iGFW » DNS

2011-01-16——SSH代理翻墙教程

iGFW — Thu, 19 Jan 2012 06:11:47 +0000

SSH代理翻墙教程（针对WINDOWS NT5 NT6)

——大牛程序猿无视以下内容，不是为你们准备的。具体过程在下下下下方

前言：众所周知，我们伟大的GCD封锁了绝大多数外国网站，联合中国电信等坑爹电信商修改DNS记录等等。我们无奈但我们不妥协，PROXY（代理）出现了，VPN出现了。翻墙作为一种全新的趋势出现了。今天我为大家详解SSH代理翻墙。

术语定义:

SSH:Secure Shell
Proxy（代理）:是一种特殊的网络服务，允许一个网络终端（一般为客户端）通过这个服务与另一个网络终端（一般为服务器）进行非直接的连接。也称网络代理。
Proxy Server（代理服务器）:一种重要的安全功能，它的工作主要在开放系统互联(OSI)模型的对话层，从而起到防火墙的作用。代理服务器大多被用来连接INTERNET（国际互联网）和INTRANET（局域网）。
端口:信号能由此进网和或出网的终接点。

代理服务器的功能

提高访问速度：通常代理服务器都设置一个较大的缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。
控制对内部资源的访问，如某大学FTP（前提是该代理地址在该资源的允许访问范围之内），使用教育网内地址段免费代理服务器，就可以用于对教育网开放的各类FTP下载上传，以及各类资料查询共享等服务。
过滤内容，例如限制对特定计算机的访问，将一种语言的数据翻译成另一种语言，或是防御代理服务器两边的攻击性访问。
突破自身IP访问限制，访问国外站点。中国教育网和169网等网络用户可以通过代理访问国外网站。
隐藏真实IP：上网者也可以通过代理服务器隐藏自己的IP，免受攻击。
突破内容过滤机制限制，访问被过滤网站。如防火长城对中国境内互联网访问的限制可通过使用代理服务器浏览而突破。

需要软件：

Firefox 9.0.1:The best browser //最好的浏览器
tunnelier:SSH soft

操作过程

下载安装所有软件
打开firefox进入插件安装地址安装AutoProxy
进入附加组件——AutoProxy——选项——代理服务器，准备好
打开Tuunelier设置如下图:
liyanbowen.com/photos/ssh_1.jpg
liyanbowen.com/photos/ssh_2.jpg
liyanbowen.com/photos/ssh_3.jpg
liyanbowen.com/photos/ssh_4.jpg
完成这些后跳回刚才配置的那个组件，新建一个代理服务器——IP:127.0.01 端口1080 类型Socket5
保存后新建规则分组，在里面填上你要翻墙访问的地址，推特和Youtube神马的早就有自动规则了
保存，重启浏览器，好了去www.youtube.com看看吧

提示：更改DNS效果更佳（网络连接——状态——属性——ipv4——属性——首选DNS地址），这里提供一个GOOGLE的DNS：8.8.8.8和根服务器A的198.41.0.4

来源：http://liyanbowen.com/?p=60

怎么对付那些使用OpenDNS的VPN服务商们

iGFW — Wed, 07 Dec 2011 07:45:14 +0000

我发现很多使用OpenDNS的VPN，很多网站不能访问，很多网页不能正常显示。由于OpenDNS允许管理员自行屏蔽网站，所以可能是VPN管理员设置的，也可能是OpenDNS出于它所谓的安全原因让不少网页显示不正常，更烦人的是OpenDNS解析不到域名时就是显示其搜索广告页面，强烈建议不要使用OpenDNS。

对付那些使用OpenDNS的VPN服务商们，最彻底的方法是不使用这些VPN。不过如果你正在使用的VPN服务商使用了OpenDNS，而且VPN管理员设置了相关DNS域名过滤，把你当一个小孩子“保护”起来，该怎么办呢。刚从一个墙里跳出来又进入了另一个墙里，感觉着实不爽吧。

应对方法一、自设DNS服务器。在Windows 7系统上，设置好VPN连接后在，连接处查看“属性”然后点击“网络”页面，双击“Internet 协议版本 4”，选中“使用下面的DNS服务器地址”，DNS服务器处填写4.2.2.4和8.8.4.4，两次确定完成设置。

应对方法二、防火墙禁用opendns 53端口。有时候按照上面设置后，OpenDNS的DNS依然加载而且处于首选位置，默认依然会首选OpenDNS解析，一些网站你依然打不开。需要进行如下步骤在防火墙禁用opendns 53端口，使其不能解析，自然就会调用你备选DNS服务器也就是你设置的DNS服务器解析域名，这样就可以突破封锁了。

（防火墙禁用opendns 53端口我就不详述了，需要的可以搜索一下。以Windows 7自带防火墙为例，就是防火墙高级设置里新建一条规则，阻止UDP协议远程端口53，作用域远程IP为208.67.222.222和208.67.220.220的所有连接）
应对方法三、修改hosts文件。有些VPN服务商做了限制，如果自设DNS服务器就会提示错误无法连接，这时上面的方法就没有用了，只有修改hosts文件把被封域名指向相应IP了。

当然这个问题不完全是OpenDNS的错，它只是提供了一种手段，不过有封锁就一定会有误伤，虽然OpenDNS推出了IPv6 DNS地址2620:0:ccc::2和2620:0:ccd::2不过还是不要用的好。即使你是孩子他爸不想孩子误入XXX网站使用OpenDNS进行审查过滤，可你也不能低估了孩子的智商，呵呵。

