树莓派做翻墙网关

想做这个东西想了有好些日子了,一方面是懒,执行能力太差,另一方面是在纠结要不要自己写一个程序,昨天经过一天的折腾,终于搞定了,最后我终于没有自己写程序。

在网上搜了很多文章来看,很多都是把树莓派当WIFI AP来用的,但我这里不是。我的树莓派只有1个自带的eth网卡,我把它做成一个网关,让所有的设备在网络设置的网关一项都填树莓派的IP,基本实现其他设备无配置无缝自动翻墙。

其实过程非常简单。

首先,当然是要有能用的代理,无论是http proxy还是socks proxy,甚至只是一个shadowsocks server也行,现有的工具都能适配使用。

然后,用redsocks或ss-redir在树莓派上开端口,一定要监听在0.0.0.0上,我之前就是开在127.0.0.1上,然后纠结了大半天,一直是树莓派自己能翻过去,其他把它当网关的机器翻不出去。redsocks目前我看到有两个不同版本,一个原版,从2012年以来就很少更新了,可以将本地tcp流量封装到http connect/http relay/socks协议里,配合iptables等机制实现系统全局代理,另一个是国人修改版,在原版的基础上又增加了一些功能,比如后端协议还支持了shadowsocks(就跟ss-redir一样)和直连,以及auto proxy自动检测是否需要代理,还有自称修正了一些原版中的bug等等。但我昨天试用下来,发现这新增的功能很不稳定,基本经不起日常使用。我最后就直接用了ss-redir,这是shadowsocks-libev中的一个工具,功能与redsocks类似,但它只提供了shadowsocks的协议作为后端,不过胜在稳定,又不用多走一次socks5代理,所以估计效率也会好一点。

接着,把树莓派设置流量转发。打开/etc/sysctl.conf,设置net.ipv4.ip_forward=1,让更新实时生效: sysctl -p /etc/sysctl.conf。这样树莓派就已经可以做为网关使用了。还要把流量转发到ss-redir开的端口(我用58100)上去,Linux上用iptables:

iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 58100 -m state --state NEW,ESTABLISHED -j ACCEPT

# dnat
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -N SS
# 过滤私有地址,vps地址
iptables -t nat -A SS -d 127.0.0.1 -j RETURN
iptables -t nat -A SS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A SS -d 172.16.0.0/21 -j RETURN
iptables -t nat -A SS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A SS -d shadowsocks-server-ip -j RETURN

# 过滤中国ip地址,网上搜一下“中国ip段"
iptables -t nat -A SS -d 58.14.0.0/15 -j RETURN
iptables -t nat -A SS -d 58.16.0.0/13 -j RETURN
iptables -t nat -A SS -d 58.24.0.0/15 -j RETURN

# 所有其他的ip,都提交给shadowsocks
iptables -t nat -A SS -p tcp -j REDIRECT --to-port 58100

# 使用SS链,其他设备走PREROUTING链
iptables -t nat -A PREROUTING -p tcp -j SS
# 使用SS链,树莓派自己走OUTPUT链
iptables -t nat -A OUTPUT -p tcp -j SS

中间有一段中国IP地址的,有个叫chnroute的项目,简单的做法就只有一条命令:

curl http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest | grep 'apnic|CN|ipv4' | awk -F\| '{ printf("iptables -t nat -A SS -d %s/%d -j RETURN\n", $4, 32-log($5)/log(2)) }' > cn_rules.conf

,再把文件cn_rules.conf的内容执行一下。

最后,把家里所有要翻墙的设备都在网关一项里填成树莓派的IP。比较方便的做法是,在DHCP那里就直接返回树莓派的IP当网关。比较郁闷的是我的Netgear R6300v2貌似没找到怎么在DHCP里设置自定义的网关地址。当然树莓派一定要用静态设置上级路由器的IP为网关。这样所有连入的设备就自动能翻墙了。

上面还有一点没提到的是DNS污染的问题,现在也有很多方案了,我的做法是在树莓派上建了个dnsmasq,上游走OpenDNS的5353端口,国内常用域名有个列表,走114DNS。

原文:https://blog.minidump.info/2015/09/raspberry-pi-as-a-fucking-gfw-gateway/

翻墙问答:Whatsapp提升通讯保密功能

620

3月31日起,Whatsapp所有通讯会开始采用AES 256位元加密匙。而加密了的信息,Whatsapp主机不会存有任何副本,亦无法解密。Whatsapp将是世界其中一个最保密即时通讯软件。(维基百科图片)

视频地址:http://www.rfa.org/cantonese/video?v=1_pxqfkhjt

问:最近Whatsapp推出新版,能够进行点对点加密,提升通讯保密程度。到底什么类型的Whatsapp通讯能够作出点对点加密,而加密的安全程度又去到什么水平?

李建军:Whatsapp在3月31日起,全面采用称号讯号的信息协定,根据新的点对点通讯技术,Whatsapp所有通讯会开始采用AES 256位元加密匙,这个加密程度等同美国国家机密的加密程度。而加密了的信息,Whatsapp主机不会存有任何副本,亦无法解密,换言之,除了Telegram外,Whatsapp将是世界其中一个最保密的加密协定。

而Whatsapp这次进行加密升级,不单涵盖文字信息,亦包括语音通讯,换言之,如果你需要打电话与你的朋友谈论一些敏感维权议题,透过Whatsapp的语音通讯功能,将会得到最高级别的加密保护,而暂时中国当局是难以解破通讯内容。

问:到底Whatsapp点对点加密用不用特别设定?又应如何设定?

李建军:Whatsapp点对点加密是不用特别设定,因为只要你的Whatsapp已经升级到指定版本,而你的朋友的Whatsapp都已经升级到指定版本,所有通讯内容都会自动加密,不用作出任何设定,你亦不可以选择不加密,Whatsapp会强制所有人可以加密的通讯都会加密。但如果你需要验证你和你朋友之间的加密通讯是否成功,可以进行验证。而这次翻墙问答有视频示范如何作出验证,欢迎听众浏览本台网站收看有关视频。

由于Whatsapp加密必须对Whatsapp版本作出升级,而有部分太旧的Android手机,例如Android版本低于2.1手机,并不支援新版Whatsapp,那你就必须更换手机。由于Whatsapp主机不会让太旧的Whatsapp程式连到主机,所以为了确保未来能够继续使用Whatsapp,都应尽早升级到新版。

此外,如果你有群组,而要确保群组上所有通讯都作出点对点加密的话,你必须劝告群组上所有成员都对Whatsapp作出升级,因为Whatsapp只要发现有其中一位成员未升级,基于兼容的理由,都会暂时对整个群组的通讯不作加密,那就几乎肯定会做成保安漏洞。亦基于这个理由,如果你的群组有朋友因手机太旧,而未能升级Whatsapp的话,亦请你的朋友尽快更换手机。

问:Whatsapp的加密功能如此强劲,会否中国当局日后要求苹果App Store禁止Whatsapp供中国用户下载?或对Whatsapp作出封锁?

李建军:由于中国当局现时理论上难以对Whatsapp通讯作出解密,因此,中国当局对Whatsapp作出封锁的机会相当大。如果你是iOS的用户,最好尽快转换你的App Store商店的国家为香港,并作出下载。而你应考虑用香港电话号码作出短讯认证,因为中国当局有可能会对Whatsapp认证短讯作出拦截,一旦你换机时就可能因收不到认证短讯而出现麻烦。

而由于Whatsapp的加密相当强,中国当局很可能不让民众连上Whatsapp主机,因此,无论Android还是iOS手机,使用VPN翻墙是相当有必要。简单而言,现时使用Telegram可能遇到的问题,亦同样会在Whatsapp身上出现。

问:Whatsapp网页版,那会否受惠于这次Whatsapp重大的技术革新?

李建军:Whatsapp网页版的通讯,都会受同样强度的加密技术所加密。但由于Whatsapp网页版比较特别,手机版必须持续连到Whatsapp主机,才可以用得到网页版,因此,如果你要使用Whatsapp网页版,除了你的手机要翻墙,你的电脑都要同时翻墙。只不过,你的电脑可以使用一般翻墙软件来翻墙,而不需要一定用到VPN,因为Whatsapp网页版使用正规的HTTP技术,翻墙软件已经足够令网页版Whatsapp有效运作。(完)

原文:http://www.rfa.org/cantonese/firewall_features/firewall-whatsapp-04082016074718.html?encoding=simplified

无需Java使用I2P——I2Pd简单扫盲

最近收到朋友的来信让我写一篇关于i2p的文章,顺便博客也好久没更新都快长草了..那就写一篇关于i2pd的简介+扫盲文章吧…

什么是I2P?

I2P是Tor的变种,比Tor网络更加安全、更据隐蔽性,如果你不知道Tor又是什么,请戳洋葱路由Tor。 TOR和I2P共同点都是通过若干个节点将你的数据进行层层转包、加密,防止你的真实IP暴露。 (摘自谷歌)

I2P与Tor有什么区别?

  1. 安全性:Tor使用单一的链路进行传输你的数据;而I2P则使用多条链路分别传输你的数据并且每条链路传输的数据量可以不一样。
  2. 难以封杀:I2P使用 Kad 算法来获取网络节点的信息,即不需要目录服务器且Kad算法拿到的节点信息只是整个 I2P 网络的一小部分并且每一台运行 I2P 的主机都可以成为中继。
  3. 速度很慢:这是I2P最大的缺点了,速度很慢…根据笔者的测试,下载速度能上20k左右就谢天谢地了,平时只有10k左右…(如图)
    WTFspeed这么慢能干什么用呢?应急翻墙,在所有梯子都失效的情况下,可以使用I2P应急翻墙下载新的梯子.. /**难以封杀**/

什么是I2Pd,与传统的I2P有何不同?

I2Pd与I2P最大的不同是I2Pd是一个采用C++编写的I2P网络的客户端, 而传统的I2P使用的是Java语言..也就是说你再也不用安装臃肿的JRE了… /**Java退散 **/

哪里能下载到?

前面废话说了那么多,那么来进入正题吧..
I2Pd的官方网站为: http://i2pd.website/releases/ 这里可以下载已经编译好的I2Pd..点击进入最新的版本的目录.

I2Pd-lastest-version

如果你是32位系统,则下载 win32_mingw.zip 如果是64位系统,则下载 win64_mingw.zip..

/** 居然没有HTTPS, 真是奇怪呢… **/

安装与配置?

下载解压后,在任何位置建立一个目录,将i2pd.exe放到新建立好的目录中…之后在同目录下建立一个文件名为tunnel.cfg的文件 /** 抱歉之前手滑,多打了个n **/

内容如下:

[FanQiangProxy-XiaoLan-01]
type=client
host=127.0.0.1
port=8964
destination=nqiki6zqs7j6vzmwmpdcf3cyleqtzabvlzpu6bzdc27ncvjih4eq.b32.i2p
inbound.length=0
outbound.length=0
inbound.quantity=3
outbound.quantity=3

这里的nqiki6zqs7j6vzmwmpdcf3cyleqtzabvlzpu6bzdc27ncvjih4eq.b32.i2p是我搭建的出口代理,如果你找到了更好的出口代理,也可以换成其他的…

为了更方便使用,我们可以来建立一个启动器, start.bat, 内容如下

@echo off
echo i2pd daemon starting…
i2pd –socksproxy.enabled=0 –httpproxy.enabled=0 –floodfill –bandwidth=P –tunconf=tunnel.cfg –ipv6

这些都完成之后,该目录下应该有3个文件:

  • i2pd.exe – I2Pd主程序
  • start.bat – 启动器
  • tunnel.cfg – 配置文件

双击start.bat运行I2Pd后应该会弹出如下窗口,并且会卡在Reseed环节..别见怪,这很正常,因为补种的URL已经被墙

Reseed-failed

之后我们将这个程序关掉退出I2P, 打开%APPDATA%/i2pd/netDb目录(将黑体字直接贴到地址栏中回车)

然后下载补种包,补种包可以有两种方式下载

1. https://github.com/XL2014/I2PdSeed

将补种包解压到%APPDATA%/i2pd/netDb目录

2. 使用脚本下载

strFileURL = “https://raw.githubusercontent.com/XL2014/I2PdSeed/master/netDb.zip”
strHDLocation = “file.zip”
Set objXMLHTTP = CreateObject(“MSXML2.XMLHTTP”)
objXMLHTTP.open “GET”, strFileURL, false
objXMLHTTP.send()
If objXMLHTTP.Status = 200 Then
Set objADOStream = CreateObject(“ADODB.Stream”)
objADOStream.Open
objADOStream.Type = 1
objADOStream.Write objXMLHTTP.ResponseBody
objADOStream.Position = 0’Set the stream position to the start
Set objFSO = Createobject(“Scripting.FileSystemObject”)
If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation
Set objFSO = Nothing
objADOStream.SaveToFile strHDLocation
objADOStream.Close
Set objADOStream = Nothing
End if
Set objXMLHTTP = Nothing
ZipFile=”file.zip”
Set objShell = CreateObject( “WScript.Shell” )
appDataLocation=objShell.ExpandEnvironmentStrings(“%APPDATA%”)
ExtractTo= appDataLocation & “\i2pd\”
Set fso = CreateObject(“Scripting.FileSystemObject”)
sourceFile = fso.GetAbsolutePathName(ZipFile)
destFolder = fso.GetAbsolutePathName(ExtractTo)
Set objShell = CreateObject(“Shell.Application”)
Set FilesInZip=objShell.NameSpace(sourceFile).Items()
objShell.NameSpace(destFolder).copyHere FilesInZip, 16
Set fso = Nothing
Set objShell = Nothing
Set FilesInZip = Nothing
MsgBox(“补种完毕”)

将以上内容保存为reseed.vbs然后双击运行,即可自动补种….(感谢不愿透露姓名的唐马儒的建议…)

之后运行运行start.bat

等待大约2分钟,将浏览器的SOCKS5代理设置为 127.0.0.1:8964 就可以使用I2Pd翻墙了..:)

提示: 最好长期运行以便自动获取最新的种子避免封杀….

参考资料: “如何翻墙”系列:简单扫盲 I2P 的使用

原文:https://xiaolan.me/howtousei2pd.html

用树莓派打造无线中继科学上网路由器

请各位看官注意两个关键字:无线中继 科学上网

  • 为什么要做无线中继?因为两个场景:第一个是在我司,WIFI上网同一账户只能连接两个设备,现在两个设备哪里够?第二个场景是在宾馆,我希望就像在家里一样,所有设备都是连上路由器就可以免设置科学上网,这就需要对宾馆原来的WIFI进行处理
  • 为什么要随时科学上网?我只能说,为了知识和真相

树莓派使用的系统:RASPBIAN JESSIE

另外,因为手头没有路由器,因此,本文介绍利用电脑直连树莓派进行相关设置。不多说,开始了。

1.设置IP

按照树莓派官方的做法,树莓派需要一根网线直连路由器,通过路由器的DHCP分配到IP后,就可以远程登录了。但是刚才已经提到,因为手头没有路由器,所以我们需要用电脑直连树莓派进行远程登录。将制作好的树莓派SD卡插入电脑,会弹出一个名为Boot的磁盘,其中有一个cmdline.txt文件,打开之后,在最后的位置追加一个IP如下:

dwc_otg.lpm_enable=0 console=serial0,115200 console=tty1 root=/dev/mmcblk0p2 rootfstype=ext4 elevator=deadline fsck.repair=yes rootwait ip=192.168.3.1  

插回SD卡至树莓派,通电后,将我们的电脑端IP设置为192.168.3.100,掩码设置为255.255.255.0即可连接树莓派了

2.更改磁盘大小和LOCALE

树莓派默认并没有用足所有的SD卡,具体原因未知。但是也很好调整。运行sudo raspi-config,可以打开树莓派设置窗口:设置窗口第一项,就是将文件系统扩展到整个SD卡。顺便把第五项中的语言项也改了吧,否则在安装软件时,总会提示language没有设置,我一般会选择生成en_US.UTF-8以及zh_CN.UTF-8,默认语言使用赵家语言(选择时,使用空格键来切换选中/未选)。

3.更改WIFI国别

为什么要更改WIFI国别?因为按照规范,各国的频谱不一样,详见这里,如果不更改,树莓派默认使用大英帝国,直接的影响就是,可能某些5G信道会搜索不到。

编辑/etc/wpa_supplicant/wpa_supplicant.conf,更改countryCN

4.安装第一块WIFI适配器

因为我司所在的WIFI环境支持5G信号,因此,在选择WIFI适配器时,我选择了TP-LINK TL-WDN3321,该设备插入即可使用,免驱动。

5.配置基于WPA-EAP的WIFI认证

我司使用了基于PEAP和MSCHAPV2的WPA-EAP的WIFI认证,但是没有使用证书。

配置时,只需要在/etc/wpa_supplicant/wpa_supplicant.conf增加如下段落即可

network={  
    ssid="ssid"
    key_mgmt=WPA-EAP
    eap=PEAP
    identity="id"
    password="password"
    #ca_cert="/etc/cert/ca.pem"
    #phase1="peaplabel=1"
    phase2="auth=MSCHAPV2"
    priority=10
}

更改其中的ssid identitypassword为你所在环境的配置。

配置文件中可以有多个network配置,系统会根据搜索到的ssid来自动匹配

6.连接WIFI

连接WIFI其实就是一个重新加载配置的过程,先执行sudo ifdown wlan0,再执行sudo ifup wlan0即可。之后,可以利用iwconfig命令查看wifi配置是否已经加载,用ifconfig来查看是否分配到IP,如果一切顺利,就应该能够上网了。

7.更改为中科大的源

树莓派的apt-get的源在英国,因此访问起来比较缓慢。感谢中国科学技术大学 Linux 用户协会做了镜像,编辑/etc/apt/source.list,删除其中的内容,使用一下内容代替

deb http://mirrors.ustc.edu.cn/raspbian/raspbian/ jessie main non-free contrib  

之后运行sudo apt-get update来更新源

8.固定接口名称

什么叫固定接口名称?当我们插入WIFI适配器时,尤其是我们的整个方案中,会使用两个WIFI适配器时,系统会随机分配哪个是wlan0,哪个是wlan1。因为两个适配器不一样,会导致运行在上面的配置可能没办法生效。因此,我们必须让系统记住WIFI适配器使用的接口名称。

编辑新增文件/etc/udev/rules.d/10-network.rules,其中的内容如下:

SUBSYSTEM=="net", ACTION=="add", ATTR{address}=="aa:bb:cc:dd:ee:ff", NAME="wlan0"  

注意其中的mac地址,设置为你的设备的mac地址。获得mac地址,可以使用命令ip link

重启系统后,再插入设备,就会绑定接口名称

9.更改eth0的IP

前面的第一步中,我们使用了一个变相的手法分配了树莓派的IP。但是我发现在该模式一下有一个问题:如果不插网线,树莓派启动时会很长一段时间都在等待插入网线。

既然已经进入了系统,我们自然还原为标准的配置。编辑文件/etc/network/interfaces,将eth0的配置改为如下

auto eth0  
iface eth0 inet static  
    address 192.168.3.1
    netmask 255.255.255.0

然后编辑/boot/cmdline.txt,去掉第一步中增加的IP配置

10.安装dnsmasq来设置DHCP服务

先来说明一下我的网段设置,有线网络使用192.168.3这个网段,而无线AP端,使用192.168.4这个网段。

很多博文使用udhcpd来做作DHCP服务器,但是考虑到将来要科学上网,既然dnsmasq就可以做这个事,那就只用它好了。

使用命令sudo apt-get install dnsmasq,编辑/etc/dnsmasq.conf,注意更改如下几段:

#配置监听地址
listen-address=127.0.0.1,192.168.3.1,192.168.4.1  
#配置DHCP分配段
dhcp-range=192.168.3.50,192.168.3.150,12h  
dhcp-range=192.168.4.50,192.168.4.150,12h  

运行命令sudo service dnsmasq restart来启用

11.开启包转发

Linux系统默认关闭了IP包转发,因此不能做路由器。所以需要先打开包转发

编辑/etc/sysctl.conf,去掉以下属性前的注释:

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1  

运行sudo sysctl -p来启用

之后运行

sudo iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE  

来启用wlan0端口的NAT

12.安装iptables-persistent

上一步中,我们启用了一条防火墙规则,但是防火墙规则重启后就丢失了,为了能够规则开机自动加载,我们可以使用iptables-persistent。用命令sudo apt-get install iptables-persistent来安装该组件,根据其提示进行初次设置(一路确认)。该组件默认会将防火墙规则保存到/etc/iptables/rules.v4中。你可以使用如下命令保存和读入规则:

#保存现有规则
sudo service netfilter-persistent save  
#读取并应用先有规则
sudo service netfilter-persistent reload  

为什么服务名称变成了netfilter-persistent,这里面好像有故事,留待以后再digg

13.安装第二块WIFI适配器

第一块WIFI适配器是为了连接现有网络,第二块则是为了建立WIFI热点。为了建立WIFI热点,适配器必须具有AP的mode。可以使用命令iw list|grep -A10 'Supported interface modes'查看。比如,我选用的设备是widemac SL-1506N,其参数如下:

Supported interface modes:  
         * IBSS
         * managed
         * AP
         * AP/VLAN
         * WDS
         * monitor
         * mesh point

