Tuesday, May 23, 2017

搬瓦工:$18.8/年KVM-512MB/10G SSD/500GB 洛杉矶MC&QN

搬瓦工是大家比较熟知的一家国外VPS服务商,支持支付宝付款,隶属于IT7公司旗下,商家KVM已经全面铺货,除了提供了多套餐可选外,也扩展到包括洛杉矶QN、MC、弗里蒙特、荷兰、加拿大和纽约等多个数据中心,最低仅18.8美元/年

CPU:1core
内存:512MB
硬盘:10GB SSD
流量:500GB/1Gbps
架构:KVM
IP/面板:1IPv4/KiwiVM
价格:$18.8/年购买链接

优惠码:BWH1ZBPVK

购买后可以使用http://ift.tt/2rLeo2n



via iGFW http://ift.tt/2rclm3s

Sunday, May 21, 2017

XX-Net v3.3.2

Fix bug

  • Update Windows Python to 2.7.13
  • Update good_ipv6.txt

Downloads

原文:http://ift.tt/2rFxAO5




via 细节的力量 http://ift.tt/2rFtHZB

Shadowsocks视窗版客户端(v4.0.2)

  • ix legacy key derivation
  • Bug fixes and improvements

If you encounter any issue, please refer to http://ift.tt/2aSbS3K.

如果遇到任何问题,请首先参考http://ift.tt/2aSbS3K


Info of Shadowsocks.exe

  • MD5: FFBF9923081EF0167523EB35C2D85F15
  • SHA-1: 2BFEF2025DB3695215C3F6CD8071FEFD471249A2
  • SHA-256: A3F6609BE3963BCF3B25C0A25CCE3D6C881B8EBBFB847A1A9258BFF76BED9C74
  • SHA-512: 6F30A25BC708EDD044F937A818F996054F63BD96BDFF95A940685A0DDD52738EE0542C45D49B7D2EA53D611D92B082E340605BC888145EEF2EED60D866841E58

Downloads

原文:http://ift.tt/2rEySd8




via 细节的力量 http://ift.tt/2rEILXZ

Shadowsocks安卓版客户端(v4.1.7)

Bug fixes for Android 4.4.

Downloads

原文:http://ift.tt/1DkQKsN




via 细节的力量 http://ift.tt/2r5jV6Q

自由门7.61版(5月12日)

自由门7.61版增强突破封锁能力。欢迎大家继续反馈。

如果不能使用,请上传反馈信息。谢谢。

专业版:
http://ift.tt/2r5kRIp
http://ift.tt/2rEh5T2

原文:http://ift.tt/2r5deBH




via 细节的力量 http://ift.tt/2r5skar

Friday, May 12, 2017

2017 夏日反审查武库大阅兵

一哥. GoProxy 狗鞭…雄起!
http://ift.tt/1V3ymie
社长威武!

二哥. 纸飞机 Shadowsocks 秀才变流氓, 好!
http://ift.tt/1ICwZ6y
稳定的免费节点很难搞, 申请注册签到g组q群…哎呀呀

三哥. 赛风 Psiphon 突然就嗨高了
http://ift.tt/29zbmsq

基友
Klephon 印尼改版, 连接旧节点, 还有优势, 无需更新.
http://ift.tt/2puve8b

四弟SSH
节点 印尼最新白金免费SSH #1413

Bitvise SSH Client
http://ift.tt/1IDNHOY

基友
Putty/Myentunnel
ssh服务器支持Bvssh/putty不同, 最好同备. 有些节点Bvssh表现平平, 但putty就饱满.

◇五妹 帽架 [自选一种即可], 没有五妹, 哥哥们统统阳痿早泄, 那是迟早的事!

SocksCap64 简明, 适合初学.
http://ift.tt/2qfdQBj
needfreedom 大大简明教程
#1256

ProxyCap 破解有诀窍
http://ift.tt/1kfv4lX

Proxifier
http://ift.tt/2jqbxLi
并不是越新版越好, 波斯翻墙武库 #372, 这才是行家的仓库.