本文原始地址：http://igfw.net/archives/6610

原来 Unbound 也可以强制使用 TCP 查询 DNS

iGFW — Tue, 22 Nov 2011 02:35:19 +0000

Unbound 是一款免费的相当轻量的 DNS 本地服务器软件，以前曾经做过介绍 Config Unbound On Windows。

经过测试，原来只要改一下 Unbound 的配置文件，也可以把它当 PWX-DNS-Proxy 用！

方法很简单，安装完 Unbound 后，打开安装目录下的 service.conf 文件，修改（添加）以下两行内容：（注意，此方法只适用于 Unbound 1.4.12 及其以下版本，新版的官方给出了直接参数支持的方法，详见文末）

# Enable UDP, “yes” or “no”.
do-udp: no

# Enable TCP, “yes” or “no”.
do-tcp: yes

这样就强制 Unbound 只监听 TCP 的 53 端口了。

优点： Unbound 是一款专业的 DNS 服务器软件，标准功能和稳定性比 PWX-DNS-Proxy 强，查询速度较快，内存占用也比 PWX-DNS-Proxy 少；

缺点： ~~没有 PWX-DNS-Proxy 那样可以自定义某些网站使用特定的 DNS 服务器功能~~，而且由于关闭了 UDP 端口监听，nslookup 命令使用默认格式不能查询域名了，必须加 -vc 参数。

更新：在 forward-zone 中可以设置怎样的域名用哪个服务器查询，类似：

# forward-zone:
# name: “.”
# forward-addr: 8.8.4.4
# forward-addr: 192.168.2.1@5355 # forward to port 5355.
# forward-zone:
# name: “cn”
# forward-host: 202.96.134.133

顺便说下，路由器是 Tomato，DD-WRT 那样使用 DNSMasq 的，可以把 Unbound 或者 PWX-DNS-Proxy 的查询服务器设置为路由器 IP，利用 DNSMasq 来进行更加灵活的配置。

2011-09-19 更新，新版的 Unbound 1.4.13 应该如此配置 DNS-Over-TCP：

# if yes, perform prefetching of almost expired message cache entries.
prefetch: yes

# Enable IPv4, “yes” or “no”.
do-ip4: yes

# Enable IPv6, “yes” or “no”.
do-ip6: no

# Enable UDP, “yes” or “no”.
do-udp: yes

# Enable TCP, “yes” or “no”.
do-tcp: yes

# upstream connections use TCP only (and no UDP), “yes” or “no”
# useful for tunneling scenarios, default no.
tcp-upstream: yes

注意 do-udp 一定要是 yes，但是实际上游查询会使用 tcp；还有一个切记先用 -vc 的 nslookup 确定你的上游 DNS 服务器支持 TCP 查询，国内的貌似全关了

Unbound 1.4.13 下载

原文：http://www.quakemachinex.com/blog/?p=186

设置Godaddy DNS服务器，冲破封锁就那么几招 & Godaddy域名和主机无法访问 & godaddy已被屏蔽的dns组列表

iGFW — Thu, 01 Sep 2011 01:04:13 +0000

GODADDY是美国的一家域名服务商,并且有优惠活动。偶经常在这里购买域名，因为其价格便宜、解析神速。故国内也有很多人在这里选购域名，不过很不幸，Godaddy的DNS在国内经常被屏蔽。现在鄙人给出一些办法来绕过国内电信服务商的解析，一般就是修改DNS啦~~

方法如下

Step 1：登录GD，进入域名管理，找到自己的域名选择。

Step 2：修改其NS解析，换上自己的，下面有一系列的godaddy dns服务器提供参考。（默认有两个DNS解析）

这些中有可能打不开，但是总有漏网之鱼,好好挨个ping 找到合适的服务器地址去吧~~

而或，可以考虑选择国内免费DNS解析：

www.dnspod.com 这家很不错，我2年前设置过一个域名，现在都还在，并且解析速度很快，现在需要手机认证，同时免费用户的ns只能有两个。

www.dns.la 没有试过这个，不过网友使用后反馈效果也可以的。

来源：http://www.thunje.com/?p=82

===========================================================================

Godaddy域名和主机无法访问

长达一个月的高三假期补课才结束，高三的生活真是充实啊！回到家，访问我博客就一直访问不了。Chrome一直显示错误 324 (net::ERR_EMPTY_RESPONSE)：服务器已断开连接，且未发送任何数据。因为博客主机是Godaddy的，这个错误以前也经常出现，我也没有去留意他，就等……等了一天没有任何反应，于是去了外国主机探针idcspy.com。一看帖子才明白，景德镇又有新动向。帖子中大多数是说 Godaddy的域名无法解析，虚拟主机无法访问，尤其是IP段在97.74.X.X。这个IP段基本处于瘫痪状态，本博客正好处于这个IP段，十分悲催！

于是等了将近3天终于可以访问了。在此期间，我ping IP丢包很严重。一般ping 都75%～100%丢包。但是连下VPN呢，就可以正常访问了。而且速度还可以。现在呢，基本恢复正常。

由于中国恶劣的ISP（尤其是中国电信）的恶劣行径，受此影响，许多网站无法访问。或是因为域名DNS无法解析，或是因为主机无法访问。遨游浏览器的部分域名也是Godaddy的，因受到影响，许多用户无法使用同步功能。遨游浏览器的域名已经转移到国内……这个势头看来很不妙。

我国特殊的国情可以预见，国外的域名和主机将很难用于国内的使用。

一是主机速度得不到保证，和国内的速度没办法比。

二是国外注册的域名在国内备案有困难，现在个人备案是不可能了，只能通过一些IDC的备案系统报备。如果选择某些代理备案，有时候他让你提供域名证书这个莫名其妙的东西。如果域名在国内注册比如万网等，他会自动给你个所谓的域名证书。而Godaddy的并不能自动给你这个证书，而是需要购买，大概十几到二十几美元吧。Godaddy颁发的证书是一个网页。

