admin

iptables ss 透明代理配置

Posted on 2021年12月22日2021年12月22日 by admin

iptables 根