该设备依然是插入即可,不需要驱动。

14.设置第二块Adapter的IP

依然是编辑/etc/network/interfaces,更改wlan1的配置如下

auto wlan1  
iface wlan1 inet static  
    address 192.168.4.1
        netmask 255.255.255.0
15.固定第二块WIFI适配器的接口名称

做法类似于第一块,只不过再加入一行而已,接口名称为wlan1,这里就不说了,记得重启让其生效。

16.安装并开启hostapd

Linux启用WIFI热点,使用的是hostapd。首先,用命令sudo apt-get install hostapd安装它,然后增加配置文件/etc/hostapd/hostapd.conf如下:

interface=wlan1  
driver=nl80211  
ssid=ssid  
hw_mode=g  
channel=13  
macaddr_acl=0  
auth_algs=1  
ignore_broadcast_ssid=0  
wpa=2  
wpa_passphrase=passwd  
wpa_key_mgmt=WPA-PSK  
wpa_pairwise=TKIP  
rsn_pairwise=CCMP  

只需要更改其中的ssidwpa_passphrase属性。

之后运行命令sudo hostpad -d /etc/hostapd/hostapd.conf来观察测试,没有错误可以连接,就OK了。 CTRL+C后,编辑/etc/default/hostapd,改变DAEMON_CONF的配置如下

DAEMON_CONF="/etc/hostapd/hostapd.conf"  

之后就可以使用sudo service hostapd start正式启动WIFI热点了

至此,通常一个WIFI中继路由器就好了,以下介绍透明科学上网部分

17.建立无污染DNS

以前都需要使用chinadns等项目,现在基本上都直接使用中科大的DNS,直接无污染。在/etc/dnsmasq.conf,加入如下规则

no-resolv 
server=202.38.93.153 
server=202.141.162.123

重启dnsmasq,可以用dig t.co测试一下

18.安装shadowsocks

这里首先要说明一下,我找了很久,也没有找到适合树莓派的shadowsocks-libev,因此,我们使用了redsocks+shadowsocks的组合来替代。

树莓派源中的shadowsocks的版本很低,连rc4-md5都不支持。因此,我们使用pip安装,键入sudo pip install shadowsocks即可安装,之后新建配置文件/etc/shadowsocks.conf如下

{
    "server":"xxx.xxx.xxx.xxx",
    "server_port":8964,
    "local_address":"0.0.0.0",
    "local_port":1080,
    "password":"password",
    "timeout":600,
    "method":"rc4-md5"
}

然后用命令sudo sslocal -c /etc/shadowsocks.conf -d start来启动

没有问题,就将sslocal -c /etc/shadowsocks.conf -d start加入/etc/rc.local来让其开机启动

19.安装redsocks

执行sudo apt-get install redsocks来安装软件,之后编辑/etc/redsocks.conf,更改其中的redsocks部分如下

redsocks {  
    local_ip = 0.0.0.0;
    local_port = 12345; 
    ip = 127.0.0.1;
    port = 1080;
}

使用命令sudo service redsocks start来启动软件

可以使用netstat -an|grep 1080netstat -an|grep 12345来确认一下shadowsocks和redsocks都启动了

20.安装ipset并导入chnroute

我们科学翻墙的规则:凡是国外的网站都用shadowsocks加速。因此,我们借助于ipset保存国内ip段。先用sudo apt-get install ipset安装软件

执行命令

curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | grep ipv4 | grep CN | awk -F\| '{ printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > chnroute.txt  

来导出国内ip段

然后用如下命令导入到ipset

sudo ipset create chnroute hash:net  
cat chnroute.txt | sudo xargs -I ip ipset add chnroute ip  
21.备份ipset并开机载入

各位看官可能已经发现,导入ipset的过程非常缓慢,不适合每次开机都执行。我们可以将ipset的结果保存,每次开机导入。执行如下命令

sudo ipset chnroute save > /etc/chnroute.ipset  

然后在/etc/rc.local中加入如下语句

ipset restore < /etc/chnroute.ipset  

即可开机执行

22.导入防火墙规则
sudo iptables -t nat -N SHADOWSOCKS

sudo iptables -t nat -A SHADOWSOCKS -d $server_IP -j RETURN

sudo iptables -t nat -A SHADOWSOCKS -d 0.0.0.0/8 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -d 10.0.0.0/8 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -d 127.0.0.0/8 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -d 169.254.0.0/16 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -d 172.16.0.0/12 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -d 192.168.0.0/16 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -d 224.0.0.0/4 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -d 240.0.0.0/4 -j RETURN  
sudo iptables -t nat -A SHADOWSOCKS -m set --match-set chnroute dst -j RETURN

sudo iptables -t nat -A SHADOWSOCKS -p tcp -j REDIRECT --to-ports 12345

sudo iptables -t nat -A OUTPUT -p tcp -j SHADOWSOCKS  
sudo iptables -t nat -A PREROUTING -p tcp -j SHADOWSOCKS  

其中server_IP是你的VPS的地址

然后保存规则

sudo service netfilter-persistent save  
23.开机重新生效防火墙规则

既然iptables-persistent可以开机加载防火墙规则,为什么还要谈这个?因为防火墙规则中,有使用到redsocks的端口12345,但是因为启动顺序问题,很可能redsocks还没有启动,防火墙规则先加载了,所以会导致防火墙规则加载失败。因此,我们需要把规则加载放入/etc/rc.local中:

iptables-restore < /etc/iptables/rules.v4  

至此,整个教程就写完了。这些步骤是我实验了三四遍之后的经验所得,请在转载时,注明出处,非常感谢。

原文:https://story.tonylee.name/2016/03/31/yong-shu-mei-pai-da-zao-wu-xian-zhong-ji-ke-xue-shang-wang-lu-you-qi/

手机匿名浏览系列之Orbot图文教程

安卓手机拥有强大的自定义能力,当然也可以用来隐匿身份(虽然没电脑那么好)以及翻墙…提示:这是一篇帮不愿透露姓名的朋友发的文章…

前言

这是我的手机匿名浏览系列的第一篇,主要介绍的是Orbot,也就是Tor for Android,以及配套的浏览器Orfox,如有不对的地方,请多指教。

安全提示

国内Android及网络环境复杂和危险,是没有隐私可言。而我们要做的就是尽可能安全地浏览,这就需要一个相对安全的手机环境,最好是在国外购买的非中国产品牌,国产机刷开源固件也可行,。要想玩转国内外社交软件,面对国产流氓软件,光是权限控制是不够的,哪怕是iOS也不行。所以最好两个手机,一个玩国产软件,一个玩国外软件。

手机上有大量隐私,安全性不如电脑成熟。Orbot虽然可以匿名,但匿名是一个系统工程,普通用户的手机目前难担此大任。Orbot要做的就是尽力减少网络痕迹,增加追踪难度和成本,煽巅言论就不要在手机上发布了。登录帐号就不匿名了。作为普通人,国内外帐号最好不要有关联。使用Orbot的人越多就越安全。

只要在互联网上浏览,就会留下痕迹。虽然我们不能人人都是匿名者,但我们需要尽可能地保护我们的隐私。那就选择Orbot开始吧!

下载软件

下载软件尽可能选择官方或靠谱的下载站点,从方便升级的角度看,还是选择Play StoreF-Droid

Orbot有三个靠谱的下载点,在开源的F-Droid里面搜Orbot

官方 https://guardianproject.info/apps/orbot/

Play Store https://play.google.com/store/apps/details?id=org.torproject.android

Orfox的下载,在F-Droid里需要设置一番,先在软件源里勾选Guardian Project Official Release,更新一下软件库才能搜索到。

1

Play Storehttps://play.google.com/store/apps/details?id=info.guardianproject.orfox

注:以前与Orbot配合的浏览器是Orweb,不过它在Play Store已经下架了,但在F-Droid还可以下载。主要是Orweb安全性不佳,详情可见Play StoreOrfox的说明。Orfox基于Fennec38.1.0esr(Fennec是基于Firefox的浏览器,原本只在F-Droid发布,在Orfox上架后不久即下架,Orweb完成了自己的使命),从界面到核心保留Firefox大部分特性,在安全方面进行了加固,内置NoScript的和HTTPSEverywhere附加组件。

准备工作及设置

Android的软件安装是很简单的,就不废话了。目前Orbot最新版本为15.1.2,由于中国封锁了Tor的大多数

网桥,直连是不方便也不安全的,所以改用前置代理,经测试,LanternOpenVPN、无界一点通(速度太慢不推荐,其实它的速度从来就没快过)、某国外商业VPNShadowsocks等均可作为前置代理。赛风还没成功过,并且自从三月初北京二会后,一直在抽风。据说赛风需要在网桥里加入127.0.0.1:1080 127.0.0.1:8080,试了几次,仍然没有成功,况且切换到别的翻墙软件,还得把网桥删掉,太麻烦就不折腾它了。不建议使用国产VPN/SS服务,浏览日志可能提供给政府,涉及支付就可能涉及到真实身份。

第一步,先连上VPN/SS

作为前置代理,从安全角度看,分散隐私以及避免付费暴露身份等,更推荐OpenVPN;从稳定性看,目前当然更推荐Shadowsocks。这里就以不那么稳定的Lantern作为前置代理。Lantern只有一个开,打开开关,建立VPN连接,页面变蓝,通知栏出现小钥匙就OK了。就不上图了。

第二步,设置Orbot

点击洋葱头,进去就是选择语言,目前包含中文繁在内的七十多种语言,滑到最下面选择中文(中国)

tor-lang

在设置里勾选使用网桥;

bridge

选择排除节点,排除蜜罐节点,复制如下国家后确定。也可以自己按规则加入。清空入口节点和出口节点后勾选限制节点。

{cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}

excludenode

另一种排除蜜罐节点的方法是点击Torrc自定义配置,复制如下语句后确定。

ExcludeNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}
ExcludeExitNodes {cn},{hk},{mo},{sg},{th},{pk},{by},{ru},{ir},{vn},{ph},{my},{cu},{br},{kz},{kw},{lk},{ci},{tk},{tw},{kp},{sy}
StrictNodes 1

torrc

返回主界面,从15.1.2版增加内置bridges 更新许可证,所以现在不需要用电邮或从网页获取网桥了,直接点击网桥,选择Obfs4就行了。

choosebridge

长按洋葱头开启,洋葱头由黄变绿,并且有数据活动,达到100%,就OK

startorbot

再来测试一下,点击浏览器,选择Orfox(目前只有美国英语,已配置好,一般不需要个人配置),然后选择中文简体,出现下图,恭喜进入Tor网络。

torcheck

再来感受一下真正的暗网之一,试试Duckduckgo的洋葱头站:http://3g2upl4pq6kufc4m.onion/

ddg

MetaGer搜索:http://b7cxf4dkdsko6ah2.onion/en/

Hidden深网导航:http://zqktlwi4fecvo6ri.onion/wiki/

可惜两个中文论坛都挂了!

★Facebook和Twitte的设置

◇Twitter

依次为设置→位置和代理→代理→勾选启用HTTP代理,填入 localhost:8118,返回,刷新一下,就OK

twitter

◇Facebook

今年1月份FacebookAndroid客户端开始支持Tor网络,还过与之配套的Messenger不支持Tor网络聊天。Facebook设置依次为:三横杠→应用程序设定→Tor设定→开启透过Orbot使用Tor按纽,直到点赞指向上,就代表Facebook连上Tor了。

fb

支持Orbot的软件还有一些的,不过假如手机root了,就可以做透明代理,所有软件都可以通过Tor网络连接,甚至共享Tor网络。

torroot

Orbot功能强大,设置丰富,更多个性化设置需要自己去探索。

 

原文:https://xiaolan.me/android-orbot.html

翻墙问答:自由亚洲电台手机新版应用程式出炉

问:一直以来本台都有手机应用程式,方便用智能手机上网的听众浏览本台的内容。而最近新出的3.2版应用程式,又有什么新功能?

李建军:新的3.2版应用程式,有几个新功能很值得听众多加留意,而且相当值得更新。

首先,在手机应用程式,可以自行设定要浏览的内容分类,例如有些分类你并不会在手机上看,就可选择在手机上剔除相关的分类,尤其手机的画面面积有限,这样就令你浏览本台内容时更容易和画面更简约。

此外,应用程式的分享功能亦有改善,由于分享功能与作业系统整合得更好,所以当你分享完你想朋友看的内容后,会返回应用程式,而不会留在相关的社交网站内,减少了浏览时的麻烦。

而在应用程式上,亦可以看到在社交媒体上出现的最新内容,本台的Facebook、Google+、推特、SoundCloud以及YouTube上所推出的内容,都能够在应用程式上浏览,这个一站式服务更方便听众接收到本台的内容。

对于使用新款Android 6.0作业系统手机的听众,就更加要升级做3.2应用程式,因为3.2版应用程式支援Android 6.0作业系统,会加强运行时的稳定性。

问:使用Android版应用程式的话,可以不用另外执行翻墙程式这样麻烦,那可以怎样做?

李建军:在Android应用程式中,有代理设置这一项选择,只要选择使用赛风代理服务器,应用程式就会试图用赛风的主机连接互联网,而不用另外执行翻墙程式。

如果赛风失效的情况,只要你知道一些可用的HTTP或SOCKS代理主机,都可以利用「使用外部代理」的选项,使用HTTP或SOCKS代理主机连接本台主机。换言之,使用本台的应用程式Android版,可以不用事先执行翻墙程式,这个比较适合记忆容量比较少的低阶手机。而这一项功能,与手机的VPN功能本身并无冲突,如果使用应用程式内置的赛风功能失败,仍然可以试图利用手机内置的VPN功能翻墙上网。而iOS版受到苹果方面的限制,因此暂时iOS版并不会有内置赛风翻墙功能,需要使用手机作业系统的VPN设定或代理主机设定来翻墙。

问:如果我的Android没有Google Play功能,又如何下载应用程式?

李建军:就算你的手机没有Google Play,可以翻墙到Opera App Store,或翻墙到本台网站,在本台主机,或亚马逊的主机下载相关的Android apk程式,将apk程式存入SD卡,或直接存入手机中,再安装后就可以执行,一如将翻墙软件安装到手机或平板电脑的方式一样。

问:在iOS设备上,只能透过App Store下载相关程式,但在App Store找不到RFA应用程式,原因是什么?

李建军:如果你的App Store国家设定在中华人民共和国,你是找不到RFA应用程式,你要成功下载RFA应用程式,必须将App Store国家设定在中华人民共和国以外的国家,例如香港、台湾或美国,才可以成功下载。

将App Store国家设定为香港,是最简单下载RFA应用程式的方法,只要托亲友在香港买一张香港版的iTunes卡,再将个人地址等资料设定为香港,而不需要设定任何香港信用卡,就可以使用香港的App Store服务。倘若使用其他国家,有部分国家可能需要听众填入当地信用卡资料,才能够改变国家设定,会相对变得麻烦。但日本等国家,当地有银行或财务机构有提供预付VISA扣帐卡功能,都可以用来改变App Store的所在国。但总体而言,仍以香港版最方便听众下载本台应用程式。
提醒各位大陆听众,若果在手机找不到RFA应用程式,另一方法是电邮至本台cnews@rfa.org。本台会以电邮方式,将整套应用程式邮寄给你,或与本台热线主持人联系。(完)

原文:http://www.rfa.org/cantonese/firewall_features/firewall-04012016081810.html?encoding=simplified

翻墙问答:iPhone被破解的机会

问:美国联邦调查局一度入禀法院,要求法院下令苹果替执法部门破解恐怖分子手上的iPhone 5c的密码,但联邦调查局现表示由于他们有方法破解手机,因此押后入禀。除了iPhone的系统漏洞外,美国执法部门还有什么手段,可以绕过iOS的十次密码输入限制,最终取得手机的内容而不用苹果方面任何协助?

李建军:对于执法部门,除了他们可以聘用保安公司或黑客,试图破解手机密码外,由于他们有充沛的资源,所以亦可以聘请专门的公司,由硬件方面著手,去绕过苹果的限制。

智能手机与U盘一样,都是用快闪记忆体储存所有资料,而快闪记忆晶片只要驳上特定的设备上面,就可以对当中的内容作出完全一模一样的复制。而不少技术专家相信,美国联邦调查局可能利用记忆晶片复制技术,将恐怖分子的iPhone 5c的记忆晶片内容作出大规模复制,然后逐个副本,逐个密码尝试。由于iOS的密码长度有限,实际上联邦调查局只要复制千多粒晶片,就可以得到手机的内容,而不用苹果公司方面任何的协助。

问:如果透过复制手机快闪记忆晶片,就可以绕过苹果iPhone的输入十次密码限制,一旦自己的手机落入公安机关之手,又是否代表有机会被破解?

李建军:由于执法部门有大量资源和技术去从事复制晶片内容的工作,因此,理论上,如果你的iPhone落入执法机关手上,就有可能被破解。因此,一旦你的手机落人公安手上,而你或你本人透过Find your iPhone的功能,发现你的iPhone仍然能够连接互联网的话,就要在发现你的iPhone后,立即透过网络发出指令,让iPhone自行毁灭资料,减低执法部门透过复制快闪记忆晶片,而得到你手机资料的可能性。

问:倘若复制快闪记忆晶片成为了执法部门得到你手机或U盘机密资料的标准技术,那又有什么方法,确保你手机或U盘上的资料会百分百毁灭,而不会落入任何手上?

李建军:用硬物破坏手机,或让手机入水,最多能手机或U盘不能开启,但如果对方有设备可以复制你的快闪记忆晶片,那破坏手机荧幕,或让手机或 U盘入水,都不能够确保你的资料不会外泄。

如果你的资料储在U盘或SD卡之上,除了用软件清除U盘或SD卡上资料外,最有效,亦是最保障资料永远不能落入第三者手上的方法,就是将U盘和SD卡破坏至晶片完全碎裂为止,当晶片碎裂后,晶片内的资料就不可能用任何方法拯救,那就最安全。有些人或许用高电压令U盘或SD卡上晶片永久损坏,这个方法虽然很有效破坏晶片上的资料,只不过操作时亦可能对你带来危险,除非你本身是专业人士,有专门设备和知识,否则用一个铁锤去破坏U盘或SD卡,相对安全但效果相若。

在手机的情况,最有效的方法是将手机拆散后,取出手机的电路板,然后针对手机电路板每一粒晶片进行物理破坏,因此只有电路板上的晶片被彻底物理破坏,例如晶片严重碎制等,才可能令资料永远被删除而无法挽救。纯粹破坏手机荧幕,或让手机入水,手机快闪记忆晶片仍然相当可靠储存信息,换言之,只要有关当局将手机记忆晶片拆出,再接入特定设备,仍然有可能读取,那亦意味著你的破坏工作只要稍为执法部门带来麻烦,但并做不到你原有保护资料安全的目标。

原文:http://www.rfa.org/cantonese/firewall_features/nandmirroring-03252016075940.html?encoding=simplified

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

20160302更新Alkasir_v2.0.0.4.5. Alkasir是来自阿拉伯国家也门的一个翻墙工具,主要在中东地区使用,它一个跨平台的开源和强大的网站审查规避(翻墙)工具,也映射世界各地的审查模式,凭借其隧道分离功能,Alkasir2.0可以优化带宽消耗,以提供更好的速度。它本是提供人们在一些阿拉伯国家内避开网络封锁,但也可以帮助你在不同的国家绕开当地的网络封锁,如中国臭名昭著的GFW。这是一款很好的工具,美博园(allinfa.com)推荐使用并根据官方原文翻译编写首发最新版教程。

请特别注意教程中说明:6、重要使用说明,中国网友需手动添加被墙网址

Alkasir是一款创新的服务器/客服端工具促进对网站审查(过滤)进行跟踪、分析和绕行。它利用一个专用的客服端软件和使用代理服务器。通过半自动更新,允许全球用户社区报道新近被屏蔽的网站,以保持被屏蔽的网站列表是最新的,是其创新点。

*Alkasir, 阿拉伯语”绕行, 有意避开”, 原作者是一个也门的学生, 受到国际人权组织支持奖学金,背后的boss是欧盟人权理事会,AK基本总是满速。新版交由瑞典人开发,新节点也在瑞典.会是浏览器插件的形式.已经是会员可能被邀请参与测试.