三是如果网站有“非法信息”，直接封网站IP，用户访问网站会出现reset字样。如果网站使用CDN没有对外显示IP。GFW会屏蔽NS，这个是相当可怕了。本博客就死过一次，把整个CDN的NS给封了。至今感到惭愧！

四是我们国家据说要使用白名单策略。不是白名单里的域名将和中国永别！

至于域名DNS无法解析，我们可以需要用其他的NS。这里推荐几个靠谱的NS。

有DNSPOD（国内的，曾经暴风影音被攻击的受害者），cloud0flare.com（国外的，提供美国和英国的CDN镜像），Google网页加速服务（至今没有收到邀请，据36kr说非常快，由Google提供镜像，并且优化网页代码）

在中国搞网站的简直是个神奇！以上所述信不信由你，我反正信了。

来源：http://jophy.me/2011/08/cannot-access-godaddy-domain-and-hostin.html

===========================================================================

godaddy已被屏蔽的dns组列表

天朝越来越V5了。

he.net的dns不给力。godaddy的dns慢慢的被屏蔽了不少

下面是godaddy屏蔽的dns列表

NS27.DOMAINCONTROL.COM

NS28.DOMAINCONTROL.COM

NS34.DOMAINCONTROL.COM

NS35.DOMAINCONTROL.COM

NS57.DOMAINCONTROL.COM

NS58.DOMAINCONTROL.COM

NS65.DOMAINCONTROL.COM

NS66.DOMAINCONTROL.COM

NS67.DOMAINCONTROL.COM

NS68.DOMAINCONTROL.COM

NS69.DOMAINCONTROL.COM

NS70.DOMAINCONTROL.COM

NS75.DOMAINCONTROL.COM

NS76.DOMAINCONTROL.COM

NS77.DOMAINCONTROL.COM

NS78.DOMAINCONTROL.COM

大概现在就dnspod稍微好一点了。

来源：http://www.houtui.net/?p=20

SSH与VPN客户端配置完全手册&给VPN添加路由表+自动替换DNS服务器

iGFW — Sat, 13 Aug 2011 12:28:36 +0000

SSH与VPN客户端配置完全手册

一、导言

很多时候在公用网络（如公共场所开放式的Wifi）或者传输关键数据时，我们需要加密的信道来保证数据的安全，SSH和VPN是现在很常用的两套传输方式，现在以Windows和Linux系统为例给出SSH和VPN的客户端配置。

二、SSH配置

SSH是什么？SSH（Secure Shell）是一种建立在应用层和传输层基础上、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。透过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。 SSH之另一项优点为其传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、POP、甚至为PPP提供一个安全的“通道”。如果你有一个国外的ssh账号的话，则可以使用SSH隧道作为一个安全上网代理。

1.SSH在Windows 客户端配置

Windows下常用的SSH客户端有开源的Putty以及在其基础上的加上GUI外壳的MyEntunnel。使用MyEntunnel可以避免记忆复杂的命令行，还可以安全的保存密码。但是有个问题，通过MyEnTunnel或者plink下载或者看视频速度很慢，最高不超过35KB/s。（由于Release版的Putty限速于40KB/s，Dev版的Putty无此问题，详情参考此文。）

推荐另一款SSH客户端Tunnelier，相比MyEntunnel有两点优势：1.不限速2.更方便的使用公钥/私钥系统做SSH认证。

前者的重要性毋庸置疑，而后者使用生成的公钥而非密码认证在安全上有更多的优势，详情在此文有更多的探讨。软件设置比较简单： Login选项卡，输入ssh服务器的登录信息。 Options选项卡，On Login部分把几个勾都去掉，很多时候你的SSH提供商并没有给你Shell Access权限。 Services选项卡，SOCKS/HTTP Proxy Forwarding部分 Enabled，修改本地监听端口，形成Socket v5 代理。公钥配置使用Keypair Manager，如下图，Generate一对密钥，Export出公钥Public Key, Import进服务器。登陆时用自己的私钥，每次输入口令Passphrase，即可。

然后Save Profile As另存配置。

Tips:
可以从命令行运行
`Tunnelier：tunnelier -profile=profilename.tlp -loginOnStartup`

2.SSH在Linux客户端配置

Linuxer不用GUI，因而这里以Ubuntu 10.04 Lucid为例。

1	`ssh` `-fnN -D localport -p hostport` `'username@hostname'`

其中 hostname是SSH主机名或者IP地址 hostport是远程主机的SSH服务端口，当其非默认端口22时需要在这里设置。 localport即Socket v5 Proxy监听端口，一般SSH设定为7070. 剩下参数意义如下

`-q :- be very quite, we are acting only as a tunnel. -f :- move the ssh process to background, as we don’t want to interact with this ssh session directly. -N :- Do not execute remote command. -n :- redirect standard input to /dev/null.`

其中-N很重要，有的时候，主机商没有给你SSH Shell Access权限时，必须要开启，否则有可能自动关闭这个SSH连接。

自动重连

Linux系统中不像Windows有非常好用的GUI，但是却又异常强大的bash，利用它，我们可以完成SSH自动重连。要使用重连的机制，需要先建立远程服务器公钥对本机的私钥配对形成信任关系，使用ssh-copy-id这个小工具，这样才可以免输密码。

(1)先生成一对密钥。

1	`ssh-keygen -t rsa`

这个命令生成一个密钥对：id_rsa（私钥文件）和id_rsa.pub（公钥文件）。默认被保存在~/.ssh/目录下。

(2)建立信任关系

通过CPanel将公钥import进SSH服务器或者scp到服务器，或者最最简单方便的ssh-copy-id这个脚本。

$ ssh-copy-id -i ~/.ssh/id_rsa.pub username@hostname

If you need shell access please contact support.

