watch -n 1 "/sbin/ifconfig eth0 | grep bytes"
查看linux网络流量的命令
发表回复
分类目录归档:Linux
LINUX虚拟网卡配置
LINUX虚拟网卡配置
作用:一块真实网卡配置多个IP参数,可同时和多个网络通信
实现步骤: 1.cd /etc/sysconfig/network-scripts #进入网卡配置文件所在目录
2.cp ifcfg-eth0 ifcfg-eth0:0 #复制真实网卡配置文件为第一块虚拟网卡配置文件
3.vi ifcfg-eth0:0 #对第一块虚拟网卡配置文件编辑
DEVICE=eth0:0 #设备名称
BROADCAST=192.168.1.255 #广播地址(一般和真实网卡不在同一网络)
IPADDR=192.168.1.11 #IP地址(一般和真实网卡不在同一网络)
NETWORK=192.168.1.0 #网络ID(一般和真实网卡不在同一网络)
4.service network restart #重新启动网络
SecureCRT上传、下载及常用命令
SecureCR 下的文件传输协议有ASCII 、Xmodem 、Ymodem 、Zmodem
ASCII:这是最快的传输协议,但只能传送文本文件。
Xmodem:这种古老的传输协议速度较慢,但由于使用了CRC错误侦测方法,传输的准确率可高达99.6%。
Ymodem:这是Xmodem的改良版,使用了1024位区段传送,速度比Xmodem要快。
Zmodem:Zmodem采用了串流式(streaming)传输方式,传输速度较快,而且还具有自动改变区段大小和断点续传、快速错误侦测等功能。这是目前最流行的文件传输协议
设定默认上传下载目录
options->session options ->Terminal->Xmodem/Zmodem 下
在右边设置上传和下载的目录
使用Zmodem从客户端上传文件到linux服务器
1.在用SecureCRT登陆linux终端.
2.选中你要放置上传文件的路径,在目录下然后输入rz命令,SecureCRT会弹出文件选择对话框,在查找范围中找到你要上传的文件,按Add按钮。然后OK就可以把文件上传到linux上了。
或者在Transfer->Zmodem Upoad list弹出文件选择对话框,选好文件后按Add按钮。然后OK窗口自动关闭。然后在linux下选中存放文件的目录,输入rz命令。liunx就把那个文件上传到这个目录下了。
使用Zmodem下载文件到客户端:
sz filename
zmodem接收可以自行启动.下载的文件存放在你设定的默认下载目录下.
如果rz、sz命令无效,可以安装lrzsz这个软件包以得到这2个工具或者安装rzsz-0.12.20-853.2.i586.rpm
具体安装方法为:
yum install lrzsz -y
或
rpm -ivh rzsz-0.12.20-853.2.i586.rpm
ICMP-type对应表
一次在某个防火墙配置策略里看到如下的代码:
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A FORWARD -p icmp --icmp-type 8 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT iptables -A FORWARD -p icmp --icmp-type 11 -j ACCEPT
当时对于icmp-type后面的代码感觉很不解,不知道后面的数字是什么意思,后来从网上找了下,发现具体做用如下:
ICMP类型
| TYPE | CODE | Description | Query | Error |
|---|---|---|---|---|
| 0 | 0 | Echo Reply——回显应答(Ping应答) | x | |
| 3 | 0 | Network Unreachable——网络不可达 | x | |
| 3 | 1 | Host Unreachable——主机不可达 | x | |
| 3 | 2 | Protocol Unreachable——协议不可达 | x | |
| 3 | 3 | Port Unreachable——端口不可达 | x | |
| 3 | 4 | Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特 | x | |
