提示,忽略它并继续操作
二. 将下载好的 chuguo.crx 扩展安装程序拖放到『扩展程序』页(其他页面无效)
三. 安装完成! 出锅Chrome插件会随新版本的发布而自动更新.

原文:http://www.chinagfw.org/2016/06/blog-post_20.html

翻墙问答:苹果iOS和Mac OS X快速支援加密?(视频)

0617-firewall.jpg

翻墙问答:苹果iOS和Mac OS X快速支援加密?(粤语部制图)

视频地址:http://www.rfa.org/cantonese/video?v=1_e5echk10

问:苹果最近公布了下一代iOS和Mac OS X作业系统的技术更新,当中不少涉及保安技术上的改善,请问能否介绍一下?

李建军:苹果最近公布了下一代iOS和Mac OS X核心技术更新一些细节,当中不少涉及保安上重大改革。

首先,苹果会推出新的档案系统,取代已经有二十多年历史的HFS档案系统,新档案系统,将会为iOS器材和Mac提供快速得多的加密支援,以及档案系统的资料格式上支援加密。但由于新档案系统仍然在早期发展阶段,有可能在下两代的iOS和Mac OS X作业系统上,才会强迫所有装置必须使用。

此外,现时苹果iOS应用程式与主机之间的通讯,并非强制要使用HTTPS的加密通讯,除了即时通讯软件和银行理财软件外,其馀软件都可以自愿选择是否使用加密通讯。但由2017年元旦开始,苹果为了贯彻在私隐和保安上的安全政策,所有苹果iOS的软件与主机连接都必须使用加密通讯,不能够透过应用软件传送未经加密信息。这个有助提高iOS用家的保安水平,但以中国当局对使用全加密通讯软件和作业系统的敌视态度,若然中国当局干扰所以使用相关加密技术的通讯,就有可能对苹果用户造成困扰,后果比中国法院以侵权为理由,禁止iPhone 6在中国销售的困扰大得多。

而有一项消息,可能与Android用户有关,苹果将会在Android上推出iMessage,并具备与原有苹果iOS装置和Mac电脑iMessage通讯的能力。换言之,除了Whatsapp、Telegram,Android将会有多一个点对点实时通讯软件可以使用。但苹果未公布确实推出日期,以及将会有那一些Android手机可以使用iMessage。

问:那其实现时苹果Mac OS X用户,是否像iOS用户一样,可以替全机档案即时加密?

李建军:那是可以的,虽然现时苹果使用相对落后的档案系统,但作业系统仍然有功能实现自动加密,如果你电脑被偷,对方没有用户密码和相关加密金匙,仍然无法得悉档案资料,而iOS和OS X用的技术都是一样。这次翻墙问答,会有视频示范在最新苹果作业系统下,如何启动全机硬碟档案实现加密功能,欢迎各位听众浏览本台网站,观看视频操作示范。

问:在Windows世界,绑架软件已经造成相当大的困扰。只不过,绑架软件问题,似乎已经蔓延到Android手机以及电视机顶盒,能否介绍一下?

李建军:由去年四月开始,已经有一只叫FLocker的绑架软件,四处侵袭Android平台的手机和电视机顶盒。而最近,就出现FLocker的变种。FLocker的变种,会首先检查手机是否位于俄国、哈萨克等东欧国家和前苏联加盟共和国。如果你处于这些国家,你的手机和电视机顶盒要输入相等于两百美元的苹果iTunes储值卡增值,否则将无法使用。而如果你处于其他国家,例如中国,就会暗中尝试入侵你的系统,将你的手机或电视机顶盒变成僵尸电脑,以便向其他手机或电脑进行袭击。

虽然现时未出现中国手机遇袭的报告,但东欧国家出现的绑架软件技术,往往很快就移植到中国。因此,不能随便打开由电邮或短信传来的一些奇怪网站,因为现时这类钓鱼电邮,已经不满足于偷你手机的资料,而是乾脆打劫绑架你的手机或电视机顶盒,搞网上打劫。而如果你手机或电视机顶盒遇劫,你应该向制造商查询,制造商一般有能力移除绑架软件,并令你的手机回复正常。

原文:http://www.rfa.org/cantonese/firewall_features/wwdc-06172016095315.html?encoding=simplified

墙内 播放/下载 Youtube 视频

可以在墙内播放与下载  Youtube 视频,支持 Google 搜索,有广告。
来源:http://www.qiangwaiba.net/
安全性未知,请谨慎使用。

墙外吧 ( www.qiangwaiba.net ) 成立于2016年1月,为广大网友提供各大知名网站的视频搜索、观看和下载,以及网页搜索服务。

更新历史

2016年4月24:增加字幕下载选项。
2016年4月10:视频搜索增加过滤选项。
2016年3月22:优化线路,新增香港线路。
2016年3月01:支持Youtube播放字幕,包含YouTube自动生成和翻译的字幕。
2016年2月23:支持Youtube下载。
2016年2月18:支持视频观看时多线路选择(目前支持:日本/美国/香港)。
2016年2月15:支持视频评论。
2016年2月08:支持Google搜索。
2016年1月16:网站正式上线,支持YouTube视频的搜索和观看。

原文:http://www.chinagfw.org/2016/06/youtube.html