Alkasir并不限制无墙国家公众使用, 带宽好得惊人. 即使现在使用帽子前置, 前置半死不活, 绕行者依然力保2M.其他基本就跑不动, 最高效利用前置带宽的方式。

官方网站

https://alkasir.com/
https://github.com/alkasir/alkasir
https://github.com/alkasir/alkasir/releases

2016-03-02 更新 v2.0.0.4.5

官方下载页面:https://alkasir.com/en/index.html#download

如果下载地址被墙,也可以发信去索取:get@alkasir.com

Windows
Alkasir 2 for Windows (64bit) [ver 0.4.5 ]
Alkasir 2 for Windows (32bit) [ver 0.4.5 ]

Mac OSx
Alkasir 2 for Mac OS (64bit) [ver 0.4.5 ]

Linux/Gtk
Alkasir 2 for Linux (64bit) [ver 0.4.5 ]

Alkasir 的工作原理

Alkasir已实施两个创新性和互补性的新功能。它被设计成一个嵌入式的预配置的HTTP代理网络浏览器(基于Chrome browser,以前是 Mozilla Firefox),和一个可以自己添加被过滤的网址的数据库。

绕过网络审查 – 翻墙

Alkasir的创新只依靠其被屏蔽网址数据库,并内置了代理来访问被屏蔽的网址。没有被屏蔽的网址可以直接访问,无需通过代理。只有当它真正需要优化带宽的使用情况,并允许更迅速地访问没有被过滤的网页时(因为直接访问的网页加载更快),才使用HTTP代理。

保持被过滤网址数据库更新

任何时候当用户怀疑网址被屏蔽,他可以通过软件界面报告。Alkasir彻底检查这个报告,然后要求该国的版主(一个人)批准添加到数据库,除了数据库(保持数据库的相关性,并防止不良内容被加入,如色情)。

一个被屏蔽的内容单位(一个在某一个国家被屏蔽的网站)往往依赖于多个网址。Alkasir检测在某一个国家被屏蔽的网址时,它会检查该网页上的所有来源网址,以确定他们是否也被封锁。因此, Alkasir 通过一个简单的、原始的和一级蜘蛛爬行方法建立被屏蔽的内容数据库。

最后,如果Alkasir用户直接请求(即不通过代理)加载一个网址失败,客户端注意到这一点,自动检查,看它是否是一个新的(尚未在数据库中)被屏蔽的网址,如果是的话,则自动将其添加。

数据库在: https://alkasir.com/map

总之,Alkasir的被屏蔽网址数据库连续不断地从用户那获得信息(通过人工提交或自动报告),Alkasir浏览器依赖这个数据库通过仅重定向那些经由代理的被屏蔽网址请求,来优化这个全球工具的反应。

使用教程 (美博园 2016-03-24 更新教程)

Alkasir旧版使用方法较复杂,新版使用已经很简单。

1、安装Chrome浏览器,或者绿色chrome设置为默认浏览器

1)安装版Chrome浏览器

请确保已经安装Chrome浏览器,如果你没有拥有它,你可以从官方网站获得,点这里:https://www.google.com/chrome/browser/desktop/

官方推荐的方法是安装Chrome浏览器,并且Alkasir已经有一个Chrome浏览器扩展会自动被打开并安装;

2)绿色版Chrome浏览器

美博园在测试时,除官方要求的安装版Chrome浏览器外,绿色版Chrome只要设置为“默认浏览器”也可以使用该软件,测试时firefox不可用

美博园绿色版chrome下载:

Google Chrome浏览器_v45.0.2454.85-美博园翻墙纯净绿色版(20150909) – 美博园

2、下载Alkasir

如上地址,下载最新版,解压缩后得到 alkasir.exe 执行文件

(在Mac上是Alkasir.app,在Windows上是alkasir.exe,在Linux上是alkasir)

3、启动Alkasir

双击alkasir.exe启动软件,如果安装有防火墙,要允许alkasir.exe联网请求

启动后,在右下角的系统任务栏,会出现一个图标存在,红色图标表示处于工作状态,中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

4、启动Chrome浏览器

在红色图标上点右键,并点选 “在Web浏览器中打开”(Open in web browser)

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

5、简单配置:

1)之后会自动打开 Chrome浏览器,并在地址栏自动填写一个带密码的网址,如:http://127.0.0.1:8899/?suk=ce4d5552e0794a055df6#/

并且同时出现一个安装画面,如下:

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

点“continue”,

2)在新窗口中点选语言(仅三种语言,无中文),所在国家,如下图

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

点“continue”,

3)输入浏览器代码(brower code)

如下图,当出现这个窗口时,需要复制一段Alkasir自动生成的浏览器代码(brower code),样子是:
db87d1ac87d147a494840d0e70c603cc86a180c312df6958::8899

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

4)Chrome浏览器安装Alkasir扩展

点其中的链接安装Chrome浏览器安装Alkasir扩展:https://chrome.google.com/webstore/detail/alkasir/biomhgciacmajmcpohikhgebkihljhpp

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

Chrome浏览器安装Alkasir扩展方法与一般Chrome扩展安装完全一样:

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

安装完成后,在chrome浏览器右上角有红色Alkasir扩展图标出现

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

4)查看Alkasir扩展工作状态

点chrome浏览器右上角有红色Alkasir扩展图标,会出现如下窗口,上面为绿色表明运行正常,下面紫红色区块是添加被封锁网址的;
中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

5)查看配置

如要查看或修改全部配置的设置,点Alkasir扩展后,有一个seting tab,如图:

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

6、重要使用说明,中国网友需手动添加被墙网址

到这一步,只要在浏览器中输入被封锁的网址,我们就预期该网址会经过代理浏览了。

各位网友要特别注意一点,在使用这个翻墙工具时,是依据被墙网址的数据库做为是否使用代理的自动判断的

也就是说,如果被墙的网址不再该软件的数据库里面,输入的网址仍然是不经过代理自动连接互联网,即没有任何翻墙效果;

问题是这个软件是为中东翻墙而开发的,其数据库中很多在中国被封锁的网址并没有在其数据库

所以,我们常常需要使用时手动添加被墙网址,方法如下:

1)、在chrome浏览器输入被墙网址,如 allinfa.com(美博园)

2)、点chrome浏览器右上角有红色Alkasir扩展图标,会出现如下窗口,注意下面紫红色区块是添加被封锁网址的;

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

3)、点下面紫红色区块的 “continue”

会自动弹出该网址的记录窗口:

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

很简单,点 send按钮,自动将该被封锁网址加入到被封锁的数据库中

4)随机弹出已经加入的说明,并即刻生效:

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

7、来看看是不是经过了代理

如何查看自己上网的ip地址:

1)、美博园主页:http://allinfa.com/
2)、美博园ip检测ipcheck:http://allinfa.com/ipcheck/
3)、美博园ip地理信息查询:http://allinfa.com/tool/geoip/ip.php
4)、如何查看自己上网的ip地址?

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

哈哈,这已经是英国的代理了

8、使用完毕的退出

翻墙后,如果不使用alkasir,在右下角红色图标上点右键,并点选 “退出”(Quit Alkasir)即可退出软件。

9、如何再次使用

第一次设置完成后,下次不需要再次设置,

只要启动Alkasir后,安装上述第>4、启动Chrome浏览器

在右下角系统任务栏的红色图标上点右键,并点选 “在Web浏览器中打开”(Open in web browser),这是的浏览器会显示已经设置完成OK的绿色提示,如下图:

中东翻墙软件:Alkasir_v2.0 最新使用教程(2016-03-24)

看到这个图示,表明浏览器与Alkasir都运行正常,输入被墙网址,就可以正常浏览了

再次特别提示:如果你的被墙网址不再数据库中,需要自己添加到Alkasir数据库中;

* * *
※ 本文由美博园(allinfa.com)根据官方原文翻译编写首发最新版教程。
* * *

原文:http://allinfa.com/alkasir-v20.html

科学上网之EC2搭建shadowsocks

说在前面的话

  • 首先要说的是这应该是目前性价比最高的科学上网的方式,AWS免费一年,到期后,再去买VPS来搭建shadowsocks,也是一个道理,关键是比购买vpn或shadowsocks账户划算的多

  • 这篇教程中的步骤是有一定时效性的,有些步骤可能随着AWS升级,相关软件升级等等会变得不太一样,这时候需要灵活应变;

  • 这是一篇非常啰嗦的教程,特别是申请AWS的步骤,写这么细主要是想把整个过程还原出来

  • 如果因为哪些步骤被卡住无法进行下去,均可在留言中说明,我会尽可能解答并更新到文中

服务端配置

申请AWS

  1. 打开 AWS官网

  2. 输入邮箱,选择新用户,点击 登录

  3. 填写注册信息,点击 创建账户

  4. 填写信用卡信息,点击 继续

  5. 填写手机号码,点击 立即呼叫我

    几十秒后就会有一个电话打来,等电话里的妹子说完话,输入PIN码

    输完后,妹子又说几句话就挂了电话,这时身份验证已经完成,点击
     
    继续 选择支持方案

  6. 选择方案,默认选基本,点击 继续

  7. 这时账户创建成功,点击 启动管理控制台

新建EC2

  1. 进入AWS主页,选择第一个:EC2

  2. 进入EC2控制台,选择右上角 弗吉尼亚北部,弹出下拉菜单,推荐选择 亚太地区(东京)
    EC2控制台刷新后,点击 启动实例

  3. 选择 符合条件的免费套ubuntu

  4. 默认的选择第一个即可, 点击 审核和启动

  5. 点击 启动,

  6. 创建新密钥对,输入名称,点击下载密钥对(一个*.pem文件),保存到电脑上,点击 启动实例

  7. 这样就创建好一个在东京的服务器节点,点击查看实例

    这个时候AWS开始初始化的你的服务器节点,大概需要一两分钟

连接远程服务器

  • 如果是windows,参考官方教程使用putty连接远程服务器

  • 如果是mac,
    首先,找到刚刚保存的
    *.pem文件,比如文件名叫amazon.pem,确认文件路径,
    打开终端,进到
    amazon.pem文件所在目录,
    执行
    chmod 400 amazon.pem 修改文件权限
    执行
    ssh -i amazon.pem ubuntu@你的服务器节点ip即可连接上远程服务器

安装shadowsocks依赖

  1. sudo -s // 获取超级管理员权限

  2. apt-get update // 更新apt-get

  3. apt-get install python-pip // 安装python包管理工具pip

  4. pip install shadowsocks // 安装shadowsocks

  5. ssserver -c /etc/shadowsocks.json -d start // 启动shadowsocks

配置shadowsocks

vi /etc/shadowsocks.json

(ps. 可能有人不会用vi,这里简单说下,vi打开文件后,按i即可进入编辑状态,编辑完后,按esc退出编辑状态,按:进入命令状态,输入wq即可保存并退出,还不懂的话自行百度vi吧)

  1. 单一端口配置:

{
    "server":"0.0.0.0",
    "server_port":端口,
    "local_address":"127.0.0.1",
    "local_port":1080,
    "password":"连接密码",
    "timeout":300,
    "method":"aes-256-cfb",
    "fast_open":false
}
  1. 多端口配置:

{
    "server":"0.0.0.0",
    "port_password": {
        "端口1": "连接密码1",
        "端口2" : "连接密码2"
    },
    "timeout":300,
    "method":"aes-256-cfb",
    "fast_open": false
}

开启AWS入站端口

配置好shaodowsocks后,还需要将配置中的端口打开,这样客户端的服务才能链接得上EC2中的shadowsocks服务
首先打开正在运行的实例,向右滚动表格,

看到最后一项,安全组,点击进入

点击操作,编辑入站规则

默认是开启了一个22端口(这是给ssh访问的),再建一个如下图红框标示的端口,我的shadowsocks配置的端口是8388,所以这里就开启8388,

订单监控

    1. AWS提供的服务是每个月15G流量,目前我不知道有什么方法可以监控每个月流量使用的情况,但是可以通过设置订单监控来提醒我是否有超过免费使用的额度,即每当我的账号费用超过$0,那amazon就会发邮件提醒我

    2. 点击右上角的用户名 -> 我的账户,然后点击左边首选项即可打开以下页面
      勾选
      接收账单报警,点击 保存首选项

    3. 点击左上方服务,点击 账单

    4. 点击 设置第一个账单警报

    5. 点击 创建账单警报

    6. 第一个项填写0即可,第二项填写你能接收到邮件的邮箱地址,点击 创建警报

    7. 这时会弹出这个页面,这个时候登录邮箱,打开Amazon发来的邮件(有可能在垃圾邮件里),点击邮件里的链接确认即可

    8. 登录邮箱确认后,会变成这样,点击查看报警,

      这样就完成了订单监控

      至此,服务端的要做的事情就全部完成了。

    客户端配置

    • 其实这里已经开始离题了,但是为了给第一次用的童鞋最直接的方便,还是啰嗦一下,已经能科学的上网的童鞋不用看了

    下载客户端

    进入shadowsocks客户端下载页
    可以在这里选择对应平台的客户端
    一般来说
    mac 选择 [](
    https://github.com/shadowsocks/shadowsocks-iOS/releases)
    windows 选择[](
    https://github.com/shadowsocks/shadowsocks-windows/releases)
    ios 直接去AppStore里搜 shadowsocks
    android 去google play下???23333333
    算了,还是给个网盘吧,包括mac和windows的客户端都在里面了
    链接: 
    http://pan.baidu.com/s/1hqgwO5I
     密码: m5yb

    配置

    这里以mac为例,无论哪个平台要填的东西就这三个东西

    • 地址:服务器实例的外网ip

    • 密码:shadowsocks配置的密码

    • 加密:aes-256-cfb

    点击确定保存配置后,点击 打开Shadowsocks 即可。
    默认是选择 自动代理模式 ,这个模式下,GWF白名单的站点不会通过代理访问,
    如果出现一些访问不了的情况,那就改成 全局模式
    当然也可以通过chrome插件Proxy SwitchyOmega实现chrome浏览器的局部代理,
    配置也非常简单,如下图

    这个端口是客户端服务的端口,保持1080即可,不用改,
    要说明的一点是当客户端的客户端打开后,本地的服务就跑起来了,这个时候,客户端的状态是关闭的情况下,chrome才能实现局部代理,因为客户端选项中的开启和关闭只是代理的开启和关闭,chrome实现局部代理相当是把代理的开关交给SwitchyOmega完成。

     

     
     

    Freenet 完全指南(一)介绍 Freenet 是什么

    Freenet 是什么

    很多朋友的博客、网站被墙;手头上有资源、信息想分享、披露出来,结果被请喝茶;更多的朋友想翻墙看看外面的世界,却怎么都翻不出来。

    于是乎,猫抓老鼠的游戏在不断的重复:域名被墙的换域名、网站被墙的换 IP;搞搞 PT 传高清;弄了数不清的免费、收费 SS VPN 服务器,天天在抱怨墙高。

    想想挺可怜的。在与墙的斗争中,我们好像越来越被动。对于我们这些平头老百姓,这一仗似乎没有任何胜算……怎么办?怎么办?怎么办?

    工欲善其事,必先利其器。Shadowsocks、蓝灯、自由门、VPN……它们个个都很优秀,但是方向错了。用它们,你永远是被猫玩的老鼠。用 Freenet,你才会变成逗猫的主人。

    Freenet 项目官网上说:“Freenet 是一个内容发布和沟通平台,专为抵御内容审查而设计。”连上这个网络后,任何人都可以在上面自由发表言论,做自己想做的网站,传自己想传的资源。当然了,看网站、看贴,下小电影那更是不在话下。那个网络里面只有自由,没有墙。

    那么问题来了:“我丫传了些不该传的内容上去,要是被某某盯上了,喝茶还是小事,命丢了咋办?”急啥?没人会知道是你传的这些内容!甚至没人知道你在用 Freenet!(例外情况:你自己傻乎乎的爆料自己是某某人,在某某村。那我也无语了。)有着15年历史的 Freenet,技术强大到基本无视什么 GFW,什么墙的。

    Freenet 的 Web 控制台

    有点意思,我想深入了解一下

    你可以把整个 Freenet 想像成一个大电脑,有个很大的硬盘。你有什么文件啊、资源啊、言论啊,往这个上面一传就 OK 了。文件传完后,Freenet 会给你一把钥匙,你把这把钥匙告诉别人,那别人也可以下载你上传的东西。

    这台大电脑异常强大,没人能关得了它。因为它是成千上万台电脑通过点对点技术组成的。所以,假设你写了一段话传上去,是骂某人的。那个人看到了有人骂他(可惜他不知道是你在骂他),想把这段骂人的话删掉。这个人牛啊,上可通天、下可入地,也许是某大大的某某人呢!这么牛?删呗,删……怎么找不到删除按钮啊???

    一个这么强大的电脑,里面的内容传上去了就删不掉,这台电脑又关不掉,充不了公。谁传的又找不到。这就是所谓的“专为抵御内容审查而设计

    Freenet 数据请求顺序

    我现在翻墙挺爽的,干嘛还要 Freenet

    听说 SS 的作者被请去喝茶了。编程随想没有。我为什么说”还“?因为翻墙这种方式,致命的漏洞永远存在,要找到他,只要愿意花钱出力,分分钟的事情(买通内部人员找到跳板 IP,买通跳板主机商找到代理 IP,买通代理提供商找到真正 IP……)。

    不是找不到你,而是不稀罕找你,因为你不值这个钱而已。但难保你哪天弄个惊天动地,被挖了出来,不要怪自己技术不佳,而是你没有选对工具。

    如果你翻墙只是去查查国外的资料、技术文档什么的,那就继续翻吧。Freenet 不是翻墙工具,你没法用它来上谷歌、非死不可的!但是这台大电脑里面的东西,谷歌、非死不可因为法律等等的原因,很多都没有。你会感兴趣的。

    有个 Tor 洋葱头,也能隐藏身份!

    高手啊!但请记住,一个中心化的网络是脆弱的网络

    Tor 的确能把你藏得很好,但是你的信息还是可能暴露出去。FBI 设置了不少假的 Tor 出口,你通过 Tor,只要访问的不是 https 开头的网站,你提交的所有信息都可能被别人抓去,你自然就暴露了。这些出口服务器其实就是中心服务器。

    你可能说,”我不用 Tor 翻墙,我是用它搭建隐藏服务的。这样别人就不知道是我搭建的某某洋葱网站了。“但是,你的网站服务器仍然是一台中心服务器。你的服务器可能被攻击,可能被查到。著名的”丝绸之路“,就是这样被 FBI 一锅端的。然后呢?没有然后了。你所做的一切都灰飞烟灭,你也会消失在历史的长河中……

    Tor 隐藏服务被黑

    顺便说一下,Tor 网络现在你不翻墙连不上啊!

    难道 Freenet 不会被封?

    敢问你是否知道第一个被 GFW 使用包过滤技术封掉的软件是什么?Freenet。

    Freenet 在 0.5 版本的时候,被 GFW 封得死死的,而且是采用了包过滤技术,分析了 Freenet 协议,进行针对性的封锁。那是 2001 年前后的事情。

    良心被墙
    良心被墙

    后来,开发者痛定思痛,决定采用更强的技术和理论,来真正的实现自己的目标:抵御内容审查。0.7 版本的 Freenet 几乎是重写,节点间的通讯全部都是强加密的,而且还引入了一个强大的功能:”暗网“。

    “暗网”是指,你只跟自己的好友互相连接 Freenet。只要你有 5 个以上的好友互相连接,那么你就连上了 Freenet。如果你连上了暗网,除了你的好友,没有人知道你在用 Freenet。墙再强大,也分析不出来。

    10几年的砸墙经验,你还不放心吗?

    能用 Freenet 做什么

    不同的人可以通过 Freenet 放心大胆的做不同的事情。我这里可以举几个例子。声明一下,这里只是列出了可能性,不代表我赞同这些可能性。

    政见异议者、活动家

    在 Freenet 里面弄个网站,或者在里面的论坛混一下。你的观点,让大家知道就行了,别傻乎乎的跑到某某网站弄个长篇大论,还没发出去就被删了,还经常被喝茶。你的观点比你的名气更重要,如果你的观点能传遍大江南北,那你永远匿着也无所谓啊!

    爆料者

    Freenet 对你再合适不过了。猛料爆到 Freenet,谁都可以看到,还删不掉,你的目的达到了;别人找不到你,你安全了。想当年斯诺登把料爆到 Freenet 上,也不会沦落到今天这个地步。

    有资源者

    把资源传到 Freenet 吧。最近风声紧,很多高清 PT,某某影视,还有几个动漫站都被和谐了。与其过着逃亡的生活,还不如把家搬过来,一劳永逸。

    福利同好

    爱好福利的,应该了解,在美国也不是什么福利都能放的。我只能说,美国不能放的福利,在 Freenet 上一把一把的。懂的来。

    待续

    在下一节,我会为大家带来详细的图文安装教程,敬请期待。

    原文:http://freenetcn.blogspot.com/

    一个插件便可翻墙——Tunnello

    tunnello home

    Tunnello介绍

    Tunnello是一个谷歌浏览器插件,由法国VPN服务商开发,提供9国服务器,包含法国,英国,加拿大,意大利,葡萄牙,荷兰,美国,德国,比利时,可以自由切换。而且,后续还会推出更多服务器,可以通过Tunnello的facebook或者twitter页面关注他们的动态。Tunnello混淆了VPN协议和代理协议,使其速度相对一般VPN更快,官网宣称速度是普通VPN的10倍。

    Tunello使用

    Tunello插件的使用很简单,就和当年的红杏插件差不多。

    首先,

    你电脑上要有chrome浏览器,如果没有chrome浏览器,可以通过这里下载chrome浏览器离线安装包:http://www.google.com/chrome/eula.html?standalone=1

    其次,

    这个一个chrome插件,chrome插件下载地址:https://chrome.google.com/webstore/detail/tunnello/hoapmlpnmpaehilehggglehfdlnoegck/

    最后,

    插件装好之后,还需要注册才能使用,注册账号的步骤,就很简单了,在此便不详述。

    tunnello01tunnello

    实测速度还是不错的,YOUTUBE视频也可以流畅观看。

    原文:http://fanqiang.pro/index.php/2016/03/15/vpn-tunnello/

    快速稳定的VPN——ExpressVPN深度评测

    ExpressVPN

    直达官网:ExpressVPN

    • 日志策略:无日志记录
    • 服务器覆盖:78个国家1000+服务器
    • 平台支持:Mac, Windows, Android, iOS (iPhone, iPad, & iPod Touch), Linux, Chromebook, Kindle Fire, PlayStation, Apple TV。
    • 协议:OpenVPN ,L2TP/IPSec,SSTP,PPTP
    • 退款政策:30天退款保证
    • 价格:1年:$8.32/月;6个月:$9.99/月;1个月:$12.95/月
    • 折扣价格:优惠35%

    ExpressVPN是一家领先的VPN服务供应商。自2009年以来,ExpressVPN一直是世界上著名的VPN服务提供商之一。并且,这家公司还在继续拓展业务,扩大用户基数和提供新的产品。到今天,Express已经收获了良好的口碑。如果你对安全性和速度要求都比较高,ExpressVPN无疑是最佳的选择。通过以下评测,相信你会了解更多。

    直达官网:ExpressVPN

    服务器

    ExpressVPN的服务器有200多个,遍布78个国家,对于VPN供应商来说,服务器数量,IP数量,遍布的国家是实力的一个很有效的展现方式。
    ExpressVPN众多的服务器不仅可以让你有更多的选择,也让你有更多的地理位置的选择。一般依据地理位置便可估计延迟,基本中国周边国家的延迟普遍都很低,使用这些服务器看youtube视频是个很不错的选择。

    你也可以根据自己想要用的某国的IP,而选择该国的服务器。比如我个人就很喜欢使用香港服务器。

    expressvpn00

    直达官网:ExpressVPN

    性能

    一般而言,国外VPN速度相对国内VPN都要好些,ExpressVPN相对本人使用过的Astrill和VyprVPN,速度相对更快。此外,ExpressVPN的稳定性也十分不错,长时间连接也很少断线,这也是Express在业界收获良好口碑的原因。

    就我个人常使用的香港服务器而言,经常用来观看youtube视频,几乎不会卡顿。

    expressvpn-hktest

    YOUTUBETEST7000+

    直达官网:ExpressVPN

    安全性和隐私

    ExpressVPN支持OpenVPN ,L2TP/IPSec,SSTP,PPTP协议,这四种协议的安全性都无需担忧。

    expressvpn-protocols
    ExpressVPN使用的是256位加密,而破解AES 256位加密有多难?