| 3 | 5 | Source routing failed——源站选路失败 | x | |
| 3 | 6 | Destination network unknown——目的网络未知 | x | |
| 3 | 7 | Destination host unknown——目的主机未知 | x | |
| 3 | 8 | Source host isolated (obsolete)——源主机被隔离(作废不用) | x | |
| 3 | 9 | Destination network administratively prohibited——目的网络被强制禁止 | x | |
| 3 | 10 | Destination host administratively prohibited——目的主机被强制禁止 | x | |
| 3 | 11 | Network unreachable for TOS——由于服务类型TOS,网络不可达 | x | |
| 3 | 12 | Host unreachable for TOS——由于服务类型TOS,主机不可达 | x | |
| 3 | 13 | Communication administratively prohibited by filtering——由于过滤,通信被强制禁止 | x | |
| 3 | 14 | Host precedence violation——主机越权 | x | |
| 3 | 15 | Precedence cutoff in effect——优先中止生效 | x | |
| 4 | 0 | Source quench——源端被关闭(基本流控制) | ||
| 5 | 0 | Redirect for network——对网络重定向 | ||
| 5 | 1 | Redirect for host——对主机重定向 | ||
| 5 | 2 | Redirect for TOS and network——对服务类型和网络重定向 | ||
| 5 | 3 | Redirect for TOS and host——对服务类型和主机重定向 | ||
| 8 | 0 | Echo request——回显请求(Ping请求) | x | |
| 9 | 0 | Router advertisement——路由器通告 | ||
| 10 | 0 | Route solicitation——路由器请求 | ||
| 11 | 0 | TTL equals 0 during transit——传输期间生存时间为0 | x | |
| 11 | 1 | TTL equals 0 during reassembly——在数据报组装期间生存时间为0 | x | |
| 12 | 0 | IP header bad (catchall error)——坏的IP首部(包括各种差错) | x | |
| 12 | 1 | Required options missing——缺少必需的选项 | x | |
| 13 | 0 | Timestamp request (obsolete)——时间戳请求(作废不用) | x | |
| 14 | Timestamp reply (obsolete)——时间戳应答(作废不用) | x | ||
| 15 | 0 | Information request (obsolete)——信息请求(作废不用) | x | |
| 16 | 0 | Information reply (obsolete)——信息应答(作废不用) | x | |
| 17 | 0 | Address mask request——地址掩码请求 | x | |
| 18 | 0 | Address mask reply——地址掩码应答 |
VPS 防止 SSH 暴力登录尝试攻击
前些时谈了一下如何屏蔽对网站服务器的扫描,属于前台防御。后来 Felix 发了一篇 blog提到将多次尝试 SSH 登录失败的 IP ban 掉,才想起来去看一下日志,没想到后院起火了。
查看日志文件:
$ sudo cat /var/log/auth.log
没想到满屏满屏的往下刷,全是
Failed password for root from 123.15.36.218 port 51252 ssh2
reverse mapping checking getaddrinfo for pc0.zz.ha.cn [218.28.79.228] failed – POSSIBLE BREAK-IN ATTEMPT!
