关于OpenVPN和IPV6 udp patch
OpenVPN在数年之前就有过讨论是否添加对IPv6的支持,但终没有被加入到特性中,只有juanjo开发了一个udp6补丁。juanjo现在受聘于Google并且将此作为他的“20% project”。
在这里已经可以看到代码和编译好的binary。目前已经支持windows平台,debian sid的openvpn已经整合了这个补丁,也就是说Debian SID里面的OpenVPN已经能够实现IPV6 udp了,而ubuntu,自然也是支持了,如果你的ubuntu版本太老 可以试试这个PPA。
自己去弄始终是太麻烦 虽然window[......]
这个是老漏洞的新代码
注入者需要访问一次“/api/manyou/my.php” 可以根据这个特征进行查找
[bash]cat OOXX.access.log |grep '/api/manyou/my.php' |grep -v "myop/1.0"[/bash]
123.119.143.232 - - [03/Jun/2011:08:44:53 +0800] "POST /api/manyou/my.php HTTP/1.0" 200 150 "-" "-" "-"
180.126.47.28 - - [03/Jun/2011:12:30:12 +0800][......]
长期使用Nginx的后果就是,Apache都不会用了。
Nginx启用目录的HTTP验证非常简单:
auth_basic "DD-WRT-Wireless-Access";
auth_basic_user_file pass.txt;
甚至可以直接在Server配置节里面指定。
要关闭某个目录的验证 也很简单
location ~* /route\/? {
auth_basic off;
index index.html index.htm index.php;
}
Apache可以用Satisfy来实现(当然Nginx也支持satisfy)
Sa[......]
Radiusplugin作者说 这个选项能提高性能(Link1 Link2)姑且听之
Can you set "useauthcontrolfile=true" in your plugin config (if you use
OpenVPN 2.1), it will increase the performance and also change the way users
are handled. The auth control files are written by default to the OpenVPN
configuration directory, t[......]
虽然有openvpn-web-gui这样的基于证书的web用户管理系统,但是哦我们有了radius以后 就不需要他了 这个时候 ,控制用户断线什么的 就靠OpenVPN的Management Interface就可以了。
在Linux/Windows下面 有这样一个GUI 叫openvpn-control 不过最近的一次版本已经很久没更新了 可以方便的踢人 或者通过SSH端口转发的方式(需要Putty)连接到远程机器上进行管理
此外 还有一个用Python写的 依赖于Apache libapache2-mod-python的CGI程序OpenVP[......]
在搭建openVPN With Radius的时候 遇到了一个问题 客户端点击reconnect或者disconnect再connect以后 总是不能连上 看OpenVPN的Status log和radius的online User 用户会一直在线 ,查看openVPN的log,发现直到keepalive的时间到,ping超时的时候 OpenVPN才会认为你下线了。
这样的话 在Simultaneous-Use := 1的情况下 用户就没法链接上。
经过询@yegle 指出是客户端的explicit-exit-notify未设置 查看man手册 找到如下解释
--explicit-exi[......]
[bash]apt-get install freeradius freeradius-mysql
cd /etc/freeradius/
#启用sql.conf
sed -ie 's/^[ \t]#\$INCLUDE sql.conf$/\$INCLUDE sql.conf/' radiusd.conf
#取消sites-available/default每个SQL前面的注释
sed -ie 's/^#[ \t]sql$/sql/' sites-available/default[/bash]
此外 还需要取消sites-availa[......]
--reneg-sec n
Renegotiate data channel key after n seconds (default=3600).
When using dual-factor authentication, note that this default value may cause the end user to be challenged to reauthorize once per hour.Also, keep in mind that this option can be used on both the client and server, and[......]
From:http://nginx.org/en/docs/http/configuring_https_servers.html#single_http_https_server
It is good practice to configure separate servers for HTTP and HTTPS protocols from the very start. Although their functionalities currently seem equal, this may change significantly in the future and using a[......]
以源地址为10.0.0.0/8 目的地址为211.65.64.43的访问为例为例 把目标地址的80,443,44449访问全部转向219.230.144.XXX:80的80端口
[bash]iptables -A PREROUTING -p tcp -m tcp -j DNAT -s 10.0.0.0/8 -d 211.65.64.43 --match multiport --dports 80,443,44449 --to-destination 219.230.144.XXX:80 -t nat[/bash]
或者劫持他的某个端口范围
[bash]iptables -A PREROU[......]