    3×10^23等于宇宙中恒星的数量,大于地球中沙子的数量。2^256>2^(10*25)>10^(3*25)=10^75>>>3×10^23
    现在问题来了。假设你能够把每一粒沙子做出一个存储设备,存一个值。你只能存储3*10^23个不同的答案。而你没法全部试一遍。(只考虑存储)。
    如果是1秒钟尝试20亿亿次不同的组合。10^75/(20*10^8*10^8*86400*365)=10^58/86400/365/2>10^50年。这么长时间远远大于太阳的寿命,6*10^9亿年。

    呵呵,装了个逼,其实我也不太懂。继续。。。

    目前,OpenVPN在大陆基本不能使用。pptp协议倒还凑合,应该是目前最流行的VPN协议吧。L2TP/IPSec协议是很不错的,目前企业使用的VPN协议主要就是这个。SSTP协议使用SSL进行加密,而SSL本身已经被证明是一个靠谱的加密协议。使用443端口TCP协议进行数据传输。网管很少封这个端口。总的来说,ExpressVPN提供了丰富的加密协议可供选择,能很好的保障用户的隐私。

    直达官网:ExpressVPN

    客服支持

    ExpressVPN的客服支持有多种方式。包括官网的设置教程,及时现场聊天(Live chat),邮件联系,最快的自然是网站直接咨询,客服的回复很及时现场聊天。24/7的在线支持与邮件联系。对于用户来说,好的客服支持是肯定很必要的,有任何疑问可以随时进行咨询。在购买的时候,我也联系过他家的客服,接待客服是一个妹子,名叫 Emily,光看名字就已经想入非非了 (¬︿̫̿¬☆)。。。

    就是本人英语水平确实有些捉急,这家VPN提供商是不支持中文客服的。。。这也是一大劣势。

    付款方式

    ExpressVPN的付款方式很多,对于中国用户甚为方便的是支持支付宝和银联卡,也支持国外主流付费方式如paypal,VISA等。同时也支持虚拟货币比特币,比特币是最利于匿名交易的,尤其是2014年在我国是真心火了一把。最为让人放心的是,ExpressVPN提供30天的退款保证。

    expressvpn03

    购买注册步骤

    1. STEP1.选择需要购买的Plan,含1个月;6个月;12个月三种方式
    2. STEP2.输入自己的邮箱
    3. STEP3.选择付费方式(VISA,支付宝,银联,paypal,万事达卡……)

    付费完成后,ExpressVPN将通过电子邮件发送下载软件的链接给你,并且提供登录密码。下载安装好后便可以使用。

    直达官网:ExpressVPN

    桌面上使用ExpressVPN

    1. 下载软件和启动应用程序后,您将看到这个右边客户端一样的图片。
    2. 接下来,你可以选择系统直接连接,也可以自主选择协议 方式,点击蓝色箭头所示的吧。如果你想选择自己的协议,点击蓝色箭头所示的三个点“…”。有OpenVPN,IPSec,PPTP,SSTP几种选项。
    3. 在绿色箭头所示处可以更换服务器,有200多个服务器可以自由选择,然后再点击绿色框内的“connect”进行连接。
    4. 连接好后将会出现图2,如果自己想断开,点击 disconnect即开,非常的简单易用。

    expressvpn-pc

    手机上使用ExpressVPN

    这里主要介绍下Android操作系统的使用。首先,进谷歌商店储搜索“ExpressVPN”应用进行下载安装。登录时输入账号的,接下来页面将显示为此设备的expressvpn已经激活,点击next按钮,选择一个服务器,并选择你信任连接即可。可以选择系统协议也可以自主选择协议,这里和电脑版本不同的是是三个竖点,电脑的是3个横点,其他一致。ExpressVPN有iPhone和iPad的应用程序,进itunes下载安装即可,方法基本一致,不再做详述。

     

     

    优点

    • 详尽的设置教程
    • 24小时支持通过邮件和即时聊天
    • 提供OpenVPN,PPTP, L2TP/IPSec和SSTP协议
    • 30天退款保证
    • 独立的Windows、Mac、iOS和Android应用程序,支持所有主流设备
    • 两个并发连接(支持1台电脑+1部手机同时使用)
    • 服务器遍布全球78个国家
    • 支持在游戏系统和路由器,Apple TV上设置使用
    • 速度快,稳定性好

    ExpressVPN在VPN供应商中口碑很好,定价不算低但是提供一个月的退款保障,并且如果购买1年的服务将优惠35%,值得你进行尝试。
    直达官网:
    ExpressVPN

    ExpressVPN

    原文:http://fanqiang.pro/index.php/2016/03/17/fatestvpn-expressvpnevaluation/

    分享开发 iOS 和 Mac 全新 VPN 的艰难历程,顺带求帮忙测试

    故事的起因

    2015 年苹果在开发者大会上,首次提到 iOS 9 和 OSX 10.11 将公开底层网络接口给第三方 developer ,这组新的接口叫做 Network Extension API 。简单地讲,苹果将在 iOS 和 OSX 里植入虚拟网卡,允许第三方 app 控制虚拟网卡并修改系统路由表。

    Imgur

    在此之前的 8 年里,苹果从未公开过这组 API 。在没有 jailbreak 的 iOS 上,只有三家公司曾做到过控制系统路由表: Cisco, Juniper ,以及 iOS 6.0 之后的 OpenVPN 社区。他们能做,因为他们和 Apple 签了某种协议,从而获得苹果定制的 entitlement 。

    现在,苹果决定开放这个权限给全世界。

    于是技术狂悄悄动手了。 ss 在 7 月中开始 coding 全新的 proxy 代码,可惜 8 月底 git repo 被清空了。那时基于新接口的 ss 还没完工。

    Imgur

    为苹果免费 debug 的艰难历程

    我和 ss 几乎同时开始做这块。不过,我的打法是开发全新 VPN 协议,这和 ss 走 sock5 代理是两条路。

    要调用 Network Extension ,先要问苹果拿一个特殊的 entitlement 。否则只能得到无止尽的 NSError 。拿这个许可大约花费两周时间。

    Imgur

    我们很早就在Android 上开发了新的 VPN 协议并投入使用。

    原以为拿到许可之后,简单地把 C 代码搬到 XCode 里,再加个 OC 或 Swift 的 UI 层就搞定了。后来的经历证明苹果的坑很多,官方文档和 stackoverflow 对这块技术也接近空白,一切全靠试错。

    第一个坑, NWTCPConnection 不 work

    开篇提到的苹果开发者大会 Session 717 ,当时 Tommy Pauly 演示了一个 swift 写的 vpn demo ,用的是 NWTCPConnection 。三个月后苹果放出来的 sample code 也用了 NWTCPConnection 。

    Imgur

    But, 实测下来, NWTCPConnection 根本不 work , connect 一直 timeout ,不知道 Tommy Pauly 当时怎么做的。

    Workaround 还是有的,就是用 C 开 TCP socket ,然后用 BSD 的 kqueue 自己写异步 IO 。

    第二个坑, NWUDPSession 每个包最多只能传送 1472 字节

    这很容易理解,大部分 WiFi 环境下 iOS 网卡 MTU 配置成 1500 ,减掉 IP header 共 20 字节,再减掉 UDP header 共 8 个字节,剩下数据部分 1472 个字节。

    但是 iOS 的行为非常古怪。

    之前我们在 Windows, OSX , Linux 和 Android 上获得的经验是这样的,系统 IP 层会自动分解超大的 UDP 数据,这个过程叫 fragment ,送到另一端时 IP 层又自动合成出原始 UDP 包,这个过程叫 defragment 。整个过程对应用层 app 是透明的。所以在其他几个操作系统上用 UDP 传送超过 MTU 的数据不会有问题。

    iOS 呢?实测下来, iOS 不会自动 fragment/defragment ,也不会把超过 MTU 的包整个扔掉,而是传送 1472 字节给应用层。

    于是从 network extension 拿到的只是部分数据,当然无法跑通 VPN 。这问题花了几周时间才搞清楚。

    强烈要求苹果改改 iOS TCP/IP 内核代码,起码也要和 OSX 一样吧。

    第三个坑, iOS Provision Profile 带来的问题

    终于, iOS 上搞定了,自己用的很开心。

    交给苹果 review ,等到 D 疼,终于 approve 了。从 app store 下载安装,居然不能用!

    dev 版本是可以用的, production 版本不能用,问题在哪里?

    先连夜赶工, VPN 核心模块切换到老代码,然后加个 switch ,默认关闭。

    Imgur

    接下去,找始作俑者,也就是开发 Network Extension 的那位大神。

    Imgur

    非常不幸的是,苹果在安全保密方面极端严格。通过这个渠道去询问技术问题,绝对无可奉告。

    上论坛试试吧。

    Imgur

    最终我们得到大神回复,删掉本机所有 profile ,然后新建一组 profile ,重新 build ,试试!

    我们照做了,搞定!

    不过坦率承认,这招我们时常用,在此贴之前,不管怎么弄 profile 都没用。苹果微调了啥呢?

    更艰难的 Mac 之旅

    有了 iOS 的 code base , port 到 Mac 岂不是秒杀?

    Yes and No.

    在 UI 层,大部分工作就是把 UI 改成 NS ,比如把 UIView 改成 NSView 。这要多谢 Cocoa 和 Cocoa Touch 结构基本相同。

    但底层的 app extension 里还是有细节上的差异。要注意, Xcode 不会显示 app extension 里的 NSLog ,得这样看。

    Imgur

    又瞎忙了 N 天,看起来差不多了。在自己 Mac 上跑的甚好。

    事后证明,还需要被折磨 6 周,才能最终把它推到 Mac app store 。

    这次,还是 provision profile 的问题。见图。

    Imgur

    原来,调用 Network Extension 要求先取得苹果的许可,然后可以新建一个 provision profile 使用 network extension 扩展 entitlement ,其中包括三种权限,分别是:

    • HotspotHelper ,允许 app 控制 wifi 连接,这是 wifi 万能钥匙这种 app 必须的功能
    • AppProxy ,让第三方 app 在应用层过滤其他 app 的网络通信,适合做内容过滤和监控
    • PacketTunnelProvider ,这是 VPN 相关的,在 IP 层拿到虚拟网卡和路由表控制权

    但是, OSX 不支持 HotspotHelper ,所以, Xcode 打包项目后做 validation 时报错了。

    解决方案呢?

    先依靠自己的力量,找遍所有相关资料,一个一个试,无解。

    然后,去 Apple 开发者论坛发帖,无解。

    最后几经周折,在确信这问题 99%出在苹果的前提下,硬着头皮找到苹果 Core OS 团队的人。

    Imgur

    嗯,进了他们的 ticket system ,也算为 OSX 和 Network Extension 做点贡献了。

    然后,等。

    顺便说下, OSX 里有个 pluginkit 命令,开发 app extension 时要用到。

    列出所有 plugin

    pluginkit -m -A
    

    强制安装 plugin

    pluginkit -a <filename>
    

    强制删除指定的 plugin

    pluginkit -r <filename>
    

    在开发阶段, Xcode 有时不能正确安装或刷新 app extension ,此时就要手工操作了。

    完工

    后来, Apple fix 了这个问题。幸好,不需要升级 XCode 。

    我们有幸成为全球第一个,也是唯一一个遇到这个问题的人。

    这是 Mac 版成品的样子。

    Imgur

    这是 iOS 版。

    Imgur

    整个开发过程零零碎碎历经几个月。我们总体感觉是,苹果开放的 Network Extension 接口没有达到最成熟的阶段,可能的原因是苹果开发流程很封闭而且环节很多,涉及 Apple Developer Program 里各种权限,涉及 XCode ,还有就是 code ,任何一环出错都会造成产品无法上线。

    而且我们认为,苹果自己的 Core Network 部门并没有像第三方 developer 一样从头到尾把流程跑一遍,才会出现各种细节问题。

    Anyway , we did it 。

    现在,我们需要更多人来测试这个产品。当时 iOS 那个 profile 引发的 bug 至今没有得到苹果的官方解释。同时,在 Mac 上,我们也发现 pluginkit 不是每次都能自动加载 app extension 。

    任何新发现的问题我们都会及时和苹果 Core Network 团队沟通,相信大部分都是他们的错。

    如果你有 iOS 9.0 和 OSX 10.11 以上的设备,正好需要完全免费的 VPN ,请试用这两个 app 。

    iOS: https://itunes.apple.com/us/app/hideme-free-vpn-proxy-unlimited/id879905781?ls=1&mt=8

    Mac: https://itunes.apple.com/us/app/hideme-free-vpn-proxy-unlimited/id1084098222?ls=1&mt=12

    原文:http://v2ex.com/t/264480

    翻墙问答:iPhone用户如何防范Acedeceiver木马?

    问:中国手机软件相关的保安问题,至今没完没了,甚至连一些合法由 App Store的软件,都可能会有木马袭击,到底是怎样一回事?

    李建军:中国的黑客看准了iOS App Store审查机制的漏洞,首先向苹果申请一些墙纸程式,放上App Store让人免费下载,从而取得苹果公司App Store的辨识码,而当取得苹果公司的辨识码后,就算软件后来下了架,系统仍然会认为是合法和安全的软件,黑客就可以利用这些软件大肆散播木马,由于系统认为木马是合法和安全,因此就算未有越狱的iPhone或iPad都会中招﹐而这个叫Acedeceiver的木马,是首个利用这种手法散播的iOS木马,黑客利用这木马偷取未有越狱手机的个人资料。

    问:那面对Acedeceiver的新木马散播手法,使用苹果手机的听众,又应该如何应对?

    李建军:首先,苹果下令iOS软件下架,都有其软件,绝大部分软件都是因安全问题,因而被苹果下架。因此,苹果对软件,尤其免费软件下架时,听众都应尽快删除有关软件,因为这些软件只要仍然在手机内存在,当中有问题代码都有可能发作,危害到你的资讯安全。相信苹果会改变现有App Store的认证机制,在下一版iOS中杜绝漏洞,但有关改动会相当大,并不会一时三刻能堵塞相关漏洞。

    另一方面,不少中国开发商推出的软件,都可能是不必要,例如一些奇怪的游戏,以及墙纸等免费程式,对个别背景不明开发商推出的软件,纵使是免费软件都要采取保留的态度。

    问:这只叫Acedeceiver的木马,除了在一些免费软件存在过,更与爱思助手一类软件有关。其实中国公司所推出的iPhone助手程式,是否安全?

    李建军:要安全使用iPhone和iPad,无论你的电脑用Windows还是Mac,都只应该配合iTunes运作,避免使用不明公司推出的免费iPhone管理软件,因为iTunes本身与苹果iOS的保安机制紧密配合,避免黑客有机可乘,使用来历不明的iPhone管理软件,等如将自己的手机资料交予黑客,黑客有可能由手机取得你的资料后,透过电脑将资料送到黑客的主机,或在安装软件过程中,将木马混入其中。Acedeceiver在中国的感染情况特别严重,与中国使用者的不良习惯有关,无论在西方国家,还是香港台湾等地,用家都坚持使用iTunes,而甚少使用以免费使用收费软件作招徕的手机管理程式。如果听众有使用爱思助手,或其他iTunes以外的iPhone管理程式,应立即停用并且删除,恢复使用苹果公司官方的iTunes程式,这是最安全可靠的做法。

    问:近日Locky绑架软件肆虐,很多人的电脑档案都被加密,被迫透过淘宝或其他手段,缴付一大笔赎金。要避免受Locky感染,有什么方法?

    李建军:由于Locky绑架软件是透过微软办公室软件传播,因此,对任何不明来历的Word或Excel附件都要格外留神,如果你打开附件后,Word或Excel提示你要执行某指令的话,你最好不要执行,因为几乎肯定这是Locky绑架软件试图在你的电脑运行。

    对一般Gmail用家而言,在Gmail利用Google Doc功能去预视文件内容是最安全的做法,因为Google Doc暂时不会执行Word或Excel档案内的宏指令。只不过,由于Locky已经发展到可以利用Javascript来执行,因此,如果有些奇怪电邮,尽量不要打开js字尾的附加档,因为这些附加档案,很大机会就是Locky的执行码,令你的档案全部都被黑客恶意加密,乘机敲诈一笔。(完)

    原文:http://www.rfa.org/cantonese/firewall_features/acedeceiver-03182016082549.html?encoding=simplified

    又一把翻墙利刃——lightsword服务器端“最”简明安装教程

    首先,你得有一个自己能控制的vps,如果没有,欢迎点击

    http://is.gd/bwg_all

    购买注册一个先,选择一个年付19.99美元的就好了,支持支付宝付款的,超级方便。

    ⬆⬆⬆⬆⬆⬆⬆⬆以上是我友爱菌倾情推荐的,搬瓦工真的很良心⬆⬆⬆⬆⬆

    财大气粗的你就有一个自己随时掌握的小vps啦,然后装系统,点几下鼠标就行,选择centos 6.0 x64 版本。

    片刻,你的系统就自动装好啦,马上你就能在它的控制面板里装Shadowsocks了,那就装一个呗,也并不妨碍下面我们装今天的主题利器lightsword!

    ⬇⬇⬇⬇⬇⬇⬇如果你已装centos 6×64版本,直接看下面就好啦⬇⬇⬇⬇⬇⬇⬇

    用ssh命令进入登录自己的vps(这个就不在这里细述了,自己Google下),必须是root账户。

    先装nodojs 4.0 LTS版(参考 https://nodejs.org/en/download/package-manager/#enterprise-linux-and-fedora

    在命令行窗口里依次输入:

    curl –silent –location https://rpm.nodesource.com/setup_4.x | bash –

    yum -y install nodejs

    用nodejs自带的npm包管理器装lightsword:

    npm i -g lightsword

    嗒哒,至此lightsword已全部安装完毕。那如何运行这个服务器端呢,很简单,也是一句命令:

    lsserver -f -m aes-256-cfb -p 443 -k password

    注意,上面这条语句里443是端口号,你可以修改,password是密码,也请记得改成自己喜欢的密码,当然不改的话,你的密码就是password这几个字符了。你开心就好…… 如果有需要开机自动启动,可以将上面的那条运行语句加入到系统启动项目里。

    停止运行的方法:

    lsserver -d stop

    再有什么不懂的,你可以在Twitter上问我,当然,明显能Google到的问题,我拒绝回答,请珍惜彼此的时间。 好了,不说了,我做饭去了。

    没vps的,点我链接注册一个啊,有一个自己能随时掌控的小小vps的感觉真的超好!