六.洋葱 Tor Browser
http://ift.tt/gNJyfZ
同样的, socks前置今年很多. 网桥现在不如去年春天.
行家是玩socks4前置的, 洋葱对袜4的支持一直都更好. 节点同时支持Socks4/Socks5, 选袜4.

七. 无名 JonDo
http://ift.tt/2putCLD
现在是5个免费服务器, 限速100kb. 国内只能用socks5前置.

洋葱, 无名 匿名玩具, 玩飞跃破墙, 实在浪费.



VPS 方案
社长钦点 ipsec VPN(psk 模式)
http://ift.tt/1XKrHez

突厥 史翠珊 Streisand
http://ift.tt/1z9wiZZ
自动化安装脚本, 同时生成客户端配置文件.
L2TP/IPsec, OpenConnect, OpenSSH, OpenVPN, Shadowsocks, sslh, Stunnel, a Tor bridge, and WireGuard.



08 狗蛋 GoGo tunnel
http://ift.tt/1JY6l9E
现在是狗族火锅城, SNI, solo… 凡是异类狗娘, 统统用上, 适合故意包不同人士

09.Ultrasurf+Freegate 老不死, 戴帽子
http://ift.tt/Hod6B6
基友
http://ift.tt/1ASznQs
国外也很有名的, 需要帽子前置, 速度相当饱满.
Freegate只能用部分亚洲前置, 像俄国或欧洲的, 这厮就要”肥水不留外人田”了.

10.绕行 Alkasir 仅支持Chromium类浏览器
http://ift.tt/2i1leyC

11.蓝灯 lantern
Kisesy 大大 蓝灯 ​v2 典藏版 #1411
有些线路飞快, 即使用光免费流量,

有些蜗牛, 使用中国ip的袜子正好, 因为大多数ip是中国, 主机在香港.
只有极个别真是中国佬的玩意, 像180.153.87.22:10080 上海电信.
国人其实是铁公鸡,美称君子. :)

12.SoftEther VPN Client + VPN Gate Client v4.22-9634
http://ift.tt/2qfdNW2
日本鬼才, 日本一直支持中国进步, 从康梁, 孙文, 到6.4…
虽然也殴打过”中国”这废柴, 这才是真兄弟.

来源:http://ift.tt/2puMU3m



via iGFW http://ift.tt/2qfdSsV

Thursday, May 11, 2017

告別 Flash Player,讓優酷 Youku 使用 HTML5 播放器速度更快更安全

台灣使用者對於影片平台 YouTube 應該相當熟悉,通常有在追劇的朋友也會連到中國影音平台找影片,相較之下選擇更多,不過礙於區域版權限制也不是都可在海外瀏覽,但有一些在網路上比較難找到的影音資源通常都能在中國的影音網站找到,就我所知,台灣還是有不少人會在中國影音平台看影片,特別是這幾年中國的綜藝節目逐漸在海外打開知名度。

 如果你有注意,YouTube 兩年前就已經捨棄原有 Flash Player 改採新的 HTML5 播放器,並且以 HTML5 播放器作為預設播放選項。因為 Flash 技術已經過時且有可能潛藏安全問題(最近在某大型論壇上就有駭客以 Flash 更新檔偽裝來散播勒索病毒) ,只是其它影音平台似乎還沒完全跟進,雖然將電腦裡的 Flash Player 移除更為安全,實際上可能會有很多服務因此無法使用。

Youku HTML5 Player

例如知名的中國影音平台優酷(Youku)就仍在使用 Flash 播放器,假如你電腦裡沒有 Flash Player 還會無法播放影片。

近期有開發者針對優酷推出一款免費瀏覽器外掛「Youku HTML5 Player」,安裝後就能將優酷的預設播放器改成 HTML5 播放器,支援 Google Chrome 及 Firefox,同時也在 GitHub 開放原始碼。這項工具採用 ABPlayer 和 flv.js,除了有更快、更安全的播放環境外,電腦裡沒有 Flash Player 亦能播放優酷影音內容。

擴充功能資訊

元件名稱:Youku HTML5 Player
適用平台:Chrome、Firefox
程式語系:中文
官方網站:http://ift.tt/2pkYObV
安裝頁面:Chrome | Firefox