Invalid user akkermans from 218.28.79.228
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.28.79.228
来统计一下有多少人在暴力破解我的 root 密码吧
$ sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
470 222.122.52.150
411 123.15.36.218
139 177.8.168.48
20 74.81.83.226
18 77.108.112.131
2 95.58.255.62
1 218.28.79.228
1 188.132.163.154
很明显我禁用了 root 登录,人家也不是那么笨,开始暴力猜用户名
$ sudo grep "Failed password for invalid user" /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | more
3190 218.28.79.228
646 222.122.52.150
172 123.15.36.218
65 177.8.168.48
4 222.76.211.149
某个人尝试了 3000 多次,好吧,lovelucy这个小博客真有那么 valuable 么。。为了防范于未然,我们可以做些配置,让 VPS 服务器更加安全。
1、修改 SSH 端口,禁止 root 登陆
修改/etc/ssh/sshd_config文件
$ sudo vi /etc/ssh/sshd_config
Port 4484 #一个别人猜不到的端口号
PermitRootLogin no
$ sudo /etc/init.d/ssh restart
2、禁用密码登陆,使用 RSA 私钥登录
Amazon EC2 服务器本来就是只允许使用私钥登录的,但是这样的话我如果想在别的电脑上临时 SSH 上来,又没带私钥文件的情况下,就很麻烦。所以我又手动开启了密码验证登录。不管怎样,这一条还是先列出来吧
# 在客户端生成密钥
$ ssh-keygen -t rsa
# 把公钥拷贝至服务器
$ ssh-copy-id -i .ssh/id_rsa.pub server
# 也可以手动将.shh/id_rsa.pub拷贝至服务器用户目录的.ssh中,记得修改访问权限
# $ scp .shh/id_rsa.pub server:~/.ssh
# 在服务器中
$ cd ./.ssh/
$ mv id_rsa.pub authorized_keys
$ chmod 400 authorized_keys
$ vi /etc/ssh/sshd_config
RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码
UsePAM no #禁用PAM
# 最后保存,重启
$ sudo /etc/init.d/ssh restart
3、安装denyhosts
这个方法比较省时省力。denyhosts 是 Python 语言写的一个程序,它会分析 sshd 的日志文件,当发现重复的失败登录时就会记录 IP 到 /etc/hosts.deny 文件,从而达到自动屏 IP 的功能。这和我之前介绍的自动屏蔽扫描的脚本是一个思路。如果靠人工手动添加的话还不把人累死。现今 denyhosts 在各个发行版软件仓库里都有,而且也不需要过多配置,傻瓜易用。
安装: www.2cto.com
# Debian/Ubuntu:
$ sudo apt-get install denyhosts
# RedHat/CentOS
$ yum install denyhosts
# Archlinux
$ yaourt denyhosts
# Gentoo
$ emerge -av denyhosts
默认配置就能很好的工作,如要个性化设置可以修改 /etc/denyhosts.conf
$ vi /etc/denyhosts.conf
SECURE_LOG = /var/log/auth.log #ssh 日志文件,它是根据这个文件来判断的。
HOSTS_DENY = /etc/hosts.deny #控制用户登陆的文件
PURGE_DENY = #过多久后清除已经禁止的,空表示永远不解禁
BLOCK_SERVICE = sshd #禁止的服务名,如还要添加其他服务,只需添加逗号跟上相应的服务即可
DENY_THRESHOLD_INVALID = 5 #允许无效用户失败的次数
DENY_THRESHOLD_VALID = 10 #允许普通用户登陆失败的次数
DENY_THRESHOLD_ROOT = 1 #允许root登陆失败的次数
DENY_THRESHOLD_RESTRICTED = 1
WORK_DIR = /var/lib/denyhosts #运行目录
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES #是否进行域名反解析
LOCK_FILE = /var/run/denyhosts.pid #程序的进程ID
ADMIN_EMAIL = root@localhost #管理员邮件地址,它会给管理员发邮件
SMTP_HOST = localhost
SMTP_PORT = 25
SMTP_FROM = DenyHosts <nobody@localhost>
SMTP_SUBJECT = DenyHosts Report
AGE_RESET_VALID=5d #用户的登录失败计数会在多久以后重置为0,(h表示小时,d表示天,m表示月,w表示周,y表示年)
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
RESET_ON_SUCCESS = yes #如果一个ip登陆成功后,失败的登陆计数是否重置为0
DAEMON_LOG = /var/log/denyhosts #自己的日志文件
DAEMON_SLEEP = 30s #当以后台方式运行时,每读一次日志文件的时间间隔。