    参考链接:1

    原文:http://youaijun.tumblr.com/post/140848186078/%E5%8F%88%E4%B8%80%E6%8A%8A%E7%BF%BB%E5%A2%99%E5%88%A9%E5%88%83lightsword%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%AB%AF%E6%9C%80%E7%AE%80%E6%98%8E%E5%AE%89%E8%A3%85%E6%95%99%E7%A8%8B

    逗比超级Ping — 支持Shadowsocks、Goagent、Host、路由追踪

    最开始用Shadowsocks的时候,收集了大量的账号,但是免费账号稳定性都很一般,指不定哪天就失效了,所以写了这个软件。

    这个软件的主要作用就是批量Ping IP,是一个科学上网的辅助工具,通过得出的结果(延迟)判断出哪个账号可以用,哪个延迟低,从而省力的不需要一个一个Ping。

    本来这个软件是很早的是我写的,已经大半年没管了,后来被一些逗比发现,催我更新,于是我就开始继续更新了~但是我悲催的发现最新的源码找不到了,只找到了1.0.6版本的,最后改了改几乎整个框架都改动了。。。

    当前版本:2.3.0


    主要功能

    1. 支持Shadowsocks、Hosts和GoAgent。
    2. Shadowsocks支持原版和SSR版。
    3. 支持自定义文件、次数、显示IP地址。
    4. 支持路由追踪。
    5. 使用简单,软件轻便。

    截图展示


    使用方法:

    • 直接拖拽文件到窗口
    • 点击“Ping”,然后等待Ping完成,也可以右键单独Ping
    • 右键可以单独Ping IP,可以复制Ping结果。
    • 路由追踪输入IP点开始就好了。

    更新内容:

    版本2.3.0 日期2016年3月14日

    1. 新增其他-单独Ping Ping完之后会显示一个平均延迟。
    2. 新增路由追踪功能。
    3. 修复Shadowsocks读取配置BUG。

    版本2.2.0 日期2016年3月12日

    1. 新增单独Ping,可自定义ping次数和显示IP真实地址。
    2. 新增批量Ping,可以手动添加大量IP。
    3. 新增复制当前IP。

    版本2.1.1 日期2016年3月11日

    1. 修复SquidPAC读取配置备注重复BUG。
    2. 修复SquidPAC重载BUG。

    版本2.1.0 日期2016年3月11日

    1. 新增SquidPAC支持。
    2. 新增自定义,可读取任何文件IP。
    3. 新增打开按钮,好多人都误解打开目录按钮了。。。
    4. 新增检测更新按钮。
    5. 修复各种BUG。

    下载地址:

    百度网盘逗比 · 云


    有问题或者反馈BUG请在下面留言!

    注意事项:

    • 软件仅支持win系统,对于Linux和Mac用户说声抱歉。
    • win7如无法使用请用管理员模式启动。
    • 软件由易语言编写,所以一些杀毒软件可能报毒,我再次保证,我原创的软件绝对没有病毒!
     

    原文:http://www.dou-bi.com/pingip/

    免root 安卓配合Postern翻墙教程

    首先,Postern下载地址:https://aiguge.xyz/postern/

    要使用Postern科学上网,除了下载这个软件外,还需要有一个代理账号,没有的可以网上找免费的或者购买本站自营业务 https://ss.aiguge.xyz

    使用方法:

     

    Postern

    安装后弹出添加VPN连接,点击确定,然后点击右边图片中的127.0.0.1

     

    Postern

    点击127.0.0.1过后,进入设置界面,按照你购买的代理账号填写就行了,然后点击ok,打开google就可以用了。

    提醒:如果给你的节点是网址,请复制节点网址到http://ip.chinaz.com/ ,然后把测试出来的ip填写进去就行了。

    原文:https://aiguge.xyz/postern-kxsw/

    安卓上兼容Shadowsocks的工具Postern

    Postern

    Android下的系统全局代理Proxifier


    关于Postern

    Postern是一个Android下的全局代理工具.Postern激活后,设备上所有的APP的网络流量都自动通过配置的代理.支持的代理协议:

    SSH隧道
    Shadowsocks
    SOCKS5代理
    HTTPS/HTTP CONNECT method隧道

    下载

    Android APK: Postern 1.2.2

    MD5:1e8959c5472fc6e43930b51d91e3f62d

    SHA1:a003672eff86d133f827bdc60a6d5a1bd23b71d5

    官网地址:http://www.tunnel-workshop.com/

    提醒:这个只是一个工具,要实现帆樯你需要配合一个代理账号,本站自营业务 https://ss.aiguge.xyz 支持该工具。

    原文:https://aiguge.xyz/postern/

    一个免费的pac代理 SquidProxy

    SquidSquid2.0.0.13

    SquidProxy是近期发现的一个新的免费翻墙技术,原理如下:

    数据缓存技术 在一个若干人共同使用的”宿舍”(Squid服务器),A同学(相当于A浏览器或A设备) 从”图书馆”(Youtube等网站)借来的”书籍”(网站等视频资源). B同学(相当于B浏览器或B设备)不用在再跑去图书馆(远程网站)借这本书,直接在他们的宿舍(Squid服务器)阅读浏览借来的书籍即可.Squid会将这些视频数据保存在本地,供其他 用户调用。 这个从本地获取视频的效率,远比反复从图书馆来的效率更高! 这个就是Squid技术的原理!

    从上面的原理描述来看感觉这个工具需要在服务器上缓存已经看过的视频和文件这些,对于用户来说无所谓,对于提供服务的人来说,看来要有一块大硬盘才行。

    软件使用方法:

    1、下载客户端 链接: http://pan.baidu.com/s/1mhqEiaG 密码: h8s5
    2、运行,直接打开浏览器FQ就行了(服务器我已经帮你们配置好了)


    Android通过AnyConnect科学上网教程 免root翻墙

     

     

    首先附上下载地址:https://aiguge.xyz/anyconnect/

    AnyConnect是思科推出的一种技术,对于国内一部分没有root或者手机系统限制了Shadowsocks使用的朋友来说,可以使用AnyConnect来科学上网,并且不需要root。

    安卓版AnyConnect使用教程如下:

    Android免root帆樯AnyConnect教程

    安装后第一次运行,弹出提示点击确定,然后带你几连接,添加新的VPN连接。

    Android免root帆樯AnyConnect教程

    弹出的连接编辑器里面填上服务器地址(如需试用/购买请联系小编QQ2436143603),设置好了返回点击off按钮打开。

    Android免root帆樯AnyConnect教程

    第一次连接会弹出上面的提示,点击修改设置,然后去掉阻止不信任的服务器的勾,再次连接,点击继续。

    Android免root帆樯AnyConnect教程

    输入账号密码,然后就可以科学上网了。

    Android免root帆樯AnyConnect教程

     

    原文:https://aiguge.xyz/anyconnect-android/

    iPhone/iPad通过AnyConnect科学上网教程

    目前比较主流的科学上网方式就是通过Shadowsocks,不过在iOS系统上,如果不越狱,Shadowsocks不是很好用,需要第三方软件配合,例如Surge配合ss翻墙教程 iPhone/iPad免越狱实现,可惜的是Surge因为大家都了解的原因,自己选择了下架,现在很难买到。

    而今天给大家介绍的这个AnyConnect,技术是思科提供的,很多大企业都在用,所以相对来说稳定性还是比较好的,最关键的是,这款软件免费,能直接从应用商店下载安装,还不需要越狱,配置也比Surge简单。

    下面就给大家介绍下AnyConnect的使用方法:

    iPhone/iPad通过AnyConnect科学上网教程

    首先安装就不说了,自己在应用商店搜索安装就行了,第一次运行有上图提示,点击确定,然后点击连接,添加VPN连接。

    iPhone/iPad通过AnyConnect科学上网教程

    说明自己随便填一个,服务器地址填写你自己购买的AnyConnect服务的地址就行了,如果没有,可以联系小编QQ2436143603咨询购买。

    iPhone/iPad通过AnyConnect科学上网教程

    然后点击设置界面,关闭阻止不信任的服务器。接着回到主页,点击连接开关,弹出来的界面点击继续。

    iPhone/iPad通过AnyConnect科学上网教程

    然后会弹窗输入用户名和密码的选项框,填进去后通过验证,就可以科学上网了。

    很简单吧。

    原文:https://aiguge.xyz/anyconnect-ios/

    Squid+Stunnel 翻墙看世界

    加密代理功能的实现,越过封锁限制,访问被墙的国外站点,比如Google、FaceBook。

    一、首先是国外的服务器安装squid和stunnel

    1.安装Squid

    yum -y install squid

    也不用修改配置,因为单单squid代理根本翻不了墙,所以需要一个加密的通道,stunnel,而stunnel只需要连接localhost的squid端口即可。

    2.安装Stunnel

    yum -y install stunnel openssl openssl-devel

    生成pem证书:

    cd /etc/stunnel/
    openssl req -new -x509 -days 365 -nodes -out stunnel.pem -keyout stunnel.pem
    openssl gendh 512>> stunnel.pem #警告:这行不是必须的
    useradd -s /sbin/nologin -M stunnel
    

    修改/etc/stunnel/stunnel.conf(stunnel默认的配置文件),复制以下内容:

    cert = /etc/stunnel/stunnel.pem
    CAfile = /etc/stunnel/stunnel.pem
    socket = l:TCP_NODELAY=1
    socket = r:TCP_NODELAY=1
    
    ;;;chroot = /var/run/stunnel
    pid = /tmp/stunnel.pid
    verify = 3
    
    ;;; CApath = certs
    ;;; CRLpath = crls
    ;;; CRLfile = crls.pem
    
    setuid = stunnel
    setgid = stunnel
    
    ;;; client=yes
    compression = zlib
    ;;; taskbar = no
    delay = no
    ;;; failover = rr
    ;;; failover = prio
    sslVersion = TLSv1
    ;;; fips=no
    
    debug = 7
    syslog = no
    output = stunnel.log
    
    [sproxy]
    accept = 34567
    connect = 127.0.0.1:3128
    

    accept = 34567 是 stunned要监听的端口号

    connect = 127.0.0.1:3128 是Squid的监听地址和端口

    在参考的原文中 fips=no 是未被注释的,但在我机器上此参数导致不能启动,所以我才注释掉,如遇到无法启动,可去掉注释。

    3.启动squid和stunnel

    service squid start
    stunnel
    

    如果没有错误输出表示配置成功,并可以使用以下命令查看是否启动成功。

    ps aux | grep -E "squid|stunnel"
    netstat -an | grep “LISTEN” | grep -E "squid|stunnel"
    

    二、国内服务器:

    只需要安装stunnel(yum -y install stunnel openssl-devel),将国外服务器生成的stunnel.pem复制过来,唯一的不同在于配置文件中 sproxy那段,编辑stunnel.conf:

    cert = /etc/stunnel/stunnel.pem
    socket = l:TCP_NODELAY=1
    socket = r:TCP_NODELAY=1
    verify = 2
    CAfile = /etc/stunnel/stunnel.pem
    client=yes
    compression = zlib
    ciphers = AES256-SHA
    delay = no
    failover = prio
    sslVersion = TLSv1
    ;; fips = no
    [sproxy]
    accept  = 0.0.0.0:7071
    connect = 国外服务器IP:34567
    

    解释说明: accept = 0.0.0.0:7071 即是用户要设置的端口, connect = 国外服务器IP:34567 ,即国外服务器IP和Stunnel监听的端口号

    启动stunnel

    stunnel

    此时用户连接到国内服务器7071作为代理就可以访问一些被墙的网站。

    在国内没有服务器,可以我在本地安装的一个Stunnel,用来加解密,所以没有国内服务也不要紧。

    去stunnel官网下载一个windows版的客户端,将上面国内服务器的stunnel.conf配置文件和国外服务器stunnel.pem证书放到stunnel安装目录/config/下启动即可。

     

    原文:https://staugur.gitbooks.io/saintic/content/blog/28.html

    Shadowrocket for shadowsocks设置教程 替代Surge的翻墙软件

    Shadowrocket for shadowsocks这个应用在之前的版本是比较坑爹的一款软件,因为国内装不了Shadowsocks(需要切换到美区),所以很多新人第一次搜索Shadowsocks的时候出来的就是这个应用。

    兼容Surge规则 iPhone使用Shadowrocket翻墙教程 - 第1张  | ChromeWo

    iTunes地址:https://itunes.apple.com/cn/app/shadowrocket-for-shadowsocks/id932747118?mt=8

    不过在新版本上,Shadowrocket好用了,同时还兼容了Surge规则,可以实现国内外网址自动分流,最最关键的是,售价只要6元,所以目前这款软件的性价比是非常高的,建议有需要的朋友入手。(iTunes没钱的可以去淘宝,3毛钱)

    相比Surge来说,Shadowrocket除了更便宜外,另外一个优势就是配置特别简单,详细配置如下:

    Shadowrocket for shadowsocks iPhone上设置教程:

    下载安装好Shadowrocket for shadowsocks后,默认有两种添加方法,扫描二维码和手动添加。

    兼容Surge规则 iPhone使用Shadowrocket翻墙教程 - 第2张  | ChromeWo

    扫描二维码添加方法:

    兼容Surge规则 iPhone使用Shadowrocket翻墙教程 - 第3张  | ChromeWo

    首先电脑上,在小飞机图标右键,选择【服务器】-【显示二维码】,然后点击Shadowrocket for shadowsocks左上角扫描二维码的按钮,直接扫描,搞定。

    手动添加方法:

    点击Shadowrocket for shadowsocks上面的【Add Configuration】

    兼容Surge规则 iPhone使用Shadowrocket翻墙教程 - 第4张  | ChromeWo

    依次填入服务器地址、代理端口、密码、加密方式,然后点击右上角的Done就配置完了。(本站提供的免费Shadowsocks账号付费Shadowsocks账号

    兼容Surge规则 iPhone使用Shadowrocket翻墙教程 - 第5张  | ChromeWo

    配置完毕后点击这个按钮进行连接。

    兼容Surge规则 iPhone使用Shadowrocket翻墙教程 - 第6张  | ChromeWo

    第一次运行会弹出一个创建VPN的窗口,点击Allow,然后重新点击连接。

    兼容Surge规则 iPhone使用Shadowrocket翻墙教程 - 第7张  | ChromeWo

    OK,配置成功,打开浏览器就可以自由翻墙了,并且是自带Surge规则,国内外流量自动切换。

    提示:如果需要手动设置Surge规则,在Settings-Surge,同时设置里面支持开启日志功能,非常方便。

    价格便宜功能好用,有钱的赶紧买一个,说不定什么时候就被下架了。

    vpngate-build-9605

    • 如何安装和使用
    • 可发布的文件
      本软件是免费的。您可以复制或分发已下载的文件。你可以把它上传到其他网站。如果你们政府的防火墙处于未知原因的故障, http://www.vpngate.net 网站不能从你的国家轻松访问,在你们国家的网站上发布 VPN Gate 程序文件,以帮助你身边的其他用户。
    • 注意
      如果可能的话,使用最新版本。有一天,如果贵国政府的防火墙导致未知错误,且 VPN Gate Client 软件有问题,更新 VPN Gate 到最新版本。如果在未来贵国政府的防火墙由于故障 http://www.vpngate.net 网站变得无法访问,建议记住 镜像站点 URL 列表。VPN Gate Client 插件包含 VPN Gate 服务。默认禁用。你可以手动激活它。
    • About Anti-Virus software
      This program uses the network functions of the operating system because this is VPN software.
      Some anti-virus software or firewalls warn that such behavior might be dangerous.
      If your anti-virus disturbs the VPN function, add the VPN program file or the installer to the exception list.

    原文:http://www.vpngate.net/cn/download.aspx

    翻墙问答:如何面对绑架软件的威胁

    问:近年来,绑架软件令人闻风丧胆,家中电脑资料被黑客加密,要重金买Bitcoin赎回档案,是一件很头痛的事?而近日有一宗发生在Mac的绑架软件事件,竟然与App Store官方版软件有关,到底什么一回事?

    李建军:在Mac相当流行的点对点传输软件Transmission其中一个版本中,由于被人混有用作启动绑架软件的程式,令无法透过官方网站下载的人,还是透过苹果App Store下载软件的人,都受到绑架软件影响,有部分档案被黑客加密。而苹果以及软件公司很快就将软件下架,现时在App Store下载的版本,已经是安全版本,可以放心更新。

    这件事与苹果iPhone App Store较早前出现大规模污染事件性质类似,当软件开发公司未有确保自己公司系统安全,甚至聘用心术不正的黑客为职员,而苹果公司一时走漏眼,就会可能出现保安灾难。因此,尽管苹果App Store的审查机制,仍然比Google Play严谨和安全,但亦非百分百安全可靠,听众仍然需要留意电脑或iPhone会否出现一些不寻常的情况出现。如果你对相关情况感到相当可疑,应该将有关情况向苹果或软件开发商反映。

    问:在苹果iPhone OS 9或以上版本,手机内部所有资料都会被加密,如果输入错误密码超过十次,手机内的资料会被销毁。那Android有没有这个机制?如果有的话,会什么版本的Android手机上享用得到?

    李建军:理论上,Android 5.0开始,Android已经预设手机内所有资料都加密。只不过,谷歌公司在Android 5.0版预设启动全机加密功能,并不代表每一间Android手机生产商都会遵守谷歌公司的要求,大部分Android 5.0的手机都未有预设启动资料加密功能,生产商以维持效能为理由,将Android 5.0的加密功能改革取消。亦由于生产商对预设全机加密政策的反应未如理想,谷歌由Android 6.0版开始,才强制大部分手机出厂时都要启动全机加密功能,只有若干硬件配置较差的手机,才会获得谷歌方面准许,关密全机加密功能。

    但问题在于,现时有很多Android手机,特别中国的低价Android手机,在未经谷歌批准下,都擅自移走Google Play,并以奇怪的软件安装方式取代,造成了很多保安问题。在中国出售的廉价无品牌手机,甚至部分有品牌手机,会否在当局压力下,取消了出厂时预设启动全机加密,以及装有一些古怪的后门,实在不得而知,因此,无论谷歌的加密政策如何变化都好,如果你的手机是中国品牌的手机,或一些奇怪品牌的廉价手机,你应假设这些手机并不遵照谷歌的政策行事。

    总括而言,Android 4.0至Android 5.0的手机,都可以假设未有启动全机加密功能,需要你自己自行启动。而Android 6.0的手机,如果你买西方国家大牌子,价钱中上水平的手机,你那部手机在香港或其他国家购买的话,你可以假设他们已经遵照谷歌方面要求行事,启动全机加密功能。而较低阶的手机,由于谷歌有可能给予他们豁免,因此,不要以为Android 6.0,就会启动了全机加密功能。

    如果你买非中国公司制造的Nexus系列Android手机,而作业系统是5.0或以上的话,你可以假设手机的保安和私隐政策会符合要求,皆因这些手机都是遵照谷歌的要求设计和制造,在谷歌的监察下,手机制造商并不会有权力去增减功能,但要注意的是,由于Nexus系统实际上由谷歌委托手机制造商生产,介面会相对简单,不像其他牌子的手机,介面有增减不少内容。

    原文:http://www.rfa.org/cantonese/firewall_features/mobilesafe-03112016073410.html?encoding=simplified

    基于GoAgent Web的配置界面,集成搜索 google ip的 XX-Net 更新至V2.9.4版 修复Win10 无法工作问题 更新GAE SDK 在状态页中添加ca.cert链接

    接力GoAgent翻墙工具 XX-Net 下载(Download):

    测试版(Test): https://codeload.github.com/XX-net/XX-Net/zip/2.9.4

    稳定版(Stable): https://codeload.github.com/XX-net/XX-Net/zip/2.9.2

    懒人集成浏览器版(Easy Browser Bundle): https://github.com/yeahwu/firefox-xx

    项目地址:https://github.com/XX-net/XX-Net

    原文:http://www.atgfw.org/2016/03/goagent-web-google-ip-xx-net-v294-win10.html

    shadowsocks超详细科普教程

    写在开始

    也不知道这是谁写的,站长从本地QQ聊天记录找到这么个文件,打开一看600多行关于shadowsocks的叙述。

    特此发出来,供各位参阅。里面有不少资源。比如:shadowsocks软件的获取、节点的获取等

    希望各位可以告知下来源。我好在结尾标注下!

    废话不多说,开始copy!准备好,开始观看吧。差不多有18000+字

    shadowsocks


    没有可用的shadowsocks节点线路,shadowsocks在你手里也是浮云

    这个作为重点先说一下
    ————————————————————————

    附录,在文本最后

    附1: shadowsocks如何实现类VPN代理

    附2:shadowsocks如何代理本地游戏客户端或其他软件客户端

    附3: chrome浏览器SwitchyOmega扩展如何添加shadowsocks的代理设置

    附4:全球付Globalcash虚拟信用卡和paypal申请教程

    附5:什么是cn2?