Now try logging into the machine, with "ssh -p XXXX 'user@host'", and check in:

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

如果你和我一样，使用的SSH服务非默认的22端口，你需要使用这个修改版的ssh-copy-id（引自此文）。

expand source

如此调用即可~

1	`ssh-copy-id` `-p` `local` `-i ~/.ssh/id_rsa.pub username@hostname`

3.自动重连脚本(来自Blogkid大大)

1 2	`curl -s -I http://www.google.com/ –socks5 localhost:7070 >` `/dev/null` `[ $? -gt 0 ] &&` `ssh` `-fN username@hostname` `-D 7070`

脚本很简单，就是使用curl通代理访问一下google（这里也可以是任意别的网站）。如果访问失败了，就重开一个ssh进程监听7070端口。

3.浏览器配置

众所周知由于IE对SOCKET5代理不好，大家一般都是用 FireFox/Chrome。直接将FireFox/Chrome设置Socket5代理就是可以正常使用的。但是这样，上国内网站也会绕道国外，影响速度。好在FireFox/Chrome有大量优秀的插件，FoxyProxy和Switchy!是很常用的通过URL筛选决定是否通过代理访问网站的插件，配合对应的pac脚本，非常好用。

三、VPN配置

目前被广泛应用的VPN实现中有三个主流：SSL、IPSec及PPTP。PPTP协议最早由MS推出，优点在于其在Windows平台预装了客户端，在新版的Linux中（如9.04版以后的Ubuntu）也给与了客户端和GUI的支持，密码分析专家已经透露了其安全弱点。
OpenVPN是一免费开源软件，属于SSL VPN，比PPTP更加安全。OpenVPN的安装比PPTP要复杂一点，但是其开源的特性给了其广泛的移植性，对Linux服务器也更加友好，在运营商ISP阻止PPTP连接时，OpenVPN也能够保持不受影响。

1.OpenVPN在Windows下配置

将*.ovpn *.ca 拷贝到X:/Programme Files/OpenVPN/config即可。

OpenVPN此番在Windows下配置颇具一番周折。开始使用了VPN提供商给的OpenVPN 2.0.9版，但是在使用中，频频报错，首先是 TAP-WIN32 开启中出现Permission Denied/权限不够，给了X:/Programme Files/OpenVPN/bin 的所有exe管理员权限才过去，接着出现了一下错误。

Fri May 08 13:14:24 2009 route ADD 67.228.223.13 MASK 255.255.255.255 192.168.1.1

Fri May 08 13:14:24 2009 ROUTE: route addition failed using CreateIpForwardEntry: One or more arguments are not correct.   [if_index=9]

Fri May 08 13:14:24 2009 Route addition via IPAPI failed

Fri May 08 13:14:24 2009 route ADD 0.0.0.0 MASK 128.0.0.0 192.168.4.65

Fri May 08 13:14:24 2009 ROUTE: route addition failed using CreateIpForwardEntry: One or more arguments are not correct.   [if_index=23]

Fri May 08 13:14:24 2009 Route addition via IPAPI failed

Fri May 08 13:14:24 2009 route ADD 128.0.0.0 MASK 128.0.0.0 192.168.4.65

Fri May 08 13:14:24 2009 ROUTE: route addition failed using CreateIpForwardEntry: One or more arguments are not correct.   [if_index=23]

Fri May 08 13:14:24 2009 Route addition via IPAPI failed

Fri May 08 13:14:24 2009 route ADD 192.168.4.0 MASK 255.255.255.0 192.168.4.65

Fri May 08 13:14:24 2009 ROUTE: route addition failed using CreateIpForwardEntry: One or more arguments are not correct.   [if_index=23]

Fri May 08 13:14:24 2009 Route addition via IPAPI failed

Fri May 08 13:14:24 2009 Initialization Sequence Completed with errors

网上Google了很久，有人建议添加

ip-win32 netsh

或者

route-method exe route-delay 2

据没有得到解决，后来Google到这篇帖子提到到

OpenVPN 2.1_rc2 (just released) has a fix for the “route addition failed using CreateIpForwardEntry” error on Vista.

于是去http://openvpn.net/download.html 中最新的Release，2.1.1才干掉这个错误。

但是此时，依然无法打开任何网页，但却可以ping通IP地址，于是在找到OpenVPN 适配器TAP-Win32 Adapter V9 对应的本地连接4的TCP/IP设置中添加Google DNS 8.8.8.8/8.8.4.4，全部解决。给出OpenVPN在Windows下的使用建议：

1.要开启DHCP服务
2.当OpenVPN无错时，可以试试添加DNS。

2.OpenVPN在Linux的配置

OpenVPN在Linux下配置相对容易

wget http://openvpn.net/release/openvpn-2.1.1.tar.gz

tar -xvf openvpn-2.1.1.tar.gz

cd openvpn-2.1.1

./configure

提示缺少实时压缩lzo库，故安装lzo库

wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.03.tar.gz

tar -xvf lzo-2.03

cd lzo-2.03

./configure && make && sudo make install

#继续安装OpenVPN

cd ../openvpn-2.1.1

./configure && make && sudo make install

使用时调用一下命令即可。

1	`sudo` `openvpn --config ~/client/client.ovpn --ca ~/client/ca.crt`

四、VPN与SSH的区别

VPN其实也是在本地与远程服务器之间建立了一个加密的通道，但是，与SSH不同的是，VPN客户端会虚拟一个网卡出来（这个虚拟的网卡连接的就是刚才说的那个加密通道），然后修改路由，使流量从加密通道走。当然，VPN也存在跟SSH相同的问题，如果访问国内网站，会绕道国外，速度很慢。聪明的人们又想出了办法：连接了VPN的电脑相当于有两块网卡，只要让国内流量从真实网卡走而国际流量从虚拟网卡走，这个问题就解决了。实际的操作就是手工加入国内IP的路由，让这部分流量直接走本地连接来搞定。