DAEMON_PURGE = 1h #当以后台方式运行时,清除机制在 HOSTS_DENY 中终止旧条目的时间间隔,这个会影响PURGE_DENY的间隔。
查看我的 /etc/hosts.deny 文件发现里面已经有 8 条记录。
$ sudo cat /etc/hosts.deny | wc -l
8
来源:http://www.idcby.net/?support/software_13367.html
修改SSH端口
修改的是 /etc/ssh/sshd_config 文件,(第一次修改的是 ssh_config 文件,结果重起ssh服务,怎么没生效呢?自己还纳闷了,后来google里跑了一下,答案就出来了。
[root@linux ~]# vi /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.69 2004/05/23 23:59:53 dtucker Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
Port 2222 //以前这个前面是有 # 号的,而且默认是 22 ,修改一下就ok了
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
4、重起ssh服务,修改端口才生效
[root@linux ~]# service sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
[root@linux ~]#
5、为了检验是否正确,可以使用 netstat -an 命令查看一下
来源: http://www.cnblogs.com/rooney/archive/2009/05/18/1459692.html
Linux下Mongodb安装和启动配置
1.下载安装包
wget http://fastdl.mongodb.org/linux/mongodb-linux-i686-1.8.2.tgz
下载完成后解压缩压缩包
tar zxf mongodb-linux-i686-1.8.2.tgz
2. 安装准备
将mongodb移动到/usr/local/server/mongdb文件夹
mv mongodb-linux-i686-1.8.2 /usr/local/mongodb
创建数据库文件夹与日志文件
mkdir /usr/local/mongodb/data
touch /usr/local/mongodb/logs
3. 设置开机自启动
将mongodb启动项目追加入rc.local保证mongodb在服务器开机时启动
echo "/usr/local/server/mongodb/bin/mongod --dbpath=/usr/local/server/mongodb/data –logpath=/usr/local/server/mongodb/logs –logappend --auth –port=27017" >> /etc/rc.local
4. 启动mongodb
cd到mongodb目录下的bin文件夹启动mongodb
//下面这个是需要权限的登录方式, 用户连接需要用户名和密码
/usr/local/server/mongodb/bin/mongod --dbpath=/usr/local/server/mongodb/data --logpath=/usr/local/server/mongodb/logs --logappend --auth --port=27017 --fork
//这个是不需要密码的
/usr/local/server/mongodb/bin/mongod --dbpath=/usr/local/server/mongodb/data --logpath=/usr/local/server/mongodb/logs --logappend --port=27017 --fork
5. 参数解释: --dbpath 数据库路径(数据文件)
--logpath 日志文件路径
--master 指定为主机器
--slave 指定为从机器
--source 指定主机器的IP地址
--pologSize 指定日志文件大小不超过64M.因为resync是非常操作量大且耗时,最好通过设置一个足够大的oplogSize来避免resync(默认的 oplog大小是空闲磁盘大小的5%)。
--logappend 日志文件末尾添加
--port 启用端口号
--fork 在后台运行
--only 指定只复制哪一个数据库
--slavedelay 指从复制检测的时间间隔
--auth 是否需要验证权限登录(用户名和密码)
-h [ --help ] show this usage information
--version show version information
-f [ --config ] arg configuration file specifying additional options
--port arg specify port number
--bind_ip arg local ip address to bind listener - all local ips
bound by default
-v [ --verbose ] be more verbose (include multiple times for more
verbosity e.g. -vvvvv)
--dbpath arg (=/data/db/) directory for datafiles 指定数据存放目录
--quiet quieter output 静默模式
--logpath arg file to send all output to instead of stdout 指定日志存放目录
--logappend appnd to logpath instead of over-writing 指定日志是以追加还是以覆盖的方式写入日志文件
--fork fork server process 以创建子进程的方式运行