    =============================================================


    Shadowsocks的小白使用教程

    http://51.ruyo.net/p/412.html

    http://t.cn/Ry42Kbx

    chrome浏览器配合代理扩展的设置,下拉记事本滑块到底,看附3

    首先明确一点,不管 Shadowsocks 有几种版本,都分为服务端和客户端,
    服务端是部署在服务器(VPS)上的,客户端是在你的电脑上使用的。

    简单说一下windows系统,你有shadowsocks节点的情况下,Shadowsocks客户端的设置代理使用教程

    1. Repeat 10 times for this, DO NOT ASK void questions!
      一定要有有效SS节点才行 一定要有有效SS节点才行
      一定要有有效SS节点才行 一定要有有效SS节点才行
      一定要有有效SS节点才行 一定要有有效SS节点才行
      一定要有有效SS节点才行 一定要有有效SS节点才行
      一定要有有效SS节点才行 一定要有有效SS节点才行
    2. 网或群共享下载Windows系统的Shadowsocks客户端
    3. 软件为绿色免安装,下载 解压到任意目录,如:D:/Program Files/shadowsocks
    4. shadowsocks的账号(本地客户端配置参数)一般包括这么几个部分
      4-1 :服务器 IP (一般为域名或数字ip)
      4-2: Port :服务器端口 (不同的账号的端口也都是不同的)
      4-3 :Password:你的密码
      4-4 :加密模式:鼠标点击下拉小三角选取

    依次手动输入以下3项

    1. shadowsocks 服务器域名或IP
    2. 服务器端口
    3. 密码
    4. 并选择ss服务商提供的节点对应的加密方式

    点击“确定”

    右下角的 代理端口 指的是本地监听端口,一般保持默认1080就可以,不用你填。

    现在的ss站都提供二维码形式的ss节点配置参数文件
    对于二维码形式的ss节点配置文件,也可以用客户端自带的二维码扫描功能快速添加
    右键>任务栏>ss客户端图标>服务器>扫描屏幕二维码

    客户端支持添加多线路节点,方便你切换,选择相对你网络环境质量较好,速度快的节点。

    shadowsocks节点速度快慢,影响shadowsocks节点速度的因素:
    你的机房(地理位置,影响节点路由),运营商(网络封锁程度、丢包率、延迟),
    时间段(高峰期),运营商QoS限速,你的本地物理宽带等等。
    总结起来就是一句话:无法预测。

    一般免费或付费shadowsocks站都会提供多个不同vps的节点供你选择切换。

    5. 桌面右下角 任务栏 右键ss图标 选择 启用系统代理。
    系统代理模式 根据自己需要选择pac或全局代理 ,一般建议pac

    6. 打开IE浏览器,访问https://www.youtube.com/
    其他浏览器的shadowsocks代理设置参考上面的教程链接或下面的说明

    网上找了几个客户端的使用教程 供参考

    http://www.awolau.com/shadowsocks/shadowsocks-win7-xp.html

    http://cnwall.tk/useage-muti-plat-shadowsocks/

    https://cnlic.com/?paged=2

    如果使用Shadowsocks,请清除或还原以前修改过的hosts文件,
    也请务必关闭其他占用1080等端口的代理、翻墙软件

    =============================================================


    付费的shadowsocks节点

    提供商鱼龙混杂,没个统一的流量和收费标准

    确需购买,建议多比较几家的节点和流量
    能提供试用当然最好,有月付,季付尽量不要选择年付。

    现在基本所有的shadowsocks站都提供收费服务
    以下链接是一部分提供收费服务的shadowsocks商家
    非广告,非推广,来源网络,仅供参考

    https://plus.google.com/u/0/112527110814073296465/posts

    https://plus.google.com/u/0/+%E5%96%B5%E5%B8%95%E6%96%AF/posts

    目前7元/月,不限流量和接入设备数量

    所有节点均支持shadowsocks/IKEv2 VPN/Anyconnect VPN/IPSec Xauth VPN/DNS接入

    联系方式– hangouts(环聊)或gmail

    https://www.fyzhuji.com/shadow.html

    https://www.start-ss.biz/

    https://www.deepss.org/index.php

    http://my.ssjsq.net/

    http://playss.co/

    http://www.qiushiss.com/cart.php

    https://www.bluecloud.pw/

    http://www.hishadowsocks.com/

    https://my.ssh91.net/

    http://www.pgfastss.org/order.php

    http://my.ssh91.net/cart.php

    http://www.pgfastss.com/index.php

    http://blog.onlybird.com/收费ssh代理

    http://itti.xyz/

    https://www.ezlink.hk/order

    https://vnet.link/ 微林(中转)
    ——————————————————————————–

    *注意*:Shadowsocks.com不是shadowsocks官网,就是一个纯提供商业服务的网站,所售服务和其他shadowsocks商业站一样。

    =============================================================

    公开的shadowsocks线路极易遭到恶意流量消耗和DDoS攻击或恶意破解ssh

    现在明码公开的免费线路,网上论坛和v2ex 还有G+ twitter几乎已经没有了,

    你可以试着自己搜一下 http://t.cn/RLTGXfn或http://t.cn/RLTGoxm


    获取shadowsocks节点的几种方式

    1.抢码获取免费流量

    免费或免费+收费的shadowsocks站,现在注册码都由站长或管理员严格控制发放了。肉少狼多,现在抢码有难度

    2.自己买vps搭建。

    安全,流量独享。缺点;节点单一,速度如何没保证,靠人品值。

    3.买现成的ss服务商提供的服务

    缺点:一般都有流量限制。

    没有有效节点,想免费体验一把的只能自己想其他办法了。

    http://www.hishadowsocks.com/ 4小时更新一次密码

    http://www.ishadowsocks.com/ 6小时更新一次密码

    http://www.surperoneblog.com/shadowsocks.php 6小时更新一次密码

    http://sscat.cc/free/ 3小时更新一次密码

    http://kf0.cc/ 4小时更新一次密码

    https://www.ezlink.hk/free.php 密码每天0点更新

    http://freehide.co.uk/free-shadowsocks/

    https://namaho.com 半个月更换一次密码 不限速不限量不收费不负责

    http://www.htovpn.net/?View=FreeSS 3小时更新一次密码 需要注册

    http://sskuai.pw/

    https://plus.google.com/communities/104092405342699579599 shadowsocks免费帐号

    https://plus.google.com/communities/109962494203239446911

    https://plus.google.com/+GhostAssassin/posts/NrDZWoXVjSD 免费shadowsocks大集合

    http://www.fyhqy.com/356/

    http://yyf.sg/code 免费shadowsocks邀请码集合站

    QQ搜群 shadowsocks 有的shadowsocks qq群有免费ss线路或内部放邀请码

    以上链接或链接中的免费shadowsocks随时可能失效,这个就没啥好解释的了。
    有问题,自己随时google解决。


    1个shadowsocks讨论圈

    https://plus.google.com/s/shadowsocks

    =============================================================

    提醒一下

    如非确实必要,尽量不要用shadowsocks全局

    可以通过软件自带pac或浏览器安装代理管理扩展,实现智能分流

    如何修改shadowsocks pac文件

    http://www.awolau.com/shadowsocks/start-pac.html

    实现科学上网时,启用系统代理后,Shadowsocks客户端会自动配置一个IE代理,使用本地127.0.0.1:1080,默认会选择PAC模式。关于PAC,大家可以参考维基百科。

    选择PAC模式后,系统会根据PAC配置文件pac.txt(与Shadowsocks.exe同级目录),

    当你的浏览器访问这个配置文件里面配置的URL时,会使用代理,否则则不会使用代理。

    这样既节省ss流量,也会提高国内网站的访问速度,这个很不错。

    最后,如果大家发现有什么网站被Qiang了,可以在pac.txt这个文件里面添加这个网站URL,即可通过ss的代理来访问了。同时,最好也定期从GFWList更新PAC。

    =============================================================


    如何制作便携版shadowsocks

    下载2.5.6版(clowwindy)shadowsocks(只有高于这版的才支持制作便携版)

    在 shadowsocks.exe 所在目录创建一个 shadowsocks_portable_mode.txt 文件

    退出程序,重启程序

    https://github.com/shadowsocks/shadowsocks-windows/releases

    源码下架,可以自行寻找

    注:SSR版貌似不支持此项功能

    =============================================================


    shadowsocks俗称 纸飞机

    ShadowSocks是Clowwindy开发的,一个轻量级的几乎跨平台的开源翻墙应用。

    Shadowsocks 是一个安全的socks5代理,由于服务端与终端都简便易用,

    目前配合VPS主机后十分稳定,已慢慢取代GAE等成为主流代理工具。


    Shadowsocks功能特性:

    1. 高性能:基于异步 I/O,事件驱动的程序实现;专为大并发、大流量的应用场景优化;无需保持连接状态,适用于移动设备及无线网络。

    2. 低资源占用:完全以原生代码实现,后台服务内存占用不超过10MB。

    3. 跨平台:可以在PC、MAC、智能手机(iPhone与Android)、甚至路由器(OpenWRT)中运行。

    4. 安全:支持多种加密方案及多种加密强度,提供系统级别的网络数据加密。

    5. 开源:由社区维护的开源项目,包括GPL及MIT两种协议的多种实现。

    有必要先说明一下,用shadowsocks科学上网不是”免费”的。

    shadowsocks软件是免费的,但必须要有架设好的服务器线路才能实现无障碍的“科学上网”。

    架设shadowsocks需要自己购买vps,在服务器端搭建,或买别人搭建好出售流量的线路。

    网上有免费分享的shadowsocks线路,这种是可以免费使用的。

    =============================================================


    shadowsocks官方信息

    https://github.com/shadowsocks/shadowsocks/wiki/Shadowsocks-%E4%BD%BF%E7%94%A8%E8%AF%B4%E6%98%8E

    shadowsocks官网

    http://shadowsocks.org/en/index.html

    shadowsocks作者

    https://www.v2ex.com/member/clowwindy

    shadowsocks官方 pac

    https://github.com/clowwindy/gfwlist2pac

    shadowsocks官方的2种pac模式(无法更新了)

    fast mode pac

    https://raw.githubusercontent.com/clowwindy/gfwlist2pac/master/test/proxy.pac

    precise mode pac

    https://raw.githubusercontent.com/clowwindy/gfwlist2pac/master/test/proxy_abp.pac

    一个shadowsocks可用的可更新的pac

    https://raw.githubusercontent.com/KyonLi/ss-pac/master/ss.pac

    =============================================================

    shadowsocks客户端官网下载页面

    http://shadowsocks.org/en/download/clients.html

    Windows系统shadowsocks旧版及MAC电脑客户端shadowsocks官方下载页面

    http://sourceforge.net/projects/shadowsocksgui/files/dist/

    github的下载链接(最新版)

    https://github.com/shadowsocks/shadowsocks-windows/releases

    低于2.5.2的旧版Shadowsocks-win-x.x.x.zip和Shadowsocks-win-dotnet4.0-x.x.x.zip的区别

    For >= Windows 8 or with .Net 4.0, download Shadowsocks-win-dotnet4.0-x.x.x.zip.

    For <= Windows 7 or with .Net 2.0, download Shadowsocks-win-x.x.x.zip.


    注意:

    NET 2.0不能在Windows10良好运行,

    从2.5.2这个版本开始,我们不再支持.NET 2.0。最低要求 .Net 4.0

    现在Shadowsocks-win-2.5.2.zip和Shadowsocks-win-dotnet4.0-2.5.2.zip是完全相同的文件。

    如果您使用的是Windows XP或7,请安装.NET 4.0或更高版本。

    负载均衡:就是多个连接分摊到各个服务器 随机选择服务器

    高可用:按最低延迟+最稳定的标准(丢包率)自动选择一个服务器进行连接

    累计丢包率:通过定时 ping 来测速和选择。如果要使用本功能,请打开菜单里的统计可用性

    shadowsocks作者关于windows2.0客户端功能性的说明

    http://www.chinagfw.org/2014/11/shadowsocks-for-windows-20.html

    http://vc2tea.com/whats-shadowsocks/ 写给非专业人士看的 Shadowsocks 简介

    https://blog.linuxeye.com/423.html Shadowsocks原理

    —————————————————————————–

    安卓客户端-影梭的官网下载页面

    https://play.google.com/store/apps/details?id=com.github.shadowsocks

    https://github.com/shadowsocks/shadowsocks-android/releases

    安卓未root,也可以使用shadowsocks

    安卓版教程 http://51.ruyo.net/p/412.html

    设置要点:路由-绕过局域网及中国大陆地址,全局代理-勾选“设置系统代理”。

    设置完成后,点击右上角的开关,即可开启Shadowsocks代理

    有特殊原因还在坚守fqrouter2的,可以添加自己的shadowsocks线路,添加后fqrouter可满血复活

    =============================================================


    shadowsockR

    shadowsocks-rss版下载链接

    shadowsockR就是第三方shadowsocks编译版(群共享的神奇海螺版shadowsocks-SSR)

    shadowsockR官方链接:https://github.com/breakwa11/shadowsocks-rss

    ShadowsocksR 服务端安装教程

    https://github.com/breakwa11/shadowsocks-rss/wiki/Server-Setup

    https://plus.google.com/u/0/+MikotoMisakamm

    https://plus.google.com/u/0/118234153777431449917/posts

    使用第三方shadowsocks编译版前,请务必仔细阅读shadowsockR主页的参数解释和说明
    —————————————————————————-


    路由器端shadowsocks教程

    https://cokebar.info/

    https://php-rmcr7.rhcloud.com/openwrt-fq/

    http://hong.im/2014/03/16/configure-an-openwrt-based-router-to-use-shadowsocks-and-redirect-foreign-traffic/

    具体哪些型号的路由器支持shadowsocks?

    想自己动手的,淘宝搜 openWRT,QQ搜 群openWRT

    =============================================================


    iOS端 shadowsocks客户端教程

    iOS使用shadowsocks的前提条件是必须越狱!越狱!越狱!

    http://www.pgssh.com/ios-shadowsocks.html

    未越狱的话,ss客户端仅相当于一个内置浏览器,无法代理其他应用。

    直接在appstore搜索 Shadowsocks,下载地址:

    https://itunes.apple.com/us/app/shadowsocks/id665729974?ls=1&mt=8

    iOS 越狱了的话,可以代理其他应用端。越狱的直接在 Cydia 里搜索 Shadowsocks ,然后安装。

    http://jas0n.me/2014/11/12/up_14_11_12/

    未越狱的iOS端建议使用anyconnectvpn或最近的神器Surge

    http://www.cellsystech.com/docs/%E5%85%8D%E8%B4%B9%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%BF%A1%E6%81%AF%E5%8F%8A%E5%8D%8F%E8%AE%AE/


    关于Surge

    已经提交apple,在AppStore上架

    https://t.co/TF1WvOgq1c Surge AppStore 购买前说明。

    购买直达链接: https://itunes.apple.com/cn/app/surge-web-developer-tool-proxy/id1040100637?ls=1&mt=8

    Surge 新手使用指南

    https://medium.com/@scomper/surge-%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6-a1533c10e80b

    如何配置surge在ios中使用shadowsocks科学上网

    http://ideafoc.us/2015/10/%E5%A6%82%E4%BD%95%E9%85%8D%E7%BD%AEsurge%E5%9C%A8ios%E4%B8%AD%E4%BD%BF%E7%94%A8shadowsocks%E7%A7%91%E5%AD%A6%E4%B8%8A%E7%BD%91/

    http://surge.run/

    https://gist.github.com/soffchen/05bc0f017a10486eb646

    https://twitter.com/Blankwonder

    https://plus.google.com/+LeoLiu/posts/GPvHQ7uj2iv

    http://www.pgyer.com/b7c37752060a55ceeae89159d6cedd52

    Surge可以去twitter上找作者要测试版

    需要 OS X 10.10 / iOS 9.0 以上版本

    =============================================================


    shadowsocks客户端参数简单说明:

    “server”, 服务器名称 一般填写域名或ip

    “server_port”, 服务端监听端口 填写ss提供者给你的服务器端口

    “local_address”, 本地中转地址 通常为 127.0.0.1

    “password”, 接入服务端密码

    “method”, 加密方式 通常为 aes-256-cfb或rc4-md5

    “local_port”, 本地监听端口, 默认为 1080 ,本地端口一般保持默认即可

    “timeout”, 以秒为单位的连接超时时长

    说明:ss://开头的地址是base64加密方式提供的shadowsocks线路,

    解密方法:

    复制ss:// 后面的字符串,解密后,就可以得到格式为method:password@IP:Port的服务器地址。

    一个base64解密网站

    http://tool.chinaz.com/Tools/Base64.aspx?jdfwkey=cvvmy

    注意:

    切记遵守vps所在国法律,勿做违法或法律禁止事宜。

    千万不要挂shadowsocks使用p2p BT下载。

    因为美国的vps需要遵从美国的DMCA版权法律,如果该vps被用于bt下载,

    使用的vps的ip就会被记录下来。VPS商家就会封号,vps就会被停止服务。

    如果不想失去这个翻墙手段,最好不要翻墙的时候用p2p。

    =============================================================


    自己部署shadowsocks服务器端的教程

    以下为vps端自己部署shadowsocks服务器端的教程,不是自己部署的就略过

    大流量或重度用户建议自己搭建或购买适合自己流量,价位的shadowsocks服务

    对个人隐私和安全性比较重视的,就自己部署shadowsocks服务器端吧

    网上搭建和优化教程很多,自己动手搜一下。以下几个链接供参考

    官网教程

    https://github.com/shadowsocks/shadowsocks/wiki

    网上搜集的一部分教程 打不开的链接挂代理访问

    http://vbird.dic.ksu.edu.tw/

    http://shadowsocks.blogspot.com/2015/01/shadowsocks.html

    http://www.dothinking.cn/ruan-jian-jing-pin-wu/shadowsocks-vps.html

    https://plus.google.com/103234343779069345365/posts/Xce4EJpLGhX

    http://shadowsocks.blogspot.com/2015/01/shadowsocks.html

    http://ju.outofmemory.cn/entry/114637

    http://www.abclite.org/602

    http://teddysun.com/399.html

    https://php-rmcr7.rhcloud.com/shadowsocks-server/

    http://www.fanyue.info/2015/02/shadowsocks.html 搬瓦工一键shadowsocks教程

    http://jannerchang.tumblr.com/post/114392917710/4-23

    http://www.cmsky.com/shadowsocks-manyuser-udp/ Shadowsocks-Manyuser开启UDP支持

    http://www.cmsky.com/serverspeeder-install/ 安装锐速为网络加速

    https://blog.linuxeye.com/423.html Shadowsocks一键安装脚本

    https://blog.linuxeye.com/426.html ShadowSocks多用户管理系统搭建(moeSS+manyuser)

    http://cnwall.tk/bandwagonhost-one-key-install-shadowsocks/

    http://www.tennfy.com/3334.html

    http://www.tennfy.com/2022.html

    http://capbone.com/shadowsocks/

    http://www.tennfy.com/2843.html

    http://www.tennfy.com/2148.html

    iOS端搭建anyconnect教程

    https://plus.google.com/+McGhostGao/posts/Z4gJrZsiRyp

    http://lifehacker.io/post/108708838206/cisco-anyconnect-shadowsocks

    http://ifreedomlife.com/2015/04/20/Setup-Cisco-AnyConnect-VPN-on-CentOS7/

    http://jannerchang.tumblr.com/post/108814743720/centos7-strongswan-ios-vpn

    http://goo.gl/WRW8ns

    http://www.cmsky.com/anyconnect/

    =============================================================


    关于VPS(虚拟专用服务器)的基础知识

    http://cnwall.tk/about-vps/

    https://www.v2ex.com/go/vps

    http://cnwall.tk/about-vps-ssh-client/

    http://www.vpser.net/vps-howto

    http://since1989.org/digitalocean/vps-vpn-shadowsocks.html

    https://www.appfordev.com/68.html

    几个vps测评网站(排名不分先后):

    1.LEB: http://lowendbox.com/

    2.老左博客: http://www.laozuo.org/vps

    3.主机测评: http://www.zhujiceping.com/

    4.freehao123: http://www.freehao123.com/category/vps-zhuji/

    5.年付vps: http://www.yrvps.com/

    6.赵荣部落: http://www.zrblog.net/?

    7.VPS推荐网 http://vpsadd.com/

    8.主机博士 http://www.drpsafe.com/

    9.小夜博客 http://www.vpsmm.com/

    10.v2ex https://www.v2ex.com/go/vps

    想了解更多,自己google或baidu

    =============================================================


    以后翻墙的方向,重点就是去中心化

    fqrouter2作者:

    为何有fqrouter?

    因为当年GFW还是一个入侵检测系统,不是一个防火墙。

    这就意味着可以利用很多入侵检测系统的漏洞来做无代理的翻墙,这是很有意思的事情。

    为何关闭fqrouter?

    因为今年GFW已经正式升级为一道防火墙了,google的成千上万个ip被封。

    这种行为相当于把部分国际互联网进行了物理层面的拔网线。

    今后的翻墙只有资源的比拼了,对于这种索然无味的事情我就不在这个上面浪费生命了。

    那我怎么翻墙?(文字作者)

    找渠道买shadowsocks帐号。这种零散的基于交易的行为是去中心化的,长期的,有生命力的。

    ——————————————————————————-

    shadowsocks 作者clowwindy:

    从实际情况上来看,Shadowsocks 没有办法离开去中心化的服务器。要么自己花钱买 VPS,

    要么用有人分享的账号,要么用有人提供的付费服务,他们各有所长,适合不同的人。

    =============================================================

    http://www.solidot.org/story?sid=45231

    ShadowsocksBackup

    https://github.com/Long-live-shadowsocks

    https://github.com/ShadowsocksBackup

    =============================================================


    Shadowsocks Windows 官方使用说明

    功能

    系统代理设置

    PAC 模式和全局模式

    GFWList 和用户规则

    支持 HTTP 代理

    支持多服务器切换

    支持 UDP 代理

    下载

    下载 最新版 https://github.com/shadowsocks/shadowsocks-windows/releases

    基本使用

    在任务栏找到 Shadowsocks 图标

    在 服务器 菜单添加多个服务器

    选择 启用系统代理 来启用系统代理。请禁用浏览器里的代理插件,或把它们设置为使用系统代理。

    除了设为系统代理,你也可以直接自己配置浏览器代理。在 SwitchyOmega 中把代理设置为 SOCKS5 或 HTTP 的 127.0.0.1:1080。这个 1080 端口可以在服务器设置中设置。

    PAC

    可以编辑 PAC 文件来修改 PAC 设置。Shadowsocks 会监听文件变化,修改后会自动生效。

    你也可以从 GFWList (由第三方维护)更新 PAC 文件。

    你也可以使用在线 PAC URL

    服务器自动切换

    负载均衡:随机选择服务器

    高可用:根据延迟和丢包率自动选择服务器

    累计丢包率:通过定时 ping 来测速和选择。如果要使用本功能,请打开菜单里的统计可用性。

    也可以实现 IStrategy 接口来自定义切换规则,然后给我们发一个 pull request。

    UDP

    对于 UDP,请使用 SocksCap 或 ProxyCap 强制你想使用的程序走代理。

    多实例

    如果想使用其它工具如 SwitchyOmega 管理多个服务器,可以启动多个 Shadowsocks。 为了避免配置产生冲突,把 Shadowsocks 复制到一个新目录里,并给它设置一个新的本地端口。

    另外在 SwitchyOmega 中需要使用 SOCKS5 代理,因为 HTTP 代理还是只会启动一个。

    服务器配置

    请访问 服务器

    https://github.com/shadowsocks/shadowsocks/wiki/Ports-and-Clients#linux–server-side 获取更多信息。

    绿色模式

    如果你想把所有临时文件放在 shadowsocks/temp 目录而不是系统的 temp 目录, 可以在shadowsocks 所在目录创建一个 shadowsocks_portable_mode.txt 文件。

    开发

    Visual Studio 2015 is required.