使用教學

STEP 1

從上方找到對應的 Google Chrome、Firefox 外掛下載,或者 GitHub 頁面最下方也會列出外掛鏈結,例如下圖是我使用 Google 瀏覽器安裝 Youku HTML5 Player 畫面,點擊右上角「加到 Chrome」即可安裝。

Youku HTML5 Player

安裝後右上角圖示列會多一個 Youku HTML5 Player 圖案,目前沒有功能。

Youku HTML5 Player

STEP 2

安裝後重新整理網頁,開啟優酷 Youku 後就會使用 HTML5 播放器,整體看起來風格都和網站很搭,重點是載入速度方面好像比原有的 Flash 播放器來得更快。

Youku HTML5 Player

STEP 3

在播放器上點選滑鼠右鍵,HTML5 播放器可以調整「播放速度」,例如降速、加快 1.5 倍、2 倍等等。

Youku HTML5 Player

和 YouTube 一樣在 HTML5 播放模式下可以「顯示統計資訊」,例如播放器尺寸、解析度、格式和緩衝及下載速度等等都會有記錄能查詢參考,不過對一般使用者來說應該不太會用到。

Youku HTML5 Player

假如你平常會在優酷 Youku 上面看影片的話,不妨安裝這個外掛,徹底跟 Flash Player 告別吧!



via iGFW http://ift.tt/2r69bkx

Tuesday, May 9, 2017

为何 shadowsocks 要弃用一次性验证 (OTA)

前些天,shadowsocks 提出了 SIP004 草案,旨在使用 AEAD 算法 取代原先的不安全的 流加密 + OTA,并弃用了一次性验证 (OTA)。

新协议的提出对于 shadowsocks 是一个非常非常重大的改进,因此我写了这篇博文为看不懂洋文的友们科普一下「为什么 OTA 会被这么快被弃用」以及「为什么应该使用新协议」。

一、OTA 是什么

OTA(One Time Auth,一次性验证),是之前 shadowsocks 为了增强安全性,抵抗 CCA(Chosen-ciphertext Attack,选择密文攻击)而加入的实验性功能。

我觉得应该很多人都听过这玩意 —— 就算不知道 OTA 是啥好歹也在 shadowsocks 各分支的客户端上看到过「一次性验证」的开关吧?虽然这个名字确实起得有点让人不明所以就是了(笑)。

那么下面我来科普下当初为什么要加入 OTA 功能。

二、原协议的弱点

原 shadowsocks 协议的这个漏洞其实早在 2015 年就被 @breakwa11 提出了。当时正值 @clowwindy 被喝茶之际,此 issue 下闹得沸沸扬扬撕逼不断,过了好一段时间后才开始有正经的技术讨论。

如果你想要了解一下当时的情况可以去看看 这个 issue,我这里简略概括一下当时提出的漏洞。

2.1 shadowsocks 协议

原 shadowsocks 协议 的 TCP 握手包(加密后)的格式是这样的:

+-------+----------+
|  IV   | Payload  |
+-------+----------+
| Fixed | Variable |
+-------+----------+

其中的 IV(Initialization Vector, 初始化向量)是使用随机数生成器生成的一个固定长度的输入值。通过引入 IV 能够使相同的明文和相同的密钥产生不同的密文,让攻击者难以对同一把密钥的密文进行破解。

shadowsocks 服务端会用这个 IV 和 pre-shared key(预共享密钥,通常是用户设置的密码)来解密 TCP 数据包中的 payload

解密后的内容格式如下:

+--------------+---------------------+------------------+----------+
| Address Type | Destination Address | Destination Port |   Data   |
+--------------+---------------------+------------------+----------+
|      1       |       Variable      |         2        | Variable |
+--------------+---------------------+------------------+----------+

其中 Address Type (ATYP) 是地址类型,占一个字节,有三个可能的取值:010304,分别对应 IPv4hostnameIPv6 类型的地址。这些都是 RFC1928 中定义的标准,有兴趣可以去看看。

