V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  datocp  ›  全部回复第 196 页 / 共 211 页
回复总数  4207
1 ... 192  193  194  195  196  197  198  199  200  201 ... 211  
2015-08-03 00:04:05 +08:00
回复了 benjiam 创建的主题 程序员 有没有不利用证书也能安全通信的方案
证书解密是有时效性的,花了大量cpu时间去解密一个一分钟前过时的信息。

一个常用软件对用户证书认证过程。至少在这个软件下面访问页面100%绿色状态。
With certificate authentication, when the connection source computer attempts to connect to the Virtual Hub it presents a user name together with an X.509 electronic certificate. The SoftEther VPN Server checks whether is correct and the connection source computer is only allowed to connect if it passes.
The connection source computer must possess certificate data and a private key (RSA private key) that corresponds to the public key in the certificate to present. Certificate data is sent from the connection source computer to the VPN Server by private key data is not transmitted. Next the VPN Server sends random number data (called challenge values) to the client. When the client receives the data, it signs it by the private key it possesses and returns the data. VPN Server verifies the signature data sent by the client using the public key in the electronic certificate initially received and makes sure that the client computer has the certificate and corresponding private key (if it can't be confirmed, user authentication fails on the spot). It subsequently checks if the certificate subsequently presented by the client matches the attributed defined for each user as user authentication data. You can select either individual certificate authentication or signed certificate authentication as the test method at this time.
2015-08-01 10:30:23 +08:00
回复了 Quaintjade 创建的主题 宽带症候群 来求解决方案思路
softether对机器要求不高的,现在openwrt路由,树莓派之类的都好安装。

A B 公司如果不是直属关系,这种网络结构会造成安全漏洞的。如果未经网管同意还是别这样搞,省得出问题。毕竟将两个lan桥在一起,安全风险非常大。

相对安全的方式就是采用socks5代理,但是socks5代理在下载一些链接时不知道为什么没反应,就需要挂上vpn了,而且如果B公司没有网管参与的话,就必须通过反向连接的方式才能穿透nat,而这同样要求A公司具备公网ip。A公司如果也没公网ip,就需要借助vps C,A<>c<>B。

最好还是征得网管同意,不然被监控到就麻烦了。
2015-08-01 07:45:36 +08:00
回复了 Quaintjade 创建的主题 宽带症候群 来求解决方案思路
用softether吧,文档齐全,功能无敌。
搜一下 Build a LAN-to-LAN VPN (Using L3 IP Routing)
可以实现两个不同网段通过虚拟l3 路由方式桥接在一起,然后使用静态路由。目前家里的openwrt路由就是通过tun0接口跟vps桥接在一起的,中间通过双证书加密连接。
这样的话可以直接在192.168.2.x访问192.168.3.x提供的代理服务,基本是无缝方式,然后再加个privoxy上去就可以进行黑白名单选择性代理。
2015-07-31 22:11:58 +08:00
回复了 yexm0 创建的主题 宽带症候群 其实上海电信的国际线路不差的
为什么不问问电信搞什么动态限速。每天见国外流量下降的第一反应就是kill pppd,然后网速又飞快了,接着没速度,接着kill pppd。人家就是把用户当傻瓜。
2015-07-30 19:57:13 +08:00
回复了 mactaew 创建的主题 问与答 关于防止 DNS 出问题的一个想法,不知是否可行
这个天天有人问。网上比较好的就是flora pac这是个根据国内外路由表进行选择,一刀切所有的国外ip都用代理。
android下一直找不到类似兼容实现,在路由器或者windows安装privoxy,网上有个proxy.action的例子,实现根据域名黑白名单进行选择性代理。然后可以安装smartproxy proxydroid想代理就代理。这些都不关心dns问题,所有代理的解析都将通过远程socks5代理服务器进行解析。
pdnsd也可以通过设置一国内一国外dns服务器通过reject所有的国内服务器ip进行轮询解决cdn问题,不喜欢全局翻,网络容易掉。
2015-07-30 19:24:27 +08:00
回复了 Livid 创建的主题 宽带症候群 关于江苏移动 DNS 劫持
这个没办法避免,也不知道如何避免,电信也是大量应用了缓存服务器,下载.net framework就统统的302,网上是有屏蔽的方法,但是操作以后网络更不可访问。所以习惯就好,不要把正常文件变成病毒就谢天谢地了。
2015-07-29 22:34:59 +08:00
回复了 yushenga 创建的主题 问与答 求科普,怎么区分盗版系统?
没花钱,没付钱给ms的就是盗版。
早些年在路由里对360网站用dnsmasq做了屏蔽,强制所有的udp 53只能通过本地网关解析。正常情况下dns解析结果应该为0.0.0.0

