走出Windows » 网络相关

又是邮件问题

LuckyBoy — Tue, 30 Aug 2011 13:26:41 +0000

最近接二连三邮件出问题，前几天，买了个bluehost，安装有wordpress blog程序，昨天安装了个contact form 7的联系插件，使用的是blog程序的域名邮箱，可是邮件一直发送失败，上网搜索，竟没有很好的答案，在bluehost面板里面找，找到个“电子邮件递送路径”，点进去看看，追踪一下，提示“virtual_aliases via virtual_aliasesrouter forced address failure”，貌似是说发往本地的邮件，可是我没用bluehost的邮箱啊，再找找，发现个“MX输入”，估计是添加域名MX记录的，点进去，果然，可以管理域名的解析记录，估计是bluehost直接在自己的服务器上解析了域名，所以邮件发不出去，添加了我在GD那边的正确的记录，然后再发送，果然成功了，bluehost为客户想的太周到了，什么都做好了，结果导致这个问题，又是找了很久的原因

H3C ICG2000 MSR900 系列路由器策略路由配置

LuckyBoy — Fri, 08 Jul 2011 13:21:19 +0000

话说丘老板介绍了ICG2000策略路由的配置方法，详见：
http://www.h3c.com.cn/Service/Channel_Service/Operational_Service/ICG_Technology/201010/697664_30005_0.htm

这边是双出口的解决方法，但是ICG2000这种路由器，只要设置一下就能支持N口路由了，双WAN显然不是办法，要设置多wan，是要靠if-match语句来判断，下面是我配置4wan的方法

acl number 2000
 rule 0 permit source 192.168.10.10 0
 rule 5 permit source 192.168.10.11 0
 rule 10 permit source 192.168.10.12 0
 rule 15 permit source 192.168.10.13 0
 rule 20 permit source 192.168.10.14 0
acl number 2100
 rule 0 permit source 192.168.10.20 0
 rule 5 permit source 192.168.10.21 0
 rule 10 permit source 192.168.10.22 0
 rule 15 permit source 192.168.10.23 0
 rule 20 permit source 192.168.10.24 0
acl number 2200
 rule 0 permit source 192.168.10.30 0
 rule 5 permit source 192.168.10.31 0
 rule 10 permit source 192.168.10.32 0
 rule 15 permit source 192.168.10.33 0
 rule 20 permit source 192.168.10.34 0
acl number 2300
 rule 0 permit source 192.168.10.40 0
 rule 5 permit source 192.168.10.41 0
 rule 10 permit source 192.168.10.42 0
 rule 15 permit source 192.168.10.43 0
 rule 20 permit source 192.168.10.44 0

policy-based-route mypbr permit node 5
if-match acl 2000
apply output-interface Dialer 10

policy-based-route mypbr permit node 10
if-match acl 2100
apply output-interface Dialer 11

policy-based-route mypbr permit node 15
if-match acl 2200
apply output-interface Dialer 12

policy-based-route mypbr permit node 20
if-match acl 2300
apply output-interface Dialer 13

interface Vlan-interface1
ip policy-based-route mypbr

到此结束了，记得测试一下，完了保存哦，不然断电你就杯具了

顺便附带一下改N WAN的方法

interface Ethernet0/2
port link-mode route

剩下的端口自己去配置吧，出去散步，bye

-------------------------------------------------------------------------------------

7月15日更新：

昨天发现一个问题，那就是，如果路由器上有多个vlan，每个vlan使用不同的网段，原本默认两个vlan之间是可以互通的，启用策略路由会导致vlan之间无法互通，使用tracert命令测试发现，数据会被直接路由到外网

解决办法就是再加一条acl，这次acl涉及到源和目的地，所以要使用acl编号为3000-3999的高级acl，这条acl是这样的：

[H3C]dis acl 3100
Advanced ACL  3100, named -none-, 1 rule,
ACL's step is 5
rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.5.0 0.0.0.255

然后在policy-based-route最前端加一句

[H3C]dis policy-based-route mypbr
 policy-based-route : mypbr
    Node 4 permit :
       if-match acl 3100
       apply output-interface Vlan-interface10