在解决绕道的问题上，大家可以看出SSH方式和VPN方式的不同了，SSH方式可以在URL的级别上筛选网址走加密通道，而VPN方式只能筛选IP。

举个例子，SSH代理+Swithy!+PAC可以做到使http://www.abc.com/xxx走代理，而http: //www.abc.com/yyy不走代理，这是VPN方式力所不及的,因为前者和后者的IP是完全相同的。当然，VPN方式也有它得天独厚的好处，就是不用对应用软件进行任何设置即可使用，这对一些根本没法设置Socket v5代理的应用软件是莫大的福音，这也是SSH方式力所不及的。
（引用自Kangzj.net）

===========================================================================================

给VPN添加路由表+自动替换DNS服务器

VPN(Virtual Private Network)是通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。

一、给VPN添加路由表

然而，在VPN流量的有限的情况下，一来我们希望部分特定的IP走VPN线路，访问其他IP时候依然走公网网关；二来，对于海外VPN，访问国内IP走公网线路也有利于访问速度的保证；再者，也可以消除一些中国内部的资源也限制海外的ip访问情况；要实现这一目的，我们需要给VPN添加路由表。以OpenVPN为例。

1.Windows

Windows用户最好使用最新OpenVPN 2.1以上的版本，因为openvpn v2.1比之前版本增加了一个名为max-routes的新参数, 通过设置该参数, 我们可以在配置文件里(服务端, 客户端)直接添加超过100条以上的路由信息.
chnroutes上给出的脚本

chnroutes_openvpn_v2.1.py

教育网同学可以考虑使用这个添加教育网IP的路由表版本（修改自 @Felixonmars 的脚本）

cernet_ovpn.py
1 2 3 4 5 6 7 8 9 10 11 12 13	`import` `re` `import` `urllib` `a=urllib.urlopen('http://www.nic.edu.cn/RS/ipstat/internalip/real.html').read()` `b=re.compile("([\d\.]+)\s+[\d\.]+\s+([\d\.]+)")` `c=b.findall(a)` `line_count=0` `m=["#iptable for CERNET"]` `for` `d` `in` `c:` `m.append("route "+d[0]+" "+d[1]+" net_gateway 5")` `line_count=line_count+1` `e=open('routes_cernet.txt',"w")` `e.write("\n".join(m))` `e.close()`

具体设置步骤如下:

在命令行里执行 python chnroutes_openvpn_v2.1/cernet_ovpn, 这将生成一个名为 routes.txt/routes_cernet.txt 的文本文件.
使用你喜欢的文本编辑器打开上述文件, 并把内容复制粘贴到openvpn配置文件的末尾
同时在openvpn配置文件的头部添加一句 max-routes num, 其中num是一个不小于文件routes.txt的行数的数字, 实际上因为还有一些服务器端push过来的路由信息, 所以保险起见可以用 routes.txt的行数加上50, 比如目前得到的routes.txt的行数是940, 你可以把数字设置为1000: max-routes 1000

2.Linux

Linux平台不建议使用opvn中添加路由表（本人Ubuntu 10.10系统采用此方法时在退出OpenVPN时删除路由表时出现权限问题），而是采用一个脚本文件。Windows平台也不建议使用脚本，因为Windows平台创建进程的开销非常大，具体表现出来为route程序执行过慢，导致整个脚本执行的时间太长；Linux平台基本不算问题，因为Linux创建进程是非常快的，所以脚本执行时间非常短。基本在5秒左右就完成，5秒后网络立马就稳定下来了。
chnroutes上给出的脚本

chnroutes_ovpn_linux.py

教育网同学可以考虑使用这个添加教育网IP的路由表版本（修改自 @Felixonmars 的脚本）

chnroutes_ovpn_linux_cernet.py
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48	`#!/usr/bin/env python` `import` `re` `import` `urllib` `VPNUPBASE="""#!/bin/bash` `export PATH="/bin:/sbin:/usr/sbin:/usr/bin"` OLDGW=`ip route show \| grep '^default' \| sed -e 's/default via \$[^ ]\$./\\1/'` `if [ $OLDGW == '' ]; then` `exit 0` `fi` `if [ ! -e /tmp/openvpn_oldgw ]; then` `echo $OLDGW > /tmp/openvpn_oldgw` `fi` `"""` `VPNDOWNBASE="""#!/bin/bash` `export PATH="/bin:/sbin:/usr/sbin:/usr/bin"` OLDGW=`cat /tmp/openvpn_oldgw` `"""` `a=urllib.urlopen('http://www.nic.edu.cn/RS/ipstat/internalip/real.html').read()` `b=re.compile("([\d\.]+)\s+[\d\.]+\s+([\d\.]+)")` `c=b.findall(a)` `upfile=open('vpnup_cernet','w')` `downfile=open('vpndown_cernet','w')` `upfile.write(VPNUPBASE)` `upfile.write('\n')` `downfile.write(VPNDOWNBASE)` `downfile.write('\n')` `for` `d` `in` `c:` `upfile.write("route add -net "+d[0]+" netmask "+d[1]+" gw $OLDGW\n")` `downfile.write("sudo route delete -net "+d[0]+" netmask "+d[1]+"\n")` `downfile.write('rm /tmp/openvpn_oldgw\n')` `upfile.close()` `downfile.close()`