结果那段时间在跟360打架的腾讯 QQ手机浏览器 竟然可以正常访问,IOS跟android的版本都可以脱离本地dnsmasq控制,正常访问360网站。不知道软件内置了什么东东。
2015-07-28 10:31:01 +08:00
回复了 ca1123 创建的主题 宽带症候群 有没有什么能改善国际出口的奇技淫巧
1,所有的连接全程证书加密
2,1 ipv4 + 3 ipv6,其中两个ipv6还是第三方提供的tunnel,自从用了ipv6再也没注意到频繁的tcp reset,即便有,4个ip轮流切换看谁快。。。

经过加密的线路,明显延迟比不加密的低。最近用上ipv6确实比以往的体验不大一样,但是ipv6线路高达300ms,ipv4 160ms左右。
2015-07-28 07:08:53 +08:00
回复了 icloudnet 创建的主题 问与答 这么多 IP 尝试登服务器俺能做点啥
这fail2ban是什么东东,对扫描的人也太友好了还reject-with icmp-port-unreachable应该是直接drop。这种现象很正常的用routeos的时候,每天外网发起的扫描高达260+,扫一个封一个。。。
2015-07-27 00:53:13 +08:00
回复了 TangMonk 创建的主题 问与答 如何根据用户量和并发来选购 vps?
在一些64m路由器,终端下有nice ulimit做一些优化限制的。甚至可以选择一个时间点对内存进行释放。
2015-07-27 00:27:59 +08:00
回复了 eightqueen 创建的主题 问与答 互联网创业公司是不是偏向使用 Debian 系 OS?
玩linux就是折腾,2006年时还在玩打包,不同发行版,各自的包工具,玩得真心累。到最后还没跟对主流桌面,算了还是用windows吧,省心。
这些年都是在线更新,不大会有人再去编绎软件了,依赖是很麻烦的事情。最终选了centos,据说是商业化软件支持更好。跟动主流很重要,没时间瞎折腾,重新布署。
2015-07-27 00:12:21 +08:00
回复了 xav1er 创建的主题 问与答 关于 Socks5 的问题想问问大家
不知道你想干嘛。最近danted用了ipv6以后一直没配置成功,又很无奈的同时启用ssserver sslocal就为了一个socks5代理。
a ssserver
b sslocal
2015-07-25 19:36:08 +08:00
回复了 exit 创建的主题 问与答 这个路由界面是什么意思
长得像asus的界面啊。
前面两规则对目的端口是80 443的每个连接,也就平时的网页浏览,在流量低于512这里应该是kb还是bytes呢,512bytes也太小了,极有可能是KB,数据包标记为高优先级,一旦连接流量持续超过512kb就重新标记为low。
这种通常用于p2p环境利用iptables connbytes 模块,对流量进行重新标记,有助小上行带宽的tcp拥塞控制。
2015-07-24 21:41:32 +08:00
回复了 Septembers 创建的主题 问与答 关于 DNS 劫持问题你们是怎么解决的?
这几天刚在电信线路用上6to4 ,本来还一阵兴奋google搜索连带敏感关键词都不存在。。。
但是今天又注意到facebook后来用google的dns能访问首页了。但是twitter google学术之类的依然没任何办法。包括很多tb tunnel,不知道6to4跟原生ipv6差距大不,原来限制依然存在。。。
2015-07-24 21:08:01 +08:00
回复了 Septembers 创建的主题 问与答 关于 DNS 劫持问题你们是怎么解决的?
这个话题,难道无污染dns解析出ip就能连上被封网站吗。
既然要挂代理,socks4a+版本就支持dns远程解析,又何必需要dns。

还是觉得privoxy+stunnel是最简单的解决方法。
一个支持黑白域名选择性挂代理,
另外一个支持把tcp用证书方式加密到本地访问。

想用代理就挂上去。没什么cdn之类的问题。
1 ... 192  193  194  195  196  197  198  199  200  201 ... 211  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2469 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 52ms · UTC 15:44 · PVG 23:44 · LAX 08:44 · JFK 11:44
Developed with CodeLauncher
♥ Do have faith in what you're doing.