因为我的第一条匹配是node 5 所以这次就使用node 4就好了

最后说明一点，本文所涉及的代码命令基本都是display出来，请勿照抄，有什么不明白可以留言

闽交通违章查询软件

LuckyBoy — Fri, 27 May 2011 01:42:58 +0000

点击这里下载闽交通违法查询，需要 .NetFramework 3.0支持，本程序纯粹是一个抓取网页的东东

H3C ICG2000C Console线制作

LuckyBoy — Wed, 04 May 2011 07:18:23 +0000

今天入手一台H3C ICG2000C，但是没有Console线，玩H3C没线当然不爽了，于是就自己订做一条，一端是RJ-45，一端是串口的DB-9头，按照如下方法连接

这种连接方法在ICG2000C上测试成功，不过网上也有一种说法，如下

如果第一种不行，大家可以试试第二种

ubuntu做单臂路由实现跨网段访问

LuckyBoy — Tue, 09 Nov 2010 15:51:27 +0000

公司有4条宽带，各条宽带分别独立，这样一点很不爽的地方就是办公室里面传文件速度跟蜗牛一样，而且传文件的时候还影响网速，解决方法有两种，第一种，将所有网段连起来，子网掩码设置255.255.0.0，就可以互相通讯了，可是这样的大网段看着不舒服，解决办法2就是购入专业的三层交换机或者路由器，这显然不现实，因为成本太高，于是我把目光瞄向办公室的一台闲置电脑，里面的系统正好是ubuntu server版，直接拿来用。本来我想装4片网卡实现的，可是这不争气的主板却只有2个pic插槽，加上板载网卡，一共才3个，不够用，于是想起了虚拟网卡加单臂路由，说干就干，开始配置。

首先查看你的系统是否支持802.1Q，必须支持802.1Q才可以让vlan互通。

执行如下命令

lsmod | grep 8021q

看看有没有，没哟的话，执行下面的命令

apt-get install vlan
sh -c 'grep -q 8021q /etc/modules || echo 8021q >> /etc/modules'

为网卡添加虚拟ip

编辑 /etc/network/interfaces 内容大致如下

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.4.254
netmask 255.255.255.0
gateway 192.168.4.1

auto eth0:0
iface eth0:0 inet static
address 192.168.1.254
netmask 255.255.255.0
gateway 192.168.1.1

auto eth0:1
iface eth0:1 inet static
address 192.168.2.254
netmask 255.255.255.0
gateway 192.168.2.1

auto eth0:2
iface eth0:2 inet static
address 192.168.3.254
netmask 255.255.255.0
gateway 192.168.3.1

保存并重启下网络，ifconfig看下，eth0已经有很多虚拟网卡了

eth0 Link encap:Ethernet HWaddr 00:e0:4c:c0:7d:9b
inet addr:192.168.4.254 Bcast:192.168.4.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:4cff:fec0:7d9b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:342738 errors:0 dropped:0 overruns:0 frame:0
TX packets:336347 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:390613917 (390.6 MB) TX bytes:390082459 (390.0 MB)
Interrupt:20 Base address:0xa000

eth0:0 Link encap:Ethernet HWaddr 00:e0:4c:c0:7d:9b
inet addr:192.168.1.254 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Base address:0xa000

eth0:1 Link encap:Ethernet HWaddr 00:e0:4c:c0:7d:9b
inet addr:192.168.2.254 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Base address:0xa000

eth0:2 Link encap:Ethernet HWaddr 00:e0:4c:c0:7d:9b
inet addr:192.168.3.254 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Base address:0xa000

下面添加vlan

执行如下命令

vconfig add eth0 0
vconfig add eth0 1
vconfig add eth0 2

重启一下网络。

这时vlan之间还不能相互通讯，因为linux默认不允许网卡之间转发，这时，编辑 /etc/sysctl.conf 找到 net.ipv4.ip_forward 取消注释，并让其值等于1,，保存退出，执行

sysctl -p

最后一步非常重要，因为我们的默认网关都是 192.168.1.1 192.168.2.1之类的，而路由器的ip是192.168.1.254 192.168.2.254之类的，所以要访问其他网段之前必须让路由器知道访问其他网段要找 192.168.x.254，所以添加静态路由表，这步很简单，不会的童鞋下面留言吧。

ok，所有工作完成，试试看，QQ传输文件的速度已经快了很多了，不过有一点要注意，连接所有网段的交换机必须是支持vlan的，否则dhcp报文会乱窜，等下ip就乱七八糟了，我今天就花了60大洋买了个二手的 TL-SF1008V，虽然功能不是很强，但是这个交换机的vlan功能已经够用了，打卡vlan开关，1-7口分别属于一个vlan，8口是trunk口，所以8口接路由器，其他口连接各个网段