具体设置步骤如下：

下载 chnroutes_ovpn_linux/chnroutes_ovpn_linux_cernet
从终端进入下载目录, 执行python chnroutes_ovpn_linux/chnroutes_ovpn_linux_cernet, 执行完毕之后同一目录下将生成两个新文件’vpnup/vpnup_cernet’和’vpndown/vpndown_cernet’
在终端里运行命令 chmod a+x vpnup vpndown 把这两个文件设置为可执行
把这两个文件copy到openvpn的配置目录并修过openvpn配置文件, 在末尾加上两句

script-security 2 up vpnup down vpndown

二、自动替换DNS服务器

一般在OpenVPN的server端都会写上类似于

push "dhcp-option DNS 10.8.0.1" push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220"

这样的语句将DNS设置push给客户端，但实际上，这个只对Win32平台下的OpenVPN有效，对于Linux平台下，无路是server端的push或者是client端配置文件中手动加上–dhcp-option都没有用。DNS服务器依然是连接OpenVPN前的DNS服务器，遭到DNS污染的网站依旧会遭到DNS污染，只能考虑执行自定义脚本来完成：

vpnup
3 4 5 6 7 8 9 10	`RESOLVE=/etc/resolv.conf` `FOREIGNDNS1='4.2.2.1'` `FOREIGNDNS2='4.2.2.2'` `DNSMARK='_MK'` `sed` `"s/^nameserver/#$DNSMARK nameserver/"` `-i $RESOLVE` `echo` `"nameserver $FOREIGNDNS1"` `>> $RESOLVE` `echo` `"nameserver $FOREIGNDNS2"` `>> $RESOLVE`

vpndown
3 4 5	`RESOLVE=/etc/resolv.conf` `DNSMARK='_MK'` `sed` `-e` `'/^nameserver/d'` `-e` `"s/^#$DNSMARK //"` `-i $RESOLVE`

很简单，就是使用sed来完成/etc/resolv.conf文件的内容替换。

嗯，就这样。

参考文献：

原文：http://logicmd.net/2010/08/config-handbook-for-ssh-and-vpn/

http://logicmd.net/2010/10/add-route-table-and-auto-replace-dns-while-connecting-to-vpn/

DNS隧道之DNS2TCP使用心得教程

iGFW — Sat, 23 Jul 2011 06:22:03 +0000

DNS2TCP是在上次DNS隧道大检阅时提到的一个DNS隧道。

在2010年6月的更新（也是迄今为止最新的更新）后，其源代码支持编译为Windows平台的可执行程序。而且此工具使用C语言开发编写，不需要TUN/TAP，所以大大加强了它的可用性。

下载

当前最新的0.5.2版源代码下载请点击这里

Windows下客户端可执行文件下载请点击这里

安装DNS2TCP

本配置所在环境为Linux。以下命令的执行均以root用户身份执行，如果不是root用户，CentOS的请用“su -”，Ubuntu请在各个命令前加上“sudo”，分别提权到root用户权限。

下载、解压、编译、安装

wget http://www.hsc.fr/ressources/outils/dns2tcp/download/dns2tcp-0.5.2.tar.gz

tar zxf dns2tcp-0.5.2.tar.gz

cd dns2tcp-0.5.2

./configure

make

make install

配置DNS2TCP服务端

首先，将你的某个域名（这里以creke.net为例）开个二级域名a.creke.net，类型为NS，NS记录指向b.creke.net。然后将b.creke.net建立A记录指向你的Linux服务器IP（这里以1.2.3.4为例）。如下表所示。

a.creke.net NS b.creke.net

b.creke.net A 1.2.3.4

在/etc目录建立一个名为dns2tcpd.conf的文件，然后输入以下配置：

listen = 1.2.3.4（Linux服务器的IP）
port = 53
user = nobody
chroot = /var/empty/dns2tcp/
domain = a.creke.net（上面配置NS记录的域名）
resources = ssh:127.0.0.1:22,socks:127.0.0.1:1082,http:127.0.0.1:8082

最后的resources里面配置的是dns2tcp供客户端使用的资源。作用是：客户端在本地监听一个端口，并指定使用的资源，当有数据往端口传送后，dns2tcp客户端将数据用DNS协议传动到服务器，然后服务器将数据转发到对应的资源配置的端口中。

好了，DNS2TCP的服务端配置到此完毕。接下来就是要慢慢等待域名记录的生效了。

启动与关闭DNS2TCP服务端

以下命令用于启动DNS2TCP的服务端：

dns2tcpd -f /etc/dns2tcpd.conf

以下命令用于关闭DNS2TCP的服务端：

killall dns2tcpd

启动DNS2TCP客户端

这里再次提醒，要等待a.creke.net的NS记录生效后，才能够继续正常使用客户端。查询是否生效可以使用从各个在线网站查询。

启动DNS2TCP客户端的命令如下;

dns2tcpc -c -d 1 -l 8118 -r http -z a.creke.net

其中：-c表示启用数据压缩；-d表示启动调试，1为调试等级；-l表示监听本地端口，8118为端口名；-r为使用服务端上的哪个资源，http为资源名；-z后的a.creke.net为前面配置的NS记录的域名。

然后就可以通过将浏览器的代理服务器地址设为127.0.0.1:8118，代理类型为HTTP代理，来通过DNS隧道上网了。

如果要使用SOCKS代理，则为：

dns2tcpc -c -d 1 -l 7070 -r socks -z a.creke.net

以上是通过系统DNS来发送DNS请求的，如果要通过某个DNS服务器，如87.65.43.21来发送DNS请求，则为：

dns2tcpc -c -d 1 -l 8118 -r http -z a.creke.net 87.65.43.21

这里要注意，需要首先在Linux服务器配置好HTTP代理或者SOCKS代理。才能利用DNS隧道转发数据包来实现代理。具体可以参考如何使用Kingate假设HTTP代理和SOCKS代理。