--cpu periodically show cpu and iowait utilization 周期性的显示cpu和io的使用情况
--noauth run without security 无认证模式运行
--auth run with security 认证模式运行
--objcheck inspect client data for validity on receipt 检查客户端输入数据的有效性检查
--quota enable db quota management 开始数据库配额的管理
--quotaFiles arg number of files allower per db, requires --quota 规定每个数据库允许的文件数
--appsrvpath arg root directory for the babble app server
--nocursors diagnostic/debugging option 调试诊断选项
--nohints ignore query hints 忽略查询命中率
--nohttpinterface disable http interface 关闭http接口,默认是28017
--noscripting disable scripting engine 关闭脚本引擎
--noprealloc disable data file preallocation 关闭数据库文件大小预分配
--smallfiles use a smaller default file size 使用较小的默认文件大小
--nssize arg (=16) .ns file size (in MB) for new databases 新数据库ns文件的默认大小
--diaglog arg 0=off 1=W 2=R 3=both 7=W+some reads 提供的方式,是只读,只写,还是读写都行,还是主要写+部分的读模式
--sysinfo print some diagnostic system information 打印系统诊断信息
--upgrade upgrade db if needed 如果需要就更新数据库
--repair run repair on all dbs 修复所有的数据库
--notablescan do not allow table scans 不运行表扫描
--syncdelay arg (=60) seconds between disk syncs (0 for never) 系统同步刷新磁盘的时间,默认是60s
Replication options:
--master master mode 主复制模式
--slave slave mode 从复制模式
--source arg when slave: specify master as <server:port> 当为从时,指定主的地址和端口
--only arg when slave: specify a single database to replicate 当为从时,指定需要从主复制的单一库
--pairwith arg address of server to pair with
--arbiter arg address of arbiter server 仲裁服务器,在主主中和pair中用到
--autoresync automatically resync if slave data is stale 自动同步从的数据
--oplogSize arg size limit (in MB) for op log 指定操作日志的大小
--opIdMem arg size limit (in bytes) for in memory storage of op ids指定存储操作日志的内存大小
Sharding options:
--configsvr declare this is a config db of a cluster 指定shard中的配置服务器
--shardsvr declare this is a shard db of a cluster 指定shard服务器
6. 进入数据库的CLI管理界面
cd到mongodb目录下的bin文件夹,执行命令./mongo
运行如下:
[root@namenode mongodb]# ./bin/mongo
MongoDB shell version: 1.8.2
connecting to: test
> use test;
switched to db test
若数据库出现如不能连上,则是一个data目录下的mongod.lock文件的问题,可以用如下的修复的命令,
mongod --repair
Linux下 RabbitMQ的安装与配置
一 Erlang安装
- RabbitMQ是基于Erlang的,所以首先必须配置Erlang环境.
- 从Erlang的官网 http://www.erlang.org/download.html 下载最新的erlang安装包,Linux和MacOSX下载的版本是 R15B01 Source File(72.0 MB)
- 我的是Mac OSX系统 所以我直接在 http://www.erlang-solutions.com/section/132/download-erlang-otp下载的对应版本的安装包,省的自己配置和安装了
- 然后解压下载的gz包 tar zxcf *.tar.gz
- cd 进入解压出来的文件夹
- 执行./configure --prefix=/opt/erlang 就会开始编译安装 会编译到 /opt/erlang 下 然后执行
- make 和 make install
- 编译完成以后,进入/opt/erlang/bin,输入./erl测试erlang是否安装成功。
- 修改/etc/profile文件,增加下面的环境变量:
- #set erlang environment
- export PATH=$PATH:/opt/erlang/bin
- source profile使得文件生效
- 肯能会出现找不到包的情况,就直接yum install 吧!