    授权

    GPLv3

    =============================================================


    附1:

    Shadowsocks(Sock5代理)的PAC模式与全局模式与VPN的区别

    http://t.cn/Ry4wJ6x

    使用Proxifier把shadowsocks代理转为全局代理(类VPN)

    http://t.cn/Ry42ih9

    Proxifier下载

    Proxifier 3.28 吕达嵘汉化注册版(安装即为注册版)

    http://www.hanzify.org/software/13717.html

    Proxifier v3.28 破解版

    Initex.Software.Proxifier.v3.28.Standard.Edition.Incl.Keymaker-ZWT

    http://www89.zippyshare.com/v/5iEwpCKM/file.html

    Initex.Software.Proxifier.v3.28.Portable.Edition.Incl.Keymaker-ZWT

    http://www12.zippyshare.com/v/BqNsbIiu/file.html

    本站系列教程:https://gochrome.info/tag/proxifier-series/

    =============================================================


    附2:

    shadowsocks如何代理本地游戏客户端或其他软件客户端

    关于代理UDP(以TCP转发或UDP转发均可)

    官方shadowsocks和第三方客户端shadowsocksR最新版,都支持配合使用SocksCap64/SocksCap/ProxyCap等工具,把需要TCP和UDP代理的程序通过本版本程序转发。即不需要折腾OpenWrt或路由器即可在PC上获得UDP转发的能力,是游戏玩家的福音

    如果你是个人用户,可自行更新服务端或向你的ss站长提议更新后端。

    如果你是站长,可从https://github.com/breakwa11/shadowsocks/tree/manyuser

    获取最新的多用户分支代码,与原版本兼容。

    1.需要第三方软件SocksCap64/SocksCap/ProxyCap

    2.需要有支持udp转发的shadowsocks节点

    SocksCap64教程(SocksCap/ProxyCap使用方法大同小异)

    http://www.cmsky.com/sockscap64-shadowsocks/

    SocksCap64免费

    http://www.sockscap64.com/

    Sockscap 免费

    http://www.socksproxychecker.com/sockscap.html

    Sockscap汉化版

    http://www.hanzify.org/software/8898.html

    Proxycap

    http://www.proxycap.com/download.html

    破解

    x86 http://www43.zippyshare.com/v/39892822/file.html

    x64 http://www74.zippyshare.com/v/12710611/file.html

    注意:Proxifier 不支持处理 UDP 流量,Proxifier是靠实现类vpn方式实现第三方应用代理

    =============================================================


    附3:

    chrome浏览器SwitchyOmega扩展如何添加shadowsocks的代理设置?

    1.添加shadowsocks的浏览器全局模式

    右键SwitchyOmega扩展图标

    选项>>

    新建情景模式>>

    名称:shadowsocks 全局(名称随便填)>>

    类型:选择:代理服务器>>

    点击:创建>>

    代理协议:一定选择SOCKS5 ,代理服务器 填写127.0.0.1 ,代理端口填写 1080

    2.添加shadowsocks的浏览器pac模式

    新建情景模式>>

    名称:shadowsocks pac(名称随便填)>>

    类型:选择:pac情景模式>>

    点击:创建>>

    pac网址>>复制下面这个链接到pac网址一栏

    https://raw.githubusercontent.com/KyonLi/ss-pac/master/ss.pac

    点击:立即更新情景模式

    shadowsocks官方有2种pac模式,用哪个或都添加这个随你便

    fast mode pac(快速)和precise mode pac(精确)

    3.添加shadowsocks的”自动切换”代理模式,

    有个步骤用纯文字表诉的话,略微有点困难,这里掠过。

    需要的自己导入OmegaOptions.bak

    群共享和网盘的OmegaOptions.bak (文件大小243KB那个)

    包括shadowsocks”自动切换” “shadowsockspac”和”shadowsocks全局” 3种情景模式,导入即可

    SwitchyOmega 商店下载链接

    https://chrome.google.com/webstore/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif

    SwitchyOmega官方备用下载地址

    https://github.com/FelisCatus/SwitchyOmega/releases

    附:原gfwlist项目迁移到 https://github.com/gfwlist/gfwlist

    https://raw.githubusercontent.com/gfwlist/gfwlist/master/gfwlist.txt

    本站原创switchyomega配置文件

    switchyomega自动切换版:https://gochrome.info/switchyomega-config/

    switchyomega虚拟情景版:https://gochrome.info/switchyomega-virtual/

    站长推荐使用虚拟情景模式(共内置了8套模式)

    火狐浏览器添加规则和chrome大同小异

    Google 即将关闭 Google Code,原gfwlist项目主页

    https://code.google.com/p/autoproxy-gfwlist/

    =============================================================


    附4:

    全球付Globalcash虚拟信用卡和paypal注册申请教程

    http://www.cmsky.com/globalcash/

    http://jingyan.baidu.com/article/e73e26c0e3913b24adb6a7a4.html

    =============================================================


    附5:

    什么是cn2?

    中国电信下一代承载网络(国际流量走的cn2线路)

    http://www.chinatelecom.com.cn/gjywpd/gj-qqwl/

    https://www.netroby.com/view.php?id=3459

    http://baike.baidu.com/subview/2193652/2193652.htm

    http://cablemap.info/ Greg’s Cable Map

    CN2网络延迟和丢包监控:

    http://183.91.49.53/public/sla/slaPerformanceNew.html

    =============================================================

    如果你连不上服务器,请首先检查SS客户端配置是否正确:

    服务器域名或ip ,服务器端口 ,密码 ,加密方式,检查上面四项,确认没有填错。

    如果均正常,依然连不上的话,请尝试Ping下 服务器域名或ip,看是否通;

    如果不通,一般是你的线路问题(电信、联通、地域、时间等相关,有可能是暂时性问题)。

    但注意在少数情况下,不管你是否能Ping通,都跟是否能连上ss服务器无关。

    最后说下,一般都不会是服务器的问题,也就是说最大的可能性是:1.客户端参数配置,2.浏览器代理设置。

    =============================================================

    Shadowsocks 为什么出现 500 Internal Privoxy Error

    可能原因:

    1.客户端的服务器信息错误

    2.服务端未正常启动或线路问题(被墙?)

    3.如果有使用端口转发,有可能是转发线路问题

    通俗点说

    1.客户端配置参数填错,或参数有变化,自己更新不及时

    2. 服务器端挂了,或线路被墙 (可能性很小)

    3.使用端口转发的,联系你的服务商

    =============================================================

    可能有人会有觉得100多人同时在用一个服务器会非常慢,

    但实际上这点用户数对服务器造成的压力并没你想像中的大。

    根据过去的服务器监控数据来看,平时的带宽使用平均在12Mbps左右,

    间中会有去到20Mbps的突发流量,可以说完全没有压力。

    CPU使用率长期在10%以下。内存方面没做太多优化,保持在60%左右。

    或者100人同时在看视频的话,带宽可能就真的有压力,但这种概率几乎不存在,

    而且就算你家有100Mbps的宽带,服务器也有100Mbps的带宽,你也会受中间线路最小带宽路段的限制,想像下木桶短板原理,而且“网络”中还有很多你意想不到的情况和条件存在,所以用(总带宽/使用人数来)算每人得到的带宽这种方法实在不合理。

    =============================================================

    免费的是最贵的

    善(擅)用谷歌

    有困难找淘宝

    谷歌是最好的老师

    原文:https://gochrome.info/shadowsocks-details/

    赛风Psiphon安卓版 3月8日更新至113版 优化连接线路

    特性:
    • 免费使用。
    • 易于下载和安装。无需注册,订阅或配置。
    • 每一次自动选择协议提供有效可靠的规避。
    • 用应用内统计跟踪查看你使用了多少流量。
    • BestVPN.com 上功能描述: https://www.bestvpn.com/blog/11635/psiphon-review/
    • 赛风是一个接受安全和公开审查的开源项目。如要查找我们的源代码和设计文档,请访问项目主页:https://bitbucket.org/psiphon/psiphon-circumvention-system
    下载地址:https://play.google.com/store/apps/details?id=com.psiphon3

    原文:http://www.atgfw.org/2016/03/psiphon-38113.html

    开源跨平台规避网站审查工具Alkasir更新至2.0版

    A cross-platform, open-source and robust website censorship circumvention tool that also maps censorship patterns around the world.

    With its split-tunneling feature, Alkasir 2.0 can optimize bandwidth consumption to provide better speed compared to many other circumvention tools.


    下载链接:https://alkasir.com/en/index.html#download
    源码:https://github.com/alkasir/alkasir

    Alkasir  is the English transliteration of الكاسر, which is the Arabic word for ‘the circumventor’ or ‘the breaker’ as a way to metaphorically signal its main task of breaking through digital firewalls and allowing users access to blocked websites.

    It was originally developed by Walid Al-Saqaf, a Yemeni software developer who had been subjected to censorship himself and decided to start a movement to confront and map censorship in the Arab world, which explains the source of its naming.

    Today however, Alkasir allows users around the world to circumvent (bypass) censorship of URLs and simultaneously, helps keep track of patterns of URL blocking. It is predominantly used by persons in countries where there is censorship of political content such as news, opinion articles, blog entries, forum discussions, political videos, etc., but can also be used in any other country.

    The first version of Alkasir was launched in May 2009 as a Windows close-source application and ever since, it has grown and expanded in its new generation Alkasir 2.0 to become an open-source multi-platform solution that can work on MS Windows, MacOS, and Linux.

    项目主页:
    https://alkasir.com/

    原文:http://www.atgfw.org/2016/03/alkasir20.html

    匿名、去中心化分享文件、浏览和发布网页软件 FREENET项目介绍

     

    “我一直担心我的孩子和互联网,尽管她还年轻得没有上过网。我担心的是 10 年或 15 年之后,她会来问我:‘老爸,当年他们将新闻自由权从网络夺走的时候,你去哪了?’” ——Mike Godwin,电子前哨基金会
    Freenet 是一个免费软件,您可以通过它匿名的分享文件、浏览和发布“Freesite”(只能在 Freenet 网络中访问的网站)、在论坛中发帖,不用担心被审查。Freenet 是去中心化的,很难被攻击。如果使用它的“暗网(Darknet)”模式,用户仅会连接到他们的好友,那么他人很难侦测到这个用户。

    Freenet 节点之间的通讯是加密的,并通过其他节点路由。因此要了解谁在请求某些信息、请求的内容是什么,是极其困难的。

    用户通过贡献自己的互联网带宽和他们的一部分硬盘空间(称为“数据存储(Data Store)”)来储存文件。根据文件的流行程度,文件会自动被保留或删除。不流行的文件被删除,可以腾出更多的空间给流行的文件。文件是加密的,因此用户无法轻易得知它的“数据存储”内储存了什么内容,因此也不会因其被追究责任。聊天论坛、网站和搜索功能,都是基于该分布式“数据存储”构建。

    Freenet 自诞生起已被下载超过 200 万次,用来在全世界分发敏感受审查的信息,包括中国和中东国家。Freenet 中的先驱思想和概念也深深影响了学术界。我们在 2000 年的论文《Freenet:一个分布式匿名信息存储和接收系统》(Freenet: A Distributed Anonymous Information Storage and Retrieval System), 是 2000 年被引用次数最多的计算机科学论文(来源:Citeseer)。Freenet 也给世界法律和哲学论文带来了灵感。Ian Clarke,Freenet 的创造者和项目协调人,被 2003 年《麻省理工科技评论 》杂志(MIT’s Technology Review)评为世界百强革新者。

    在最近的开发中,我们引入了一个重要的功能(在其他类似网络中鲜见),称为“暗网(Darknet)”:用户仅与自己信任的人互相连接,这能够极大的降低他们的风险,同时仍然能够通过他们朋友的朋友的朋友来连接到整个 Freenet 网络。这能够让那些“使用 Freenet 即违法”的地方的人们使用 Freenet。政府很难封禁它,用户无需“翻墙隧道”就可以进入“自由的世界”。

    1. 免责声明
    人们参与 Freenet 项目有很多原因。有些人赞同本文的观点;有些人有着不同的观点,但是这些观点同样支持我们要完成的事业;而另一些人仅热衷于技术方面的挑战。上述想法驱动我最初实现了这个系统,但这些观点不一定是所有 Freenet 项目的参与者认同的。

    2. 建议提前阅读
    要理解本文讲述的内容,您应该事先了解什么是 Freenet。您可以先阅读《什么是 Freenet?》章节,以大致了解。

    3. 自由信息流的重要性
    言论自由,在大多数西方文化中,被普遍认为是个人最重要的权利之一。为什么自由分享想法和观点如此重要?可以从几个方面来回答这个问题。

    3.1 沟通是我们之所以成为人类的原因

    人类和其他动物王国最显著的不同是我们的复杂沟通和抽象概念的能力。虽然我们现在发现动物之间的沟通其实也十分复杂,但其他动物要达到我们的沟通水平几乎是不可能的。

    3.2 知识为善

    大多数人对于某件事,面对“懂”与“不懂”的选择时,都会去选择去弄懂,了解更多信息。战争见多识广的一方更可能赢。这是因为见多识广让我们能够做出更好的决定,让我们更有能力生存和成功。

    3.3 民主需要知情的人民

    很多人今天都生活在一个民主的政权。而其他人,可能也想。民主是“如何创造领导人、且避免权力滥用”这一问题的答案。人民通过投票权来监管他们的政府,但是拥有投票权并不意味着您生活在一个民主的国家。为了有效的监管他们的政府,人民必须知道政府正在做什么。他们必须充分知情。这是一个反馈循环,但若政府有权控制人民可以掌握的信息,该循环便可被破坏。

    4. 审查制度和自由
    每个人都珍视他们的自由,很多人为之奋斗至终。人们认为他们应该能够自由的形成和持有任何观点,特别是在西方国家。假如某人有能力控制您可以掌握的信息,他们就可以对您欺骗,并审查隐藏那些可以揭穿谎言的信息,从而操控您的思想。这并不只是集权的假象,大部分西方的政府实际上就是这样欺骗民众的,以至于人们视之为理所当然。然而事实是这暗中破坏了民主的原则,该原则决定了此政府的存在与否。

    5. 解决方案
    确保民主仍然有效的唯一方法是保证政府无法控制人民分享信息、沟通的能力。只要我们能看到和听到的每件事都被过滤,我们不会真正的自由。Freenet 的目标就是允许愿意互相分享信息的人们,能够自由的分享。

    6. 有时审查制度不是必须的吗?
    所有问题都不是非黑即白的,很多人都认为在某些情况下审查制度是个好东西。例如,在某些欧洲国家,传播种族主义信息是违法的。政府寻求阻止此思想的宣扬,以免破坏社会。但对此行为有两种争论。首先,您不能确保当权者实施“好的”审查制度,而不实施“坏的”审查制度。要实施任何形式的审查制度,政府一定拥有监视和限制沟通的权力。在很多欧洲国家已经有对种族主义审查制度的批评,它阻止了合理的对历史事件的分析(如第二次世界大战)。

    第二种争论是,即使“好的”审查制度没有渗入其他领域,它仍然会起到反作用。例如,通常来说,将争议摆在桌面,回答这些争议,更容易说服某人。不幸的是,虽然阻止了人们了解种族主义分子的争议,但当他们最终遇到这些争论时,他们会变得更加脆弱。

    当然第一种争论是最强的,即使您不接受第二种争论,它也是正确的。根本上,要么存在审查制度,要么不存在。不存在中间的情况。

    7. 但是为何需要匿名?
    如果您无法匿名,您不可能拥有言论自由。大部分的审查是可追溯的。在发表言论后再惩罚相关人员,比在言论发表第一时间处理更容易。唯一可避免惩罚的方式就是保持匿名。有一个常见的误解是,匿名信息不可信。这不一定是正确的。使用数字签名,人们可以创建一个安全的笔名,他人可以去信任这个笔名。Freenet 引入了“子空间(Subspaces)”的机制来使之成为可能。

    8. 版权又将怎样?
    Freenet 的很多媒体报道都关注它带来的版权问题,因此我在这里简单说一下。版权的核心问题在于,为了保护版权,就需要监视通讯。如果某人监视了您所说的一切,您的言论自由就无法保障。这非常重要,在人们争论保护版权的问题时,往往忽略了这一点。因此,我再次强调:

    您无法在保证言论自由的同时实施版权法
    这就是 Freenet——一个被设计为保护言论自由的系统——拒绝保护版权的原因。

    9. 但若艺术家的工作没有版权,他们如何得到回报?
    首先,即使版权是艺术家从其作品获得回报的唯一方式,我主张自由比拥有专业艺术家更重要(那些声称我们没有艺术细胞不懂得创新的人:人们总是在创新,这是种冲动,唯一的问题是他们是不是考创新生存的)。

    其次,甚至到现在,版权是否起作用也是值得怀疑的。音乐产业就是一个典型的例子。在不断提高的通讯技术下,音乐文件得到广泛自由的传播,但是应当从版权得到丰厚回报的艺术家们,并没有。版权让中间人控制了发行机制,同时损害了艺术家和公众的利益。

    10. Alternatives to Copyright
    Fortunately it won’t come to this. There are many alternative ways to reward artists. The simplest is voluntary payment. This is an extension of the patronage system which was frequently used to reward artists prior to copyright, where a wealthy person would fund an artist to allow them to create full-time. The Internet permits an interesting extension of this idea, where rather than having just one wealthy patron, you could have hundreds of thousands, contributing small amounts of money over the Internet.

    We actually practice what we preach in this regard too, on the 15th of March 2001 the Freenet Project started taking donations, and within a week we had collected over $1000.

    项目地址:
    https://freenetproject.org

    原文:http://www.atgfw.org/2016/03/freenet.html

    匿名便携操作系统tails更新至2.2版 增加对DVDs与DRM支持 更新Tor Browser to 5.5.3 修复WhisperBack可选PGP密钥功能 自动保存KeePassX数据

    Tails是一个live操作系统,你可以通过DVD,USB记忆棒或SD卡使用于几乎所有的计算机。它旨在保护您的隐私和匿名性并帮助您:
    匿名方式使用互联网和规避审查;
    访问互联网的所有连接都被通过Tor网络;
    不留痕迹,除非你要求它明确地在计算机上保留痕迹;
    利用国家的最先进的加密工具来加密文件,电子邮件和即时消息。
    Privacy for anyone anywhere
    安装及下载地址:https://tails.boum.org/install/index.en.html

    Changes

    New features

    • Add support for viewing DVDs with DRM protection. (#7674)

    Upgrades and changes

    • Replace Vidalia, which has been unmaintained for years, with:
      • a system status icon indicating whether Tails is connected to Tor or not,
      • Onion Circuits to display a list of the current Tor circuits and connections.
    • Automatically save the database of KeePassX after every change to prevent data loss when shutting down. (#11147)

    • Update Tor Browser to 5.5.3.

      • Improve Japanese-style glyph display.
    • Upgrade I2P to 0.9.24.

    • Disable the Alt + Shift and Left Shift + Right Shift keyboard shortcuts that used to switch to the next keyboard layout. You can still use Meta + Space to change keyboard layout. (#11042)

    Fixed problems

    • Fix optional PGP key feature of WhisperBack. (#11033)

    • Fix saving of WhisperBack report to a file when offline. (#11133)

    • Make Git verify the integrity of transferred objects. (#11107)

    For more details, see also our changelog.

    Known issues

    • While there is an automatic upgrade from Tails 2.2~rc1 to 2.2, it will not be detected by default since Tails 2.2~rc1 think it already is 2.2 (see the 2.2~rc1 announcement). To fix this, run the following command:

      sudo sed -i 's/^TAILS_VERSION_ID="2.2"$/TAILS_VERSION_ID="2.2~rc1"/' \
          /etc/os-release && \
      tails-upgrade-frontend-wrapper
      
    • See the current list of known issues.