BELKIN 7231-4P 64M版刷DD-WRT 恢复出厂后要执行的命令

LuckyBoy — Thu, 02 Sep 2010 04:38:09 +0000

nvram set sdram_init=0x0008
nvram set sdram_config=0x0033
nvram set sdram_ncdl=0x0000
nvram set ip_conntrack_max=65536
nvram commit

DDoS 遭遇记

LuckyBoy — Thu, 11 Mar 2010 06:58:26 +0000

2010年3月8日22点34分42秒，朋友赵小猫QQ发来消息说编辑帖子就会500 - Internal server error，2010年3月9日上班时，同事说报告文件无法上传，也是提示500错误，经过查看发现服务器/var 的10G空间已经满满的了，习惯的备份并删除之，后来感觉不对劲，再查看一下，发现nginx日志以每秒2M的速度上涨，这就不正常了，查看日志，发现，有人总是访问一个不存在的页面，而且useragent并不是主流浏览器

183.2.109.60 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
123.171.5.7 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
124.163.139.83 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
59.55.47.46 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
113.128.132.41 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
122.230.11.56 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
117.59.46.176 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
112.4.161.20 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
110.16.129.42 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
119.101.102.145 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -

这是其中一段日志，可以看出，访问速度非常之快，当时就怀疑是被CC攻击了，由于对服务器影响并不大，所以没有重视，3月10日上午对公司网站功能模块进行了更新，下午突然发现网站访问速度变慢，起初以为是网站功能模块编写不恰当造成卡机，但是后来进行本地测试并没有发现这个问题，10 日下午3点左右，服务器突然无法访问了，联系机房后得知是被攻击，攻击流量超过1G，这里援引客服的话

尊敬的客户：
您好，请查看附件这个是您机器遇到攻击的流量，这只能为您划出的交换机上的流量（最大100M），但光纤上遇到的流量已经超过1G.所以我们进行停机处理。

停机后，我们对所有域名停止解析，等待一切平静，晚上9点，流量过去了，赶紧对公司主域名恢复访问，其他域名仍然是停止解析状态，回家睡觉，今天早上来到公司，大家都在议论此事，而此时一切风平浪静，公司网站访问正常，这时我将所有域名重新开启解析，本以为平安无事了，没想到没过多久，新一轮的CC攻击开始了，我们立即意识到，DDoS即将来临，赶紧叫同事把今天需要完成的订单下载下来，以防服务器被停机，暂停解析所有域名，并且通知机房做好连接日志的记录，流量刚上来，估计是域名解析生效了，没有造成太大的破坏，这时服务器还能连接上，通过查看服务器连接发现，38这个IP连接数巨大，而38这个IP是分配给Vcor的黑帽安全小组使用，立即将38这个IP停止，并联系他本人，据他描述，由于黑客动画吧想要吞并他们，但是他们拒绝了，所以黑吧就对他们的网站发动了攻击，了解到这点，我听取了职业欠钱的建议，我启用了黑帽的域名，并且将黑帽的域名解析到了工信部，让他们去攻击，所以各位现在去访问黑帽的首页，蹦出来的就是工信部的网站了，让丫的攻击，攻击完了等着工信部去收拾你

以下是我们自行监视到的流量

上面是按小时查看，可以很清楚的看到受到攻击的情况，后面的没有流量了说明是被机房切断了

上面是按天查看的，可以发现8-11日流量激增

上面是按月查看，可以看到，这个月才10天左右，流量就已经比上一个月多了一倍了

======================================

3月12日更新：

昨天晚上把Vcor的域名解析到了黑吧，结果发现他们的网站停了，今天上午把域名解析到黑吧VIP，发现VIP也停了，但是主站恢复正常

Ubuntu命令行下连接 Windows 2003 PPTP VPN服务器--译文

LuckyBoy — Mon, 04 Jan 2010 13:05:43 +0000

引言:前段时间一直没空翻译，所以直接贴了英文版的在上面，可能难为了那些英文比我还烂的童鞋（本人至今公共英语四级未通过），今天拿来翻译下，上面一行是英文，下面一行是中文，翻译的不好的地方请大家指教