二 simplejson安装
- cd /
- wget http://pypi.python.org/packages/source/s/simplejson/simplejson-下载simplejson
- tar zxvf simplejson-2.4.0.tar.gz解压缩文件
- cd simplejson-2.4.0,python setup.py install。这是由于simplejson是依赖python脚本的
三 rabbitmq安装配置
- rabbitmq的安装有很多版本,我们使用Generic Unix版本。
- cd /
- wget http://www.rabbitmq.com/releases/rabbitmq-server/v2.7.1/rabbitmq-server-generic-unix-2.7.1.tar.gz下载rabbitmq
- tar zxvf rabbitmq-server-generic-unix-2.7.1.tar.gz -C /opt解压到指定的文件夹下
- cd /opt,建立软链接ln -s rabbitmq-server-generic-unix rabbitmq
- cd rabbitmq/sbin,./rabbitmq-server -detached可以实现后台启动
- 修改/etc/profile,添加环境变量
- #set rabbitmq environment
- export PATH=$PATH:/opt/rabbitmq/sbin
- source profile使得文件生效
- cd /opt/rabbitmq/sbin,./rabbitmqctl stop关闭rabbitmq
- 这样就完成了安装
- 启用管理方式(用网页方式管理MQ)cd /opt/rabbitmq/sbin/
- 执行./rabbitmq-plugin enable rabbitmq-management
- 然后访问http://localhost:55672
四 rabbitmq配置
一般情况下,RabbitMQ的默认配置就足够了。如果希望特殊设置的话,有两个途径:
一个是环境变量的配置文件 rabbitmq-env.conf ;
一个是配置信息的配置文件 rabbitmq.config;
注意,这两个文件默认是没有的,如果需要必须自己创建。
rabbitmq-env.conf
这个文件的位置是确定和不能改变的,位于:/etc/rabbitmq目录下(这个目录需要自己创建)。
文件的内容包括了RabbitMQ的一些环境变量,常用的有:
#RABBITMQ_NODE_PORT= //端口号
#HOSTNAME=
RABBITMQ_NODENAME=mq
RABBITMQ_CONFIG_FILE= //配置文件的路径
RABBITMQ_MNESIA_BASE=/rabbitmq/data //需要使用的MNESIA数据库的路径
RABBITMQ_LOG_BASE=/rabbitmq/log //log的路径
RABBITMQ_PLUGINS_DIR=/rabbitmq/plugins //插件的路径
具体的列表见:http://www.rabbitmq.com/configure.html#define-environment-variables
rabbitmq.config
这是一个标准的erlang配置文件。它必须符合erlang配置文件的标准。
它既有默认的目录,也可以在rabbitmq-env.conf文件中配置。
Xen VPS CentOS安装PPTP VPN
PPTP官方地址: http://poptop.sourceforge.net
1.安装ppp iptables服务
yum install -y ppp iptables
2.下载pptpd最新版本的rpm包
32位
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.i386.rpm
64位
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.x86_64.rpm
3.安装下载好的rpm包
32位
rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm
64位
rpm -ivh pptpd-1.3.4-1.rhel5.1.x86_64.rpm
4.设置pptpd解析用的dns
vi /etc/ppp/options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
加入加密方式后,可能会出现一些错误:
619错误,执行以下两个命令解决:
rm -r /dev/ppp
mknod /dev/ppp c 108 0
然后重启VPS即可。
741错误:
在客户端(Windows)连接属性设置中将“要求数据加密(没有就断开)” 选项的钩去掉
5.设置拨号时候用的:用户名、拨号方式、用户密码、来源ip地址(用户名和密码可以随便设置,拨号方式只能填pptpd,来源ip用*号代表不限制)
vi /etc/ppp/chap-secrets
vpnuser pptpd vpnpassword *
6.设置本地ip和远端ip
vi /etc/pptpd.conf
localip 192.168.8.1
remoteip 192.168.8.2-30
7.设置ip转发状态为生效,然后立即载入(和第9步的NAT转发有关)
vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
/sbin/sysctl -p
8.启动pptpd服务,并且设置为开机启动
/sbin/service pptpd start
chkconfig pptpd on
9.启动iptables规则,设置NAT转发,然后保存(iptables本身就是开机启动的,不需要再用chkconfig iptables on了)
/sbin/service iptables start
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.8.0/24 -j MASQUERADE
