Category Archives: 运维

使用SVN让WordPress升级时合并定制的更改

因为实在是受不了阿里云每天推送wordpress有各种漏洞,决定还是尽量把wordpress升到最新版本。但个人对wordpress的代码进行过多处的修改(例如文章id复用、评论模板、主题修改等),直接升级就会被覆盖掉。所以决定引入版本管理。

服务器上直接安装TortoiseSVN,安装时建议选中命令行工具,这样就可以直接用svnserve开服务从远程连接,无需再安装VirtualSVN。

先考虑一下我们的逻辑。我的blog最后一次手动更新的版本是4.2.1,当前最新的版本为4.7.3。通常来说的逻辑应该是将当前正在跑的版本与4.2.1比对得出我自己修改过的差异,然后覆盖安装4.7.3,最后把[……]

Read more

通过智能TTL锁定防止ISP广告、DNS劫持的一些想法

最近思考两个事情,一个是DNS劫持的升级,以往的方法失效了,另一个是铁通劫持了百度统计(hm.baidu.com)造成几乎全网的页面都被插广告。

劫持的原理都是抢先发送IP包,这样TTL一般会与正确的网站发来的数据不同。据抓包观察,几乎所有的劫持都没智能到使用伪造的正确TTL。大部分都是没有改TTL,抓到的是固定的,高级一点的如目前的DNS劫持会使用随机TTL。

很容易想到ping一下目标服务器,拿到正确的TTL,然后在路由器里用iptables的ttl模块做限制。但这样需要针对每个ip手动去ping出一个TTL。并且有时候TCP与UDP走的路由数并不一样,不是一个固定的值,而是一个范围,那么[……]

Read more

Win7下借助VirtualBox虚拟机和承载网络构建无线软路由

为什么需要Linux路由呢,因为那啥啥啥的原因,需要进行那啥啥啥,只有使用iptables、ipset这些工具才能做到完美透明那啥。

为什么要用虚拟机做软路由呢,因为有时候需要将电脑带出去,显然不能就为了个那啥还要在书包里放个路由器。尽管自己组装了个U盘大小的WR703N模块美名曰那啥神器,但没有精力去专门为那啥设计固件,也没设计reset键,万一配置的时候玩坏就把自己墙了。

关于那啥的配置之前已有多篇文章详细写,请自行翻阅。这里只写虚拟机和Windows的配置。

关于虚拟机,首先你需要装个Linux。当然你可以直接用OpenWrt的x86版,但是笔者因为本身就经常使用Linux,所以就直接在[……]

Read more

Debian + MATE

再谈debian的发布策略

软件包首先会进入unstable(开发代号sid),这是唯一真正的每天滚动更新,相当于软件的trunk。风险是随时会挂掉,很久之前我就栽过一次,但据官方说bug修复也很快,一般几天就能恢复。

日常情况下在unstable中十天左右的软件包会合并到testing。testing要比unstable稳定,但万一挂掉可能要数十天甚至一个月才能修复,因为修复也要等十天才会进到testing。

testing日常情况下也是每天滚动更新与unstable同步,然后到了冻结。冻结时testing不再与unstable同步,仅允许小的更新和bug fix。注意冻结的是testing[……]

Read more

Psiphon for OpenWrt

本文谢绝转载与链接。软件包:openssh-client、empty(用于自动输入密码)处理服务器列表的脚本psi_list.sh:

#!/bin/shsed -r ‘s/\{“data”: “([^”]*)”.*/\1/’ |\sed ‘s/\\n/0a/g’ |\while read -n2 c; do printf “\x$c”; done |\sed -r -n ‘s/.*”region”: “([^”]*)”.*”capabilities”: \[.*”SSH”.*\].*”sshPort”: ([0-9]*).*”sshUsername”: “([^”]*)”.*”ipAddres[……]

Read more

OpenWrt usb挂载与samba 配置与测试

软件包

usb基础软件包:kmod-usb-core kmod-usb-ohci kmod-usb2(ehci)等。newifi mini的官方14.07已打包。
usb存储:kmod-usb-storage block-mount
fat32文件系统:kmod-fs-vfat kmod-nls-cp437 kmod-nls-iso8859-1(字符编码包必须要装)
ntfs文件系统:ntfs-3g。不要装kmod-fs-ntfs,umount的时候内核不稳定。

挂载与卸载

mount /dev/sda2 /mnt/usb
umount -l /mnt/usb

也可以指定文件系统:mount[……]

Read more

OpenWrt透明代理方案

详细的原理请点击293号档案。DNS部分已失效,请考虑使用ChinaDNS项目。11月3日最新更新:

ipset create vpn nethashipset create rst ipporthash timeout 90iptables -t nat -A PREROUTING -p tcp -m set –match-set vpn dst -j REDIRECT –to-port 1080iptables -t nat -A PREROUTING -p tcp -m set –match-set rst dst,dst -j REDIRECT –to-port 1080ipt[……]

Read more

基于DNS污染、关键词阻断、IP封锁的透明防火墙的研究

那啥,标题不知为啥有几个字显示不出来,应该是:基于DNS污染过滤、关键词阻断检测、IP封锁分流的透明反防火墙方案

0x00:透明防火墙 と 透明反防火墙

所谓透明,在网络术语上讲指某个网络设备对上网用户而言不可见。透明防火墙自然对用户也是透明的,因为从未有人承认透明防火墙的存在,所以在中国大陆参考系中我们看到的只是Twitter、Facebook、Youtube这些网站坏掉了。反之,透明反防火墙也是透明的,我们可以将其部署到一台路由设备中(本文以OpenWRT为例),使得连接到该路由上的设备看不到防火墙的存在,实现零配置自由访问网络。透明防火墙使用且仅使用三个技术:由封锁严重程度从浅到深分别是[……]

Read more

newifi mini纯净版OpenWrt兼容内核固件,集成rt2860v2、mt76x2e驱动

基于原生OpenWrt Barrier Breaker 14.07,使用SDK && ImageBuilder构建,与官方14.07内核兼容,可直接安装官方源任意软件包(包括内核模块)。

尝试做这个事情主要是因为PandoraBox固件没有打包某些我需要的内核模块,因为都是3.10内核,有些ko是可以忽略警告强行安装的,但少部分ko因引用内核头文件config而无法二进制兼容(例如ipset,你懂的)。

友情提醒1:此固件不适合普通小白使用,需要对OpenWRT有一定的了解,具备初级的Linux折腾能力,至少要会用vim编辑network、wireless等配置文件,因为LuC[……]

Read more

在openwrt brcm63xx优雅地安装broadcom wl无线驱动

原生的openwrt在63xx设备上自带的是b43驱动,而(据说)博通官方的wl驱动要比社区的b43要稳定一些。

我个人的使用感受是b43好像是不能中继的(至少我当年在DB120、10.03.1系统上测试不成功),以及流量大时cfg80211会占用很大的cpu,挂下载的时候延迟会飙到2000ms,有时还会断线,总之是各种不爽,后来不得不插一个tplink的usb供电小ap才稳定下来。

最近终于折腾好了wl驱动,发现如果是挂迅雷、连接数多的情况下延迟同样会飙高,但总算没掉线,迅雷限制连接数的话就没有任何问题。个人感受比以前好一些。

下面说优雅地安装方法。官方wiki有提到wl驱动,但说的不仔细,[……]

Read more