就是这样，采用DNS2TCP搭建了DNS隧道，慢慢折腾吧！

DNS隧道大检阅

研究了一天的DNS隧道，现在汇总一些关于我搜到的各种DNS隧道的信息。

1、OzymanDNS

官方网站：http://www.dnstunnel.de/

操作系统：跨平台

实现语言：Perl

更新程度：最初版本只有0.1，有各个爱好者的修改版，如via1，via2，via3，等等。

备注：挺复杂的，我没搞成功。

2、tcp-over-dns

官方网站：http://analogbit.com/software/tcp-over-dns

操作系统：跨平台

实现语言：JAVA

更新程度：最新版本1.2，2011年4月更新。

备注：JAVA编写的，由于服务器没装JDK，故我没用过。

3、heyoka

官方网站：http://heyoka.sourceforge.net/

操作系统：Win2003

实现语言：C

更新程度：最新版本0.1.3-alpha，2009年更新。

备注：服务器不是Windows，故我没用过。作者说很快会更新UNIX版代码，不过一直没动静。

4、iodine

官方网站：http://code.kryo.se/iodine/

操作系统：Windows/Linux

实现语言：C

更新程度：最新版本0.6.0-rc1，2010年6月更新。

备注：需要TAP/TUN支持。不过很多最初想用OzymanDNS的人都转投iodine，称其为“更好用的DNS隧道”。其官网也说自己的速度比其它的同类软件更快。

5、dns2tcp

官方网站：http://www.hsc.fr/ressources/outils/dns2tcp/index.html.en

操作系统：Linux

实现语言：C

更新程度：最新版本0.5.2，2010年6月更新。

备注：最新版代码可以在Windows下编译运行，网上也有人编译了Windows版本（via）。

最后文不切题地提一个软件，叫ssocks，是一个轻量级的socks代理服务端。

原文：http://blog.creke.net/750.html 和 http://blog.creke.net/749.html

DnsJumper——快速切换本机DNS服务的绿色软件 & 几款 DNS 测试软件

iGFW — Fri, 27 May 2011 03:06:01 +0000

Dns Jumper 是一款专门用于一键切换DNS的免费应用程序，里面已经包含多组DNS ，当然也包含了 Google DNS，或者可以自定义添加。Dns Jumper 绿色免费，支持多国语言。
Dns Jumper 使用：选择你当前的网卡，选择一个DNS服务，应用DNS！

Dns Jumper官方：http://www.sordum.com/
Dns Jumper下载：http://www.sordum.com/dns_jumper/2010x07x09/DnsJumper.zip

有时候翻墙时需要设置国外DNS服务器而不翻墙是使用国内DNS服务器好些，这个软件就可以帮你快速切换，感谢AS网友推荐。

本文原始地址：http://igfw.net/archives/2875

================================================================================

我的 QQ 能聊天，但是什么网页都打不开了，怎么办？！。。。。。。噢 No，我重新登录 QQ 居然都上不去了！

出现这种情况，一般都是 DNS 出问题，今天介绍几款 DNS 测试软件，可以方便的解决这个问题，当然，不限于此。

首先出场的是彗星 DNS 优化器。这个软件内置了大量的 DNS 服务器地址，几乎囊括了国内各省市的主要 DNS 服务器地址和国外一些著名的 DNS 服务器地址例如 Google，OpenDNS 等。软件的使用非常简单，启动后使用测试一键优化，软件会测试所有的 DNS 服务器地址速度以及解析质量，最后把软件认为最好的 DNS 服务器自动设置给你的网卡。之后你只需要在运行框中输入 ipconfig /release ，然后再输入 ipconfig /renew 即可让新的 DNS 服务器生效。强烈建议新手用户和走南闯北的售后服务人员，使用这个软件来解决 DNS 相关故障。

第二个是 DNS Jumper 。这个软件也内置了一些 DNS 服务器地址，但是大多是国外的，好在可以通过编辑 ini 文件来添加国内的 DNS 服务器地址。它可以通过点击 Fastest DNS 按钮来批量测试 DNS 服务器，也可以在下拉菜单选中一组 DNS 服务器后点击下面的 check response time 来测试，之后只需点击 Apple DNS 然后 Flush DNS 即可让新的 DNS 服务器生效。

第三个是本站曾经多次提及的 GRC’s DNS Benchmark 。这款软件可以全面测试 DNS 服务器的解析速度，安全程度，专业程度较高，并不建议初级用户使用。

最后一个是 NameBench 。这款软件是比较纯粹的一款 DNS 服务器测速软件，DNS 服务器手动填写，但是软件可以根据自动侦测出来的用户区域来添加区域内最佳 DNS 服务器。内置 Alexa Top2000 为待测试网站地址，生成的报表非常详细，包括速度和劫持情况。测试完成后也会提醒用户哪几个 DNS 服务器最适合当前的测试机器。

你也可以去 dnsentropy 在线测试你当前使用的 DNS 服务器状态。

附件包括了本文介绍的所有软件，均为免安装版本。

来源：http://www.quakemachinex.com/blog/?p=177

pydnsproxy-DNS本地代理

iGFW — Sun, 11 Apr 2010 00:48:58 +0000

用Python写的一个小程序，用了个非常简单的方法来忽略GFW的DNS缓存污染（暂不公布方法）。使用方法如下：

Windows 使用方法

1. 下载 pydnsproxy，安装在你喜欢的位置。（注：Windows Vista/7 的用户请使用管理员模式安装）

2. 将宽带连接（或者其他你喜爱的名字的连接）的dns服务器设置为127.0.0.1

3. Enjoy it!

备注

1. 本软件默认使用OpenDNS的DNS服务器，如果你喜爱其他的境外DNS服务器，请修改主目录下的dnsserver.conf文件。（不知道的话请用Google搜索，注意别设成境内的了，不然就又回到祖国妈妈的怀抱了）