Installing the Client Program
安装客户端程序
Install PPTP Client from the Ubuntu Project:
从Ubuntu Project安装PPTP客户端
apt-get install pptp-linux
上面那行是命令，在终端输入的，不翻译了
Installing the Configuration Program
安装配置程序
Note: you may wish to skip the configuration program and configure the client by hand.
注意：你可能想要跳过安装配置程序，并且手工配置客户端
1. add the following lines to the sources list file, /etc/apt/sources.list :
1.添加下面几行到源列表，/etc/apt/sources.list

# James Cameron's PPTP GUI packaging
deb http://quozl.netrek.org/pptp/pptpconfig ./

Note: can use a text editor, or simply cat the lines on to the end of the file using >>, but if you make a mistake in formatting you will likely be told by the apt-get update step.
注意：你可以使用文本编辑器，或者使用 >> cat这几行到文件末端,但是如果你的格式出错了，在apt-get update时可能会出问题

2. update the list of packages:
2.更新包列表

apt-get update
上面是命令

3. install the PPTP Client GUI:
3.安装PPTP客户端GUI程序

apt-get install pptpconfig
上面是命令

Note: you may be told that the packages could not be authenticated. For the moment, tell your system to install them anyway. We'll take patches to our release process if anyone can explain simply how to provide authentication.
这句太麻烦，不翻译了，大概意思是如果系统提示无法验证包，请选择无论如何都安装

Configuration, by hand
手工配置

1. obtain from your PPTP Server administrator:
1.从你的PPTP服务器管理员处获取：

* the IP address or host name of the server ($SERVER),
* 服务器的IP地址或名称(下面用$SERVER代替)
* the name you wish to use to refer to the tunnel ($TUNNEL),
* VPN连接的通道名称(下面用$TUNNEL代替)(译者注:一般情况下，通道名称可以自己起，比如我就是用vpn这三个字母做通道名称的)
* the authentication domain name ($DOMAIN),
* 验证域的名称(下面用$DOMAIN代替)(译者注:一般是没有这个东西，留空就好)
* the username you are to use ($USERNAME),
* 拨号用的用户名(下面用$USERNAME代替)
* the password you are to use ($PASSWORD),
* 拨号用的密码(下面用$PASSWORD代替)
* whether encryption is required.
* 是否要求加密

In the steps below, substitute these values manually. For example, where we write $PASSWORD we expect you to replace this with your password.
这句话的内容都在上面的注释里了，不翻译了

2. create or edit the /etc/ppp/options.pptp file, which sets options common to all tunnels:
2.创建或者编辑 /etc/ppp/options.pptp文件，这个是所有通道的共同设置

下面这个是文件的内容

lock noauth nobsdcomp nodeflate

3. create or add lines to the /etc/ppp/chap-secrets file, which holds usernames and passwords:
3. 创建或者添加下面这些行到 /etc/ppp/chap-secrets 文件，这个文件存储用户名和密码

$DOMAIN\\$USERNAME PPTP $PASSWORD * #备注:$DOMAIN可以不要

Note: if you are using a PPTP Server that does not require an authentication domain name, omit the slashes as well as the domain name.
这句是我上面的备注内容，不翻译了

Note: if the passwords contain any special characters, quote them. See man pppd for more details.
注意：如果密码中有特殊字符，用双引号引起来

4. create a /etc/ppp/peers/$TUNNEL file:
4. 创建 /etc/ppp/peers/$TUNNEL 文件内容如下

pty "pptp $SERVER --nolaunchpppd"
name $DOMAIN\\$USERNAME
remotename PPTP
require-mppe-128
file /etc/ppp/options.pptp
ipparam $TUNNEL

Note: if you do not need MPPE support, then remove the require-mppe-128 option from this file and /etc/ppp/options.pptp.
注意：如果你不需要MPPE支持，从这个文件和/etc/ppp/options.pptp删除 require-mppe-128
5. start the tunnel using the pon command:
5. 用pon命令连接VPN

pon $TUNNEL

to further diagnose a failure, add options to the command:

pon $TUNNEL debug dump logfd 2 nodetach

Note: we have further information on enabling debug mode, and on diagnosing problems.

6. stop the tunnel using the poff command:
6. 用poff命令断开连接

poff $TUNNEL

注：上面的翻译已经足够连接上VPN服务器了，下面是讲创建启动脚本的，这里就不翻译了，有空继续下面的翻译

7. to script the tunnel connection so that something is done as soon as the tunnel is up, use either ip-up.d scripts or the updetach keyword.