service iptables save
10.在windows下本地连接里建立vpn拨号,输入用户名和密码,就连接上了。
Tips:
多ip服务器转发指定规则
iptables -t nat -A POSTROUTING -s 192.168.8.0/24 -j SNAT --to-source 192.168.8.1
or
iptables -t nat -A POSTROUTING -s 192.168.8.0/24 -j SNAT --to-source 服务器外网ip
如果iphone之类的设备能连上,访问网页或者youtube特别慢,需要做如下修改:
vi /etc/ppp/ip-up
增加一行
/sbin/ifconfig $1 mtu 1400
或者修改iptables规则
iptables -A FORWARD -p tcp --syn -s 192.168.8.0/24 -j TCPMSS --set-mss 1356
1356的值可能需要自己调整,调节到能保证网络正常使用情况下的最大值。
来源:http://www.mingshi.info/xen-vps-centos-pptpd-vpn/
OpenVZ VPS搭建OpenVPN
前言:
由于BurstNET的VPS使用的OpenVZ的虚拟环境,所以不支持PPTP VPN,但是官方承诺可无缝安装OpenVPN,这也
给广大被GFW害惨了的网民一丝希望。
虽然国内外提供FreeVPN的企业和个人有很多,但是还不如自己搭建一个来得安全,毕竟用别人的咱们不知道数据流向哪里,或者说不知道数据会经过哪里,被多少人看到。
好了,闲话不多说了,现在正式开始。
一、准备工作:
1)确认购买的VPS是否开启了Tun/Tap设备的支持,以前看过的文章里都说要联系客服让客服开通,其实不用这么麻烦,自己在后台就可以开启(不过默认是不开启的)。不信请看下图,这是标准的BurstNET配置的免费的控制面板。
图1:BurstNET的VPS开启Tun/Tap支持,点一下“Enable Tun/Tap”按钮就行了
2)升级系统软件,并下载所需软件。
#yum install gcc gcc-devel openssl openssl-devel iptables#mkdir /opt/software#cd /opt/software
#wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.03.tar.gz
#wget http://openvpn.net/release/openvpn-2.0.9.tar.gz
好了,准备工作已经完成了。下面开始安装。
二、安装软件
写道
#cd /opt/software#tar -zxvf lzo-2.03.tar.gz#cd lzo-2.0.3
#./configure
#make && make install
#cd ../
#tar -zxvf openvpn-2.0.9.tar.gz
#cd openvpn-2.0.9
#./configure --with-lzo-headers=/usr/local/include --with-lzo-lib=/usr/local/lib --with-ssl-headers=/usr/include/openssl --with-ssl-lib=/usr/lib
#make && make install
自此,软件已安装完成,下面开始最重要的步骤。
三、生成证书Key
1、初始化PKI
#cd /opt/software/openvpn-2.0.9/easy-rsa#export D=`pwd`#export KEY_CONFIG=$D/openssl.cnf
#export KEY_DIR=$D/keys
#export KEY_SIZE=1024
#export KEY_COUNTRY=CN
#export KEY_PROVINCE=BJ
#export KEY_CITY=BJ
#export KEY_ORG="eryinj.com"
#export KEY_EMAIL="eryin@eryin.com"
2、生成CA证书
#./clean-all
#./build-ca
本步骤除了以下两个地方需要改动之外,其他地方一路回车(红色部分为改动的值):
Organizational Unit Name (eg, section) []:eryin.com
Common Name (eg, your name or your server's hostname) []:server
3、建立Server Key
#./build-key-server server
本步骤除了以下两个地方需要改动之外,其他地方一路回车(红色部分为改动的值):
Organizational Unit Name (eg, section) []:eryin.com
Common Name (eg, your name or your server's hostname) []:server
A challenge password []:abcd1234
An optional company name []:eryin.com
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
4、生成Client Key
#./build-key client1
Organizational Unit Name (eg, section) []:eryin.com
Common Name (eg, your name or your server's hostname) []:client1
A challenge password []:abcd1234
An optional company name []:eryin.com
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
依次类推生成其他客户端证书/key
#./build-key client2
#./build-key client3
5、生成 Diffie Hellman 参数
#./build-dh