2. 修改dnsserver.conf后，请在控制面板->管理工具->服务中重启DNSProxy服务。

3. exe只是简单的7zip打包，如杀毒软件报告病毒应属误报。提供两个在线扫描结果：VirusTotal、VirScan。

Linux、Mac

目前没有针对Linux和Mac的包，但可以到 SVN里把py的源码checkout下来，除需要手动设置外，使用方法类似于Windows。

说明

什么是DNS缓存污染？参见维基百科的这篇条目。

DNSProxy只提供绕过DNS缓存污染的功能，而不能为你解决连接被重置的问题，更不能为你提供代理服务器翻墙。其他业务，请查询GAppProxy。

既然不能翻墙，为什么开发这个工具？要知道能解决DNS缓存污染也能对付掉一部分GFW的封锁。比如说你可以使用IPv6，如果能解决掉DNS缓存污染，那么GFW在IPv6唯一的封锁手段（现今）也失效了。

下载

原文地址

上网被ISP劫持?介绍一些好用的DNS域名解析服务器

iGFW — Mon, 01 Mar 2010 02:44:20 +0000

有时候我们会遇到这样的问题，使用域名不能访问，而输入IP地址可以访问，这就是DNS 服务器出了问题。实际上我们可以建立一个本地域名解析系统，这样可以免去域名解析的时间，从而加快浏览的速度。不幸的是，国内的域名经常遇到大规模的DNS劫持,有一个很简单的办法进行解决。就是使用其它一些更为安全可靠的DNS服务器进行域名解析,可以避免被本地电信或网通进行域名劫持。

每个域名都对应一个IP地址，当你在浏览器中输入域名，实际上系统先要将此域名转换成IP地址，然后进行访问。而进行域名转换就需要用到DNS（Domain Name Server）域名系统，其主要工作就是寻找Internet域名并将它转换为IP地址。
推荐的DNS域名服务器小总。

1：国外的OpenDNS。

网址：https://www.opendns.com/start
设置DNS服务器为：208.67.222.222和 208.67.220.220这2个IP地址就行了，针对不同的上网设备，页面中有详细说明和演示，照着操作即可，很简单。、
DNS设置方法：

2：台湾的中华电信的DNS
168.95.1.1（dns.hinet.net）
168.95.192.1（hntp1.hinet.net）
168.95.192.2（hntp3.hinet.net）

IP地址好记，而且访问速度不错。

3：17395的DNS
国内的，据说支持中文上网。
60.190.228.88
218.108.234.88
17395 中文上网的实现，基于您采用17395的DNS(域名解析系统)。要求获得17395免费的中文上网服务必须将您的DNS从自动获取修改成我们的2组 DNS(60.190.228.88/218.108.234.88)。

我现在用的是第二个，台湾的中华电信的，因为OpenDNS对于国内的域名解析经常出问题~~

注意：这个DNS并非zoneedit等提供域名的DNS，ZONEEDIT和EVERYDNS等的DNS是为自己的域名提供解析的，而这个是我们电脑设置成的DNS，本地解析。。

iGFW » DNS

2011-01-16——SSH代理翻墙教程

代理服务器的功能

怎么对付那些使用OpenDNS的VPN服务商们

原来 Unbound 也可以强制使用 TCP 查询 DNS

设置Godaddy DNS服务器，冲破封锁就那么几招 & Godaddy域名和主机无法访问 & godaddy已被屏蔽的dns组列表

www.dnspod.com 这家很不错，我2年前设置过一个域名，现在都还在，并且解析速度很快，现在需要手机认证，同时免费用户的ns只能有两个。

www.dns.la 没有试过这个，不过网友使用后反馈效果也可以的。

SSH与VPN客户端配置完全手册&给VPN添加路由表+自动替换DNS服务器

一、导言

二、SSH配置

1.SSH在Windows 客户端配置

Tips: 可以从命令行运行 Tunnelier：tunnelier -profile=profilename.tlp -loginOnStartup

2.SSH在Linux客户端配置

-q :- be very quite, we are acting only as a tunnel. -f :- move the ssh process to background, as we don’t want to interact with this ssh session directly. -N :- Do not execute remote command. -n :- redirect standard input to /dev/null.

3.浏览器配置

三、VPN配置

1.OpenVPN在Windows下配置

ip-win32 netsh

OpenVPN 2.1_rc2 (just released) has a fix for the “route addition failed using CreateIpForwardEntry” error on Vista.

1.要开启DHCP服务 2.当OpenVPN无错时，可以试试添加DNS。

2.OpenVPN在Linux的配置

四、VPN与SSH的区别

一、给VPN添加路由表

1.Windows

2.Linux

二、自动替换DNS服务器

DNS隧道之DNS2TCP使用心得教程

DnsJumper——快速切换本机DNS服务的绿色软件 & 几款 DNS 测试软件

pydnsproxy-DNS本地代理

备注

Linux、Mac

说明

上网被ISP劫持?介绍一些好用的DNS域名解析服务器

Tips:
可以从命令行运行
`Tunnelier：tunnelier -profile=profilename.tlp -loginOnStartup`

`-q :- be very quite, we are acting only as a tunnel. -f :- move the ssh process to background, as we don’t want to interact with this ssh session directly. -N :- Do not execute remote command. -n :- redirect standard input to /dev/null.`

1.要开启DHCP服务
2.当OpenVPN无错时，可以试试添加DNS。