1. see the Routing HOWTO for examples of ip-up.d scripting that adds routes or iptables rules.

2. using updetach will cause pppd to fork, detach, and exit with success once the network link is up. This example connects a provider link, then the tunnel, then runs fetchmail to get new e-mail:

pon provider updetach && pon $TUNNEL updetach && fetchmail

Note: the double ampersand && means that the commands following it will only be executed if the command to the left of it was successful. If the tunnel fails to connect, the fetchmail will not happen.

8. to have the tunnel automatically restarted if it fails, add the option persist to either the command line or the /etc/ppp/peers/$TUNNEL file.

9. to have the tunnel started on system boot:

* for Debian Sarge and later, edit the /etc/network/interfaces file, and add this section:

auto tunnel
iface tunnel inet ppp
provider $TUNNEL

* for Debian Woody, edit the /etc/ppp/no_ppp_on_boot file, remove the first line comment, and change the word provider to the name of your tunnel, so that it looks like this:

#!/bin/sh
...
$PPPD call $TUNNEL

(The line ... means the other lines in the file, it doesn't mean a line with three dots.)

Then rename the no_ppp_on_boot file and make it executable:

# mv /etc/ppp/no_ppp_on_boot /etc/ppp/ppp_on_boot
# chmod +x /etc/ppp/ppp_on_boot

Every time your computer starts, the tunnel will be started automatically.

在Linux 路由器上安装dhcp服务器

LuckyBoy — Thu, 24 Sep 2009 14:41:34 +0000

废话不多说，直接进入正题

系统是ubuntu server 9.04

# apt-get install dhcp3-server

# vim /etc/dhcp3/dhcpd.conf

ddns-update-style none;
option domain-name "lyun.edu.cn";
option domain-name-servers 218.193.32.1, 218.193.32.8;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.100 192.168.1.199;
option domain-name-servers 218.183.32.1,218.193.32.8,218.85.157.99;
option domain-name "lyun.edu.cn";
option routers 192.168.1.1;
option broadcast-address 192.168.1.255;
default-lease-time 600;
max-lease-time 7200;
}

# vim /etc/default/dhcp3-server

把

INTERFACES=""

改成

INTERFACES="eth1"

重启网络

# /etc/init.d/networking restart

DHCP服务器配置完成

把Linux当做路由器操作系统

LuckyBoy — Wed, 16 Sep 2009 12:16:38 +0000

我所在的学校使用802.1x的人证方式，每个月10元网费，有4G流量可以使用，超过1M1分钱，这TMD贵啊，但是有一点，用到40元就封顶了，这个还算人性吧，就是路由器没办法用，既然40元能封顶，而且网速还算凑合，为什么不整个宿舍使用一个账号呢？想到这里，我宿舍正好有一台电脑闲置，配置还凑合，512M 内存，2.4G CPU，40G 硬盘，跑Ubuntu的Server版是绰绰有余了，这就动手，搞成路由器！

闲话不多说，下面看看怎么搞

系统最好能装2块网卡，一个做WAN口，一个做LAN口

首先光盘安装个Ubuntu Server的系统，哪个版本看自己喜好了，不过本人推荐使用LTS版本的，不用经常换系统

设置eth0的IP地址为校园网IP地址、eth1为内网IP（自己随便设，别冲突就好）

#vim /etc/network/interfaces

iface eth0 inet static
address 59.77.xx.xx #改成自己的IP地址
network 59.77.72.0 #网络地址
broadcast 59.77.75.255 #广播地址
netmask 255.255.252.0 #子网掩码
gateway 59.77.72.1 #网关
auto eth0
#下面是LAN口的设置
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
auto eth1

auto lo
iface lo inet loopback

之后，常用的软件装一下，比如OpenSSH什么的，方便远程管理，现在就重点说一下怎么弄成路由器

要搞成路由器的话需要使用到NAT地址转换
首选要开启转发

#vim /etc/sysctl.conf

找到

net.ipv4.ip_forward

取消前面的注释，并且让其值等于1

保存并退出

执行一下

#sysctl -p

使其生效

执行

# iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
# iptables --append FORWARD --in-interface eth1 -j ACCEPT

保存一下iptables

#iptables-save > /etc/iptables-rule

配置好linux1x这个人证软件，然后让其开机自动启动

#vim /etc/rc.local

里面加一句

/usr/local/bin/linux1x -d

让iptables规则开机加载