四、创建服务器端和客户端配置文件
1、创建服务器端配置文件
#vi /usr/local/etc/server.conf
写道
local VPS的IP地址
port 1194
proto udpdev tunca /opt/software/openvpn-2.0.9/easy-rsa/keys/ca.crt
cert /opt/software/openvpn-2.0.9/easy-rsa/keys/server.crt
key /opt/software/openvpn-2.0.9/easy-rsa/keys/server.key
dh /opt/software/openvpn-2.0.9/easy-rsa/keys/dh1024.pem
port 1194
proto udpdev tunca /opt/software/openvpn-2.0.9/easy-rsa/keys/ca.crt
cert /opt/software/openvpn-2.0.9/easy-rsa/keys/server.crt
key /opt/software/openvpn-2.0.9/easy-rsa/keys/server.key
dh /opt/software/openvpn-2.0.9/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /opt/software//openvpn-2.0.5/easy-rsa/keys/openvpn-status.log
verb 4
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DNS 4.2.2.1"
push "dhcp-option DNS 4.2.2.2"
2、创建客户端配置文件
#vi /usr/local/etc/client.ovpn
写道
clientdev tun
proto udpremote VPS的IP地址 1194
proto udpremote VPS的IP地址 1194
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3
redirect-gateway def1
3、把生成的客户端的KEY和客户端配置文件下载到本地计算机
#cp /usr/local/etc/client.ovpn /opt/software/openvpn-2.0.9/easy-rsa/keys/
#tar keys.tar /opt/software/openvpn-2.0.9/easy-rsa/keys/
不管你用什么方法,下载到本地即可。
五、启动OpenVPN服务器并设置成开机自动启动
1、启动OpenVPN服务器
#/usr/local/sbin/openvpn --config /usr/local/etc/server.conf
2、将OpenVPN设置成开机自动启动
#vi /etc/rc.local
然后在最后面加入此行:
/usr/local/sbin/openvpn --config /usr/local/etc/server.conf > /dev/null 2>&1 &
六、OpenVPN 访问外网的设置
1、修改本机域名服务器
#vi /etc/resolv.conf
将文件内容修改为下面两行:
nameserver 4.2.2.1
nameserver 4.2.2.2
2、开启域名服务
如果你需要访问一些已经被伟大的GFW封掉了域名的网站,但你的 OpenVPN 服务器没有被封的话,那么你需要在你
的主机上开启 name server, 并将 dns push 给 client。
#service named start
3、修改/etc/sysctl.conf
vi /etc/sysctl.conf
做以下修改:
net.ipv4.ip_forward = 1 (如果不是1的话则改成1)
/sbin/sysctl -p (让设置生效)
4、设置iptables
#iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -j SNAT --to VPS的IP地址
#/etc/init.d/iptables save
#/etc/init.d/iptables restart
七、OpenVPN GUI For Windows 客户端安装过程
1、下载和服务器端配套的OpenVPN GUI For Windows:
http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe
2、安装:一直下一步,大家应该比我都会装吧。
3、将第四段第三步下载的Key文件解压后,放到OpenVPN GUI For Windows安装目录下的config目录,并至少要包含
以下6个文件:
ca.crt
ca.key
client1.crt
client1.csr
client1.key
client.ovpn
4、双击client.ovpn即可启动OpenVPN GUI For Windows客户端,并连接至服务器。
5、如果双击client.ovpn 没有反应,则在任务栏点 OpenVPN GUI 的小图标右键,选择 edit config,将内容复制过去再保存,然后再点右键中的 connect即可。
6、如果需要第二台机器上使用OpenVPN,进行同样的配置,只需要将 client1.crt,client1.csr,client1.key 换成对应的 client2.xxx 即可,然后将 client.ovpn 中的对应key文件值改掉。
可能会遇到的问题:
1、证书签名如果遇到下面的问题,可以清空index.txt文件内容后正常生成
Certificate is to be certified until Oct 16 05:51:39 2021 GMT (3650 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
来源:http://blog.chinaunix.net/space.php?uid=22703187&do=blog&id=2117513