    项目链接:https://tails.boum.org/

    原文:http://www.atgfw.org/2016/03/tails22-dvdsdrm-tor-browser-to-553.html

    使用Go语言多平台支持翻墙辅助工具V2Ray更新至v1.10版 修复动态端口刷新时性能问题

    V2Ray 是一个开源项目,使用 Go 语言编写,可运行于多个操作系统之上。V2Ray 是一个平台,支持多种网络代理协议。在 V2Ray 的帮助下,用户通过一些配置即可实现从一种协议到另一种协议的转换。

    V2Ray 自有的 VMess 协议,可以用于混淆网络数据,使得数据在两个 V2Ray 节点之间不可被识别。

    多用户支持

    V2Ray 提供的 VMess 协议支持多用户,只需要开启一个端口,就可以让多个用户以不同的 ID 连接进来,不需要一个用户对应一个端口。

    动态端口

    经过配置,V2Ray 服务器端可以周期性改动通信端口,以规避某些运营商的流量限制。

    灵活配置

    V2Ray 支持多种代理协议,并可按需求灵活配置。使用同一个 V2Ray 应用程序,搭配不同的配置文件,即可完成代理客户端、服务器或者中转的不同使用场景。

    内置路由

    V2Ray 内置了路由功能,可以灵活地设置哪些网站(或 IP)使用代理,哪些网站(或 IP)直连。相较于使用浏览器的 PAC 设置,V2Ray 的路由功能更为高效,在某些使用场景下配置更灵活。

    支持平台

    V2Ray 在以下平台中可用:

    • Windows Vista 及之后版本(x86 / amd64);
    • Mac OS X 10.7 及之后版本(amd64);
    • Linux 2.6.23 及之后版本(x86 / amd64 / arm / arm64);
      • 包括但不限于 Debian 7 / 8、Ubuntu 12.04 / 14.04 及后续版本、CentOS 6 / 7、Arch Linux;

    下载地址:https://github.com/v2ray/v2ray-core/releases

    项目主页:https://www.v2ray.com

    原文:http://www.atgfw.org/2016/03/gov2rayv110.html

    在WIFI环境下不能登陆VPN 的解决办法

    有了vpn就是那么任性

    微博上@节俭用餐 同学私信番否小编:我用手机装了几个vpn软件 然后免费的都连不上,有一个用4g可以上,vpn软件用Wi-Fi都连不上是为什么?番否小编也没遇到这种情况,百思不得其解,最后还是问了万能的度娘才得到了解决方案如下。

    1:问题:在不能在WIFI环境下登陆VPN,但是关闭WIFI用GPRS网络则可以登录。

    2:实验环境:iphone 3G港版 固件3.13 未越狱未破解   路由器是D-LINK DI-624+A.。

    3:解决办法一

    已经解决了,

    1.用手机连接电脑猎豹免费wifi或者是360免费wifi之类的软件,然后手机再登陆VPN是不行的。

    必须手机直接用4G或者是直接连接无线路由器才可以!

    相关阅读:免费vpn推荐

    如果上面的办法不行,可以用下面的解决办法二

    第一步:在IE浏览器地址栏登陆http://192.168.0.1/,输入用户名和密码,默认是用户是admin  密码可能是admin,也可能没有密码;

    第二步:在路由器设置页面的 工具-》其它项目里面 激活路由器端的VPN穿透端口:如下

    VPN Pass-Through

    允许 VPN 通过 DI-624+A。

    PPTP   –激活

    IPSec    –激活

    更改后点执行;

    第三步:在路由器设置页面的进阶设定-》DMZ 里面 把IP地址改为你的iphone的IP地址(在IPHONE的设置/Wi-Fi/选取网络 下面的你的WIFI网名称项的右边有个小箭头号,点开即可看到你的IPHONE地址)只需填写最后3位即可,更改后点执行。

    设置结束后,就可以用iphone在wifi环境下连接VPN了

    另外如你的路由是TP-LINK 的,可以尝试按以下办法设置(一下内容来源于 liuyuevvv发的帖子,再次感谢他):

    进入路由器设置页面

    1: 安全功能—-安全设置—-将虚拟专用网络 VPN 下的PPTP穿透,选择开启

    2:转发规则—-特殊应用程序—-添加1701和1723端口

    3:转发规则—-DMZ主机—-选择开启,并添加iphone目前分配到的IP地址(如果路由选择DHCP的话,很有可能这个IP地址会变化)

    原文:http://www.jianshu.com/p/de0562cb7b50

    设置结束后,应该就可以用iphone在wifi环境下连接VPN了

    如果笔记本wifi也无法VPN的话, 也可以这样设置

    Tor Browser 6.0a3 发布 更新至Firefox 38.7.0 允许用户更方便设置非SSH代理

    A new alpha Tor Browser release is available for download in the 6.0a3 distribution directory and on the alpha download page.

    This release features important security updates to Firefox.

    This release bumps the versions of several of our components, e.g.: Firefox to 38.7.0esr, Tor to 0.2.8.1-alpha, OpenSSL to 1.0.1s, NoScript to 2.9.0.4 and HTTPS-Everywhere to 5.1.4.

    Additionally, we fixed long-standing bugs in our Tor circuit display and window resizing code, and improved the usability of our font fingerprinting defense further.

    Here is the full changelog since 6.0a2:

    Tor Browser 6.0a3 — March 8

    • All Platforms
      • Update Firefox to 38.7.0esr
      • Update Tor to 0.2.8.1-alpha
      • Update OpenSSL to 1.0.1s
      • Update NoScript to 2.9.0.4
      • Update HTTPS Everywhere to 5.1.4
      • Update Torbutton to 1.9.5.1
        • Bug 16990: Don’t mishandle multiline commands
        • Bug 18144: about:tor update arrow position is wrong
        • Bug 16725: Allow resizing with non-default homepage
        • Bug 16917: Allow users to more easily set a non-tor SSH proxy
        • Translation updates
      • Bug 18030: Isolate favicon requests on Page Info dialog
      • Bug 18297: Use separate Noto JP,KR,SC,TC fonts
      • Bug 18170: Make sure the homepage is shown after an update as well
      • Bug 16728: Add test cases for favicon isolation
    • Windows
      • Bug 18292: Disable staged updates on Windows

    原文:http://www.atgfw.org/2016/03/tor-browser-60a3-firefox-3870-ssh.html

    盒子整理发布 google hosts 2016 03.10更新

    #google hosts 2016.03.10
    64.233.162.86   google.com
    64.233.162.86   http://www.google.com
    64.233.162.86   m.google.com
    64.233.162.86   scholar.google.com
    64.233.162.86   translate.google.com
    64.233.162.86   books.google.com
    64.233.162.86   appengine.google.com
    64.233.162.86   maps.google.com
    64.233.162.86   news.google.com
    64.233.162.86   images.google.com
    64.233.162.86   finance.google.com
    64.233.162.86   history.google.com
    64.233.162.86   drive.google.com
    64.233.162.86   docs.google.com
    64.233.162.86   plus.google.com
    64.233.162.86   play.google.com
    64.233.162.86   calendar.google.com
    64.233.162.86   domains.google.com
    64.233.162.86   code.google.com
    64.233.162.86   cloud.google.com
    64.233.162.86   earth.google.com
    64.233.162.86   places.google.com
    64.233.162.86   adwords.google.com
    64.233.162.86   sites.google.com
    64.233.162.86   keep.google.com
    64.233.162.86   support.google.com
    64.233.162.86   developers.google.com
    64.233.162.86   spreadsheets.google.com
    64.233.162.86   video.google.com
    64.233.162.86   photos.google.com
    64.233.162.86   wallet.google.com
    64.233.162.86   groups.google.com
    64.233.162.86   myaccount.google.com
    64.233.162.86   trends.google.com
    64.233.162.86   accounts.google.com
    64.233.162.86   ipv4.google.com
    #base services
    #google mail begin
    64.233.162.86   mail.google.com
    64.233.162.86   gmail.com
    64.233.162.86   http://www.gmail.com
    64.233.162.86   m.gmail.com
    64.233.162.86   m.googlemail.com
    64.233.162.86   chatenabled.mail.google.com
    64.233.162.86   mail-attachment.googleusercontent.com
    173.194.65.211   imap.gmail.com
    173.194.65.211   pop.gmail.com
    173.194.65.211   smtp.gmail.com
    #google mail end
    #google software begin
    64.233.162.86   http://www.chrome.com
    64.233.162.86   developer.chrome.com
    64.233.162.86   chrome.google.com
    64.233.162.86   picasa.google.com
    64.233.162.86   talkgadget.google.com
    64.233.162.86   toolbar.google.com
    64.233.162.86   tools.google.com
    64.233.162.86   inbox.google.com
    #google software end
    #apis begin
    64.233.162.86   apis.google.com
    64.233.162.86   http://www.googleapis.com
    64.233.162.86   android.googleapis.com
    64.233.162.86   play.googleapis.com
    64.233.162.86   plus.googleapis.com
    64.233.162.86   ajax.googleapis.com
    64.233.162.86   chart.googleapis.com
    64.233.162.86   fonts.googleapis.com
    64.233.162.86   redirector-bigcache.googleapis.com
    64.233.162.86   translate.googleapis.com
    64.233.162.86   maps.googleapis.com
    64.233.162.86   content.googleapis.com
    64.233.162.86   storage.googleapis.com
    64.233.162.86   commondatastorage.googleapis.com
    64.233.162.86   static.panoramio.com.storage.googleapis.com
    #apis end
    #static begin
    64.233.162.86   http://www.gstatic.com
    64.233.162.86   ssl.gstatic.com
    64.233.162.86   csi.gstatic.com
    64.233.162.86   maps.gstatic.com
    64.233.162.86   fonts.gstatic.com
    64.233.162.86   encrypted-tbn0.gstatic.com
    64.233.162.86   encrypted-tbn1.gstatic.com
    64.233.162.86   encrypted-tbn2.gstatic.com
    64.233.162.86   encrypted-tbn3.gstatic.com
    64.233.162.86   encrypted-tbn4.gstatic.com
    64.233.162.86   encrypted-tbn5.gstatic.com
    64.233.162.86   encrypted-tbn6.gstatic.com
    64.233.162.86   g0.gstatic.com
    64.233.162.86   g1.gstatic.com
    64.233.162.86   g2.gstatic.com
    64.233.162.86   g3.gstatic.com
    64.233.162.86   g4.gstatic.com
    64.233.162.86   g5.gstatic.com
    64.233.162.86   g6.gstatic.com
    64.233.162.86   g7.gstatic.com
    64.233.162.86   mt0.gstatic.com
    64.233.162.86   mt1.gstatic.com
    64.233.162.86   mt2.gstatic.com
    64.233.162.86   mt3.gstatic.com
    64.233.162.86   mt4.gstatic.com
    64.233.162.86   mt5.gstatic.com
    64.233.162.86   mt6.gstatic.com
    64.233.162.86   mt7.gstatic.com
    64.233.162.86   t0.gstatic.com
    64.233.162.86   t1.gstatic.com
    64.233.162.86   t2.gstatic.com
    64.233.162.86   t3.gstatic.com
    64.233.162.86   t4.gstatic.com
    64.233.162.86   t5.gstatic.com
    64.233.162.86   t6.gstatic.com
    64.233.162.86   t7.gstatic.com
    #static end
    #usercontent begin
    64.233.162.86   1-ps.googleusercontent.com
    64.233.162.86   2-ps.googleusercontent.com
    64.233.162.86   3-ps.googleusercontent.com
    64.233.162.86   4-ps.googleusercontent.com
    64.233.162.86   http://www.googleusercontent.com
    64.233.162.86   oauth.googleusercontent.com
    64.233.162.86   feedback.googleusercontent.com
    64.233.162.86   translate.googleusercontent.com
    64.233.162.86   themes.googleusercontent.com
    64.233.162.86   webcache.googleusercontent.com
    64.233.162.86   books.googleusercontent.com
    64.233.162.86   video.googleusercontent.com
    64.233.162.86   music-onebox.googleusercontent.com
    64.233.162.86   music.googleusercontent.com
    64.233.162.86   blogger.googleusercontent.com
    64.233.162.86   newsstand.googleusercontent.com
    64.233.162.86   producer.googleusercontent.com
    64.233.162.86   code-opensocial.googleusercontent.com
    64.233.162.86   spreadsheets-opensocial.googleusercontent.com
    64.233.162.86   www-calENDar-opensocial.googleusercontent.com
    64.233.162.86   www-fc-opensocial.googleusercontent.com
    64.233.162.86   www-focus-opensocial.googleusercontent.com
    64.233.162.86   www-gm-opensocial.googleusercontent.com
    64.233.162.86   www-kix-opensocial.googleusercontent.com
    64.233.162.86   www-open-opensocial.googleusercontent.com
    64.233.162.86   www-opensocial.googleusercontent.com
    64.233.162.86   www-opensocial-sandbox.googleusercontent.com
    64.233.162.86   www-oz-opensocial.googleusercontent.com
    64.233.162.86   a-oz-opensocial.googleusercontent.com
    64.233.162.86   0-open-opensocial.googleusercontent.com
    64.233.162.86   1-open-opensocial.googleusercontent.com
    64.233.162.86   2-open-opensocial.googleusercontent.com
    64.233.162.86   3-open-opensocial.googleusercontent.com
    64.233.162.86   0-focus-opensocial.googleusercontent.com
    64.233.162.86   1-focus-opensocial.googleusercontent.com
    64.233.162.86   2-focus-opensocial.googleusercontent.com
    64.233.162.86   3-focus-opensocial.googleusercontent.com
    64.233.162.86   doc-00-7o-docs.googleusercontent.com
    64.233.162.86   doc-01-7o-docs.googleusercontent.com
    64.233.162.86   doc-02-7o-docs.googleusercontent.com
    64.233.162.86   doc-03-7o-docs.googleusercontent.com
    64.233.162.86   doc-04-7o-docs.googleusercontent.com
    64.233.162.86   doc-05-7o-docs.googleusercontent.com
    64.233.162.86   doc-06-7o-docs.googleusercontent.com
    64.233.162.86   doc-07-7o-docs.googleusercontent.com
    64.233.162.86   doc-08-7o-docs.googleusercontent.com
    64.233.162.86   doc-09-7o-docs.googleusercontent.com
    64.233.162.86   doc-10-7o-docs.googleusercontent.com
    64.233.162.86   doc-0a-7o-docs.googleusercontent.com
    64.233.162.86   doc-0b-7o-docs.googleusercontent.com
    64.233.162.86   doc-0c-7o-docs.googleusercontent.com
    64.233.162.86   doc-0d-7o-docs.googleusercontent.com
    64.233.162.86   doc-0e-7o-docs.googleusercontent.com
    64.233.162.86   doc-0f-7o-docs.googleusercontent.com
    64.233.162.86   doc-0g-7o-docs.googleusercontent.com
    64.233.162.86   doc-0h-7o-docs.googleusercontent.com
    64.233.162.86   doc-0i-7o-docs.googleusercontent.com
    64.233.162.86   doc-0j-7o-docs.googleusercontent.com
    64.233.162.86   doc-0k-7o-docs.googleusercontent.com
    64.233.162.86   doc-0l-7o-docs.googleusercontent.com
    64.233.162.86   doc-0m-7o-docs.googleusercontent.com
    64.233.162.86   doc-0n-7o-docs.googleusercontent.com
    64.233.162.86   doc-0o-7o-docs.googleusercontent.com
    64.233.162.86   doc-0p-7o-docs.googleusercontent.com
    64.233.162.86   doc-0q-7o-docs.googleusercontent.com
    64.233.162.86   doc-0r-7o-docs.googleusercontent.com
    64.233.162.86   doc-0s-7o-docs.googleusercontent.com
    64.233.162.86   doc-0t-7o-docs.googleusercontent.com
    64.233.162.86   doc-00-bc-docs.googleusercontent.com
    64.233.162.86   doc-01-bc-docs.googleusercontent.com
    64.233.162.86   doc-02-bc-docs.googleusercontent.com
    64.233.162.86   doc-03-bc-docs.googleusercontent.com
    64.233.162.86   doc-04-bc-docs.googleusercontent.com
    64.233.162.86   doc-05-bc-docs.googleusercontent.com
    64.233.162.86   doc-06-bc-docs.googleusercontent.com
    64.233.162.86   doc-07-bc-docs.googleusercontent.com
    64.233.162.86   doc-08-bc-docs.googleusercontent.com
    64.233.162.86   doc-09-bc-docs.googleusercontent.com
    64.233.162.86   doc-10-bc-docs.googleusercontent.com
    64.233.162.86   doc-0a-bc-docs.googleusercontent.com
    64.233.162.86   doc-0b-bc-docs.googleusercontent.com
    64.233.162.86   doc-0c-bc-docs.googleusercontent.com
    64.233.162.86   doc-0d-bc-docs.googleusercontent.com
    64.233.162.86   doc-0e-bc-docs.googleusercontent.com
    64.233.162.86   doc-0f-bc-docs.googleusercontent.com
    64.233.162.86   doc-0g-bc-docs.googleusercontent.com
    64.233.162.86   doc-0h-bc-docs.googleusercontent.com
    64.233.162.86   doc-0i-bc-docs.googleusercontent.com
    64.233.162.86   doc-0j-bc-docs.googleusercontent.com
    64.233.162.86   doc-0k-bc-docs.googleusercontent.com
    64.233.162.86   doc-0l-bc-docs.googleusercontent.com
    64.233.162.86   doc-0m-bc-docs.googleusercontent.com
    64.233.162.86   doc-0n-bc-docs.googleusercontent.com
    64.233.162.86   doc-0o-bc-docs.googleusercontent.com
    64.233.162.86   doc-0p-bc-docs.googleusercontent.com
    64.233.162.86   doc-0q-bc-docs.googleusercontent.com
    64.233.162.86   doc-0r-bc-docs.googleusercontent.com
    64.233.162.86   doc-0s-bc-docs.googleusercontent.com
    64.233.162.86   doc-0t-bc-docs.googleusercontent.com
    64.233.162.86   doc-00-1s-docs.googleusercontent.com
    64.233.162.86   doc-01-1s-docs.googleusercontent.com
    64.233.162.86   doc-02-1s-docs.googleusercontent.com
    64.233.162.86   doc-03-1s-docs.googleusercontent.com
    64.233.162.86   doc-04-1s-docs.googleusercontent.com
    64.233.162.86   doc-05-1s-docs.googleusercontent.com
    64.233.162.86   doc-06-1s-docs.googleusercontent.com
    64.233.162.86   doc-07-1s-docs.googleusercontent.com
    64.233.162.86   doc-08-1s-docs.googleusercontent.com
    64.233.162.86   doc-09-1s-docs.googleusercontent.com
    64.233.162.86   doc-10-1s-docs.googleusercontent.com
    64.233.162.86   doc-0a-1s-docs.googleusercontent.com
    64.233.162.86   doc-0b-1s-docs.googleusercontent.com
    64.233.162.86   doc-0c-1s-docs.googleusercontent.com
    64.233.162.86   doc-0d-1s-docs.googleusercontent.com
    64.233.162.86   doc-0e-1s-docs.googleusercontent.com
    64.233.162.86   doc-0f-1s-docs.googleusercontent.com
    64.233.162.86   doc-0g-1s-docs.googleusercontent.com
    64.233.162.86   doc-0h-1s-docs.googleusercontent.com
    64.233.162.86   doc-0i-1s-docs.googleusercontent.com
    64.233.162.86   doc-0j-1s-docs.googleusercontent.com
    64.233.162.86   doc-0k-1s-docs.googleusercontent.com
    64.233.162.86   doc-0l-1s-docs.googleusercontent.com
    64.233.162.86   doc-0m-1s-docs.googleusercontent.com
    64.233.162.86   doc-0n-1s-docs.googleusercontent.com
    64.233.162.86   doc-0o-1s-docs.googleusercontent.com
    64.233.162.86   doc-0p-1s-docs.googleusercontent.com
    64.233.162.86   doc-0q-1s-docs.googleusercontent.com
    64.233.162.86   doc-0r-1s-docs.googleusercontent.com
    64.233.162.86   doc-0s-1s-docs.googleusercontent.com
    64.233.162.86   doc-0t-1s-docs.googleusercontent.com
    64.233.162.86   doc-04-80-docs.googleusercontent.com
    64.233.162.86   doc-08-6g-docs.googleusercontent.com
    64.233.162.86   doc-0k-bk-docs.googleusercontent.com
    64.233.162.86   doc-10-6g-docs.googleusercontent.com
    64.233.162.86   doc-10-00-docs.googleusercontent.com
    64.233.162.86   images1-focus-opensocial.googleusercontent.com
    64.233.162.86   images2-focus-opensocial.googleusercontent.com
    64.233.162.86   images3-focus-opensocial.googleusercontent.com
    64.233.162.86   images4-focus-opensocial.googleusercontent.com
    64.233.162.86   images5-focus-opensocial.googleusercontent.com
    64.233.162.86   images6-focus-opensocial.googleusercontent.com
    64.233.162.86   images7-focus-opensocial.googleusercontent.com
    64.233.162.86   images8-focus-opensocial.googleusercontent.com
    64.233.162.86   images9-focus-opensocial.googleusercontent.com
    64.233.162.86   images1-esmobile-opensocial.googleusercontent.com