握手完成后 shadowsocks 中继就会工作在流模式下,后续的所有 TCP 数据包不会再带上 IV,而是使用握手时协商的那个 IV

说完了原 shadowsocks 协议的内容,下面说说该协议的不足之处。

2.2 原协议的缺陷

正如上表所示,原始 shadowsocks 协议 TCP 握手包中的 IV 字段是 Fixed(定长)的。不同的加密算法 IV 长度不同,对于 rc4-md5 和 aes 系列等常用算法,这个长度是 16 字节。各加密算法的详细信息可以在 官方文档 – Cipher 查看。

而服务端为了判断数据是否有效,会检查数据包中表示地址信息的那个字节,看它是不是上面提到的三个可能取值。如果是,就尝试解析后面的地址和端口进行连接;如果不是,立即断开连接。

正是 shadowsocks 服务器的这个行为使得主动探测成为可能。

2.2.1 主动探测的原理

该方法由 @breakwa11 提供

一般来讲,「表示地址类型的那个字节」是被加密后发送的,所以第三方无法精确的修改它。但是不巧的是,shadowsocks 所有的加密方式都是 stream cipher流加密),而这种加密方式的特点就是「明文数据流与密钥数据流一一对应」

通俗地讲,即对应修改了某个位置的密文(根据加密模式的不同,可能影响到后面其他密文块的解密,也可能影响不到,但在这里这个性质并不重要),如果预先知道了明文的模式,虽然无法解密还原出内容,但可以修改密文中的特定字节,起到修改解密后的明文的效果。

根据流加密的这个特性,坏东西们就可以通过伪造 TCP 数据包来主动探测 shadowsocks 服务器了。攻击者只要暴力尝试修改加密后的数据包中 IV 之后紧接着的那个字节(如果使用的加密算法 IV 长度为 16 字节,那么就修改第 17 个字节),穷举 2^8 = 256 种可能性,如果被测试的服务器有一种到三种情况下没有立即关闭连接,就可以判断出这台机子的这个端口开放的是 shadowsocks 服务。

或许这种主动探测方法正在被 GFW 大规模应用,谁知道呢?你正在使用的原版 shadowsocks 代理随时有可能被封锁。

2.2.2 防范主动探测

经过讨论后上述漏洞被证明是 确实存在 的,所以现在大部分的 shadowsocks 分支都已经加入了针对这种探测方法的对抗措施(e.g. shadowsocks-libev v2.5.5+),即「随机超时抵抗」而不是立即断开连接,配合自动黑名单等机制可以有效减少被探测到的风险。

但是这种方法总归不是长久之计,要怎么办呢? 

三、OTA 闪亮登场

上述情况下主动探测能够得逞的原因是服务器没有对收到的数据包进行校验,随便哪个阿猫阿狗发来的数据包,不管有没有被恶意篡改过,原来的 shadowsocks 服务器都会做出同样的反应。

这时 @madeye(现在的 shadowsocks 维护者)提出了 One Time Auth 即「一次性验证」的提案,给原 shadowsocks 协议加上了数据包验证。

3.1 OTA 协议

开启了 OTA 后的 shadowsocks 握手包(加密前)是这样的:

+------+---------------------+------------------+-----------+
| ATYP | Destination Address | Destination Port | HMAC-SHA1 |
+------+---------------------+------------------+-----------+
|  1   |       Variable      |         2        |    10     |
+------+---------------------+------------------+-----------+

可以看到它添加了一个 HMAC-SHA1 字段,这个字段是将除了 DATA 通过 HMAC-SHA1 算法(以 IV + PSK 作为 key)生成的。并且数据包头部的 ATYP 添加了一个标志位用于指示 OTA 是否开启(ATYP & 0x10 == 0x10)。

+----------+-----------+----------+----
| DATA.LEN | HMAC-SHA1 |   DATA   | ...
+----------+-----------+----------+----
|     2    |     10    | Variable | ...
+----------+-----------+----------+----

握手完成后,接下来的 TCP 数据包均在原始协议的包上添加了 DATA.LEN(包长度)和 HMAC-SHA1 字段。这样,服务器就可以对数据包进行完整性校验,也就可以识别出被篡改过的数据包了。

3.2 OTA 的缺陷

OTA 增强了安全性,可以防范 CCA,也解决了原版协议数据包容易被篡改的问题,听起来很美好,不是吗?

但是,对于这个协议的实现,shadowsocks-libev 及其它大部分分支均假定第一个数据包必须包含整个带了 SHA1-MAC 的头部,否则断开连接。

OK,又一个可以通过服务器行为进行主动探测的地方。不过这种主动探测也可以通过上面提到的「随机超时抵抗」来进行防范,真正可怕的在下面:

该方法由 @breakwa11 提供

还记得我们上面提到的 stream cipher(流加密)的特点吗?攻击者可是使用同样的套路修改数据包中的 DATA.LEN 字段,然后通过观察服务器的反应来判断这是否是一个 shadowsocks 服务器。

举个栗子,如果攻击者恶意构造 DATA.LEN 的高位字节密文,使得解密后 DATA.LEN 的数值变得特别大(但是后面的 DATA 的大小并没有改变),shadowsocks 服务器就会继续等待那些实际上并不存在的数据传输完成直到超时。因此只要在发送恶意数据包后观察服务器是不是「不会断开连接且至少等待 1 分钟无任何数据包」即可确定该服务器是否开启了 shadowsocks 服务。

没错,这样的检测方法比检测原版协议还要神不知鬼不觉,甚至不会在服务端留下任何可疑的痕迹。OTA 当初是为了给原版协议的流加密加上一个认证以增强安全性,殊不知这带来了更大的隐患,这也是为什么 shadowsocks-org 要急急忙忙弃用 OTA 的原因。

四、新协议 AEAD

4.1 之前协议的缺陷汇总分析

原版 shadowsocks 协议最大的缺陷就是未对数据包完整性进行校验,再加上流加密的特点,导致了攻击者可以通过穷举的方式修改密文进行基于服务器行为的主动探测。

OTA 协议虽然通过在数据包尾部附上 HMAC-SHA1 字段对 DATA 的完整性进行了验证,但是包首部的 DATA.LEN 用于计算偏移的指示 DATA 长度的字段并没有经过验证。这导致了攻击者可以通过构建高位的 DATA.LEN 密文进行更隐蔽的主动探测。

因此,在这次新协议草案的讨论过程中参照了 shadowsocksR 协议的一个重要改进 —— 对 DATA.LEN 进行单独校验,参见:ShadowsocksR 协议插件文档

4.2 AEAD 是啥

在通常的密码学应用中,Confidentiality(保密)用加密实现,消息认证用 MAC(Message Authentication Code,消息验证码)实现。这两种算法的配合方式,引发了很多安全漏洞,过去曾经有 3 种方法:

  1. Encrypt-and-MAC (E&M)
  2. MAC-then-Encrypt (MtE) <- 即 OTA 的做法
  3. Encrypt-then-MAC (EtM) <- 新协议的做法

然而后来人们发现,E&M 和 MtE 都是有安全问题的,所以 2008 年起, 逐渐提出了「用一个算法在内部同时实现加密和认证」的 idea,称为 AEAD (Authenticated Encryption with Associated Data)。在 AEAD 这种概念里,cipher + MAC 的模式被一个 AEAD 算法替换。

使用了 AEAD 算法的新协议本质上就是更完善的 stream cipher + authentication,虽然它依然使用的是流加密,但是通过更完善的数据包完整性验证机制杜绝了上面所述的可被篡改密文的可能性。

注:截至本文发布时新协议都是使用的 流加密 + 认证,不过 AEAD 的设计使得它能够使用块加密,因此上面说的并不是绝对的。

而为了实现认证加密(Authenticated Encryption),新协议必须要将 TCP 流分割成不同的 chunk 并分别验证。如对新协议的数据包定义有兴趣可以查阅 官方文档 – AEAD,本文不再深入。

4.3 新协议支持的 AEAD 算法

目前 shadowsocks-libev 已经支持 如下的 AEAD 算法,其他分支也正在跟进中:

  • AES-128-GCM
  • AES-192-GCM
  • AES-256-GCM
  • ChaCha20-IETF-Poly1305
  • XChaCha20-IETF-Poly1305

这些新的加密算法本质上就是 流加密 + 验证,原先的其他单纯的流加密算法均不适用于新协议。

4.4 新协议的优缺点

使用了 AEAD 算法的新协议能够解决上面描述的 Original/OTA 协议的所有问题,可以有效防范 CCA 和中间人攻击,减少被主动探测的风险。我能想到的唯一的缺点大概就是性能了,但是它又能影响多少呢?Benchmark 参考在 这里

shadowsocks 原本就不是为「加速网络」而生的项目,它的初衷是「突破网络审查并提供安全的加密访问」。是继续使用很可能会被 GFW 封锁的原协议呢,还是选择使用更安全的新协议呢,相信各位看官心中自有定夺 

五、写在后面

写这篇文章之前我对密码学的了解也就是一点皮毛程度而已,所以这篇文章也是我边查资料边写出来的。为了不让自己误人子弟,我非常谨慎查阅了相关资料并向他人请教(衷心感谢 @breakwa11 和 @madeye 对本文的审阅和提出的建议!)

但是所谓「金无足赤,人无完人」,如果文章中仍有什么错误的地方,欢迎在下方评论区批评指正。

大家都不容易,谨以此文敦促 shadowsocks 用户 / 开发者们尽快使用 / 支持新协议。

六、参考链接

来源:http://ift.tt/2kzlVx3

目前shadowsocks服务器端shadowsocks-libevgo-shadowsocks2shadowsocks-perl等版本都已经支持AEAD了,客户端的shadowsocks-windowsShadowsocksX-NGshadowsocks-androidShadowrocketPotatso2Cross等应用都已经支持AEAD了。



via iGFW http://ift.tt/2pqmOtw

Sunday, May 7, 2017

Shadowsocks安卓版客户端(v4.0.1)

  • Fix UDP relay
  • Allow to add multiple servers via Shadowsocks URL
  • Bug fixes and improvements

If you encounter any issue, please refer to http://ift.tt/2aSbS3K.

如果遇到任何问题,请首先参考http://ift.tt/2aSbS3K


Info of Shadowsocks.exe

  • MD5: 40072E322ED96E70D975F512579BD77A
  • SHA-1: 88B71B27A0E541005312C3047E757541924B27B4
  • SHA-256: F02549D525246252199201A281C46E8861839814BD97247E0BCF3DD8ECD7D238
  • SHA-512: 2EA3BB4B51A4B47C05BC87BB01B58D67512D1DEAF52B118B4C4B01F9752BBB96992838FF0D42BD5728B1F5EA881D15FF56F4807607CAE40A0A64D999D14D608F

Downloads

原文:http://ift.tt/2p99RsR




via 细节的力量 http://ift.tt/2p9lShM

Shadowsocks安卓版客户端(v4.1.6)

Minor bug fixes.

Downloads

原文:http://ift.tt/2pna6MZ




via 细节的力量 http://ift.tt/2pn6yuf

Thursday, May 4, 2017

搭建利用obfs4混淆的Tor bridge的过程

Tor的目的在其匿名性,众所周知,如果我们想连接到Tor网络可能需要一个网桥,一般的网桥还不行,因为会被检测到Tor流量,ip直接被ban掉,当我还知之甚少的时候,一个VPS的ip就被某知名防火墙封禁了3天,当然恢复后,这个ip也不好再用了。

Tor的节点分为三种

1.作为出口节点,Exit Nodes。出口节点实际上是暴露于互联网的,相当于最后真正去访问站点的那个人。

2.在Tor directory中列出的中继节点,叫Tor Relay。IP很可能被检测到,很可能被屏蔽。

3.在Tor directory中不列出的中继节点,叫Bridges Relay,也就是我们这篇文章重点介绍的节点。它可以帮助你绕过网络运营商对于Tor的封锁。

混淆插件

在过去的几年中,审查者开始可以屏蔽即使使用了Bridges的Tor clients。故,在严格审查的环境下,我们应该使用混淆插件进行规避,比如meek,比如obfs4,在这里,将着重介绍如何使用obfs4。

VPS对于Tor的支持

并非所有VPS商都允许使用Tor,所以应该事先了解政策支持情况,下面表格列出了常用的VPS支持情况:

VPS Bridges Relay Exit
DigitalOcean YES YES NO
Vultr YES YES NO
Linode YES YES Ambiguous

获取更多信息,可以参考支持/禁封列表

本文以Ubuntu Xenial Xerus 和 Centos 7 为例

Ubuntu Xenial Xerus

1.下载并安装Tor

sources.list中添加源:

deb http://ift.tt/oEZMpj xenial main
deb-src http://ift.tt/oEZMpj xenial main

添加gpg key:

gpg --keyserver keys.gnupg.net --recv A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add -

安装tor:

apt-get update
apt-get install tor deb.torproject.org-keyring

2.下载并安装obfs4

sources.list添加源:

deb http://ift.tt/oEZMpj obfs4proxy main

安装

apt-get update && apt-get install obfs4proxy

3.配置Tor Bridges

首先,确认服务器上的时钟日期是正确的。

然后编辑/etc/tor/torrc,定义一个ORPort,不作为出口节点,设置成Bridge:

Log notice file /var/log/tor/notices.log
RunAsDaemon 1
ORPort 443  
Exitpolicy reject *:*  
BridgeRelay 1
ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy
ExtORPort auto
PublishServerDescriptor 0

重启Tor服务:

service tor restart

4.使用网桥

查看日志文件tail -F /var/log/tor/notices.log,当看到有类似的输出,证明很成功:

[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:443 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent.

记住obfs4监听的地址。并且还能找到你的server identity fingerprintt,也复制下来

/var/lib/tor/pt_state/obfs4_bridgeline.txt文件中可以看到类似如下的内容:

Bridge obfs4 <IP ADDRESS>:<PORT> <FINGERPRINT> cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0

把Bridge去了,ip换了,端口写对了,fingerprint粘贴了,之后,把这行复制即可,这个,就是你的网桥了。愉快使用吧。

Centos 7

1.下载并安装Tor

安装tor:

yum install tor -y

2.编译安装obfs4

安装所需软件:

yum install git mercurial golang -y

开始安装obfs4proxy:

export GOPATH=`mktemp -d`
go get http://ift.tt/2hc0ODx
cp $GOPATH/bin/obfs4proxy /usr/local/bin/

3.配置Tor Bridges

首先,确认服务器上的时钟日期是正确的。

然后编辑/etc/tor/torrc,定义一个ORPort,不作为出口节点,设置成Bridge:

Log notice file /var/log/tor/notices.log
RunAsDaemon 1
ORPort 443  
Exitpolicy reject *:*  
BridgeRelay 1
ServerTransportPlugin obfs4 exec /usr/local/bin/obfs4proxy
ExtORPort auto
PublishServerDescriptor 0

重启Tor服务:

service tor restart

4.使用网桥

查看日志文件tail -F /var/log/tor/notices.log,当看到有类似的输出,证明很成功:

[notice] Registered server transport 'obfs4' at '[::]:46396'
[notice] Tor has successfully opened a circuit. Looks like client functionality is working.
[notice] Bootstrapped 100%: Done
[notice] Now checking whether ORPort <redacted>:443 is reachable... (this may take up to 20 minutes -- look for log messages indicating success)
[notice] Self-testing indicates your ORPort is reachable from the outside. Excellent.

记住obfs4监听的地址。并且还能找到你的server identity fingerprint,也复制下来

/var/lib/tor/pt_state/obfs4_bridgeline.txt文件中可以看到类似如下的内容:

Bridge obfs4 <IP ADDRESS>:<PORT> <FINGERPRINT> cert=6LMNcXh6MIfApbZiMksnS4Kj+2sffZ5pybSqtcOO5YoHgfrMpkBJqvLxhuR2Ppau0L2seg iatmode=0

把Bridge去了,ip换了,端口写对了,fingerprint粘贴了,之后,把这行复制即可,这个,就是你的网桥了。

另外还需要注意对防火墙的配置:

vi /etc/firewalld/zones/public.xml

添加如下行:

<port protocol="tcp" port="ORPort端口"/>
<port protocol="udp" port="ORPort端口"/>
<port protocol="tcp" port="obfs4端口"/>
<port protocol="udp" port="obfs4端口"/>

使新规则生效:

firewall-cmd --complete-reload

至此,网桥可以使用。
来源:http://ift.tt/2pBK5MA



via iGFW http://ift.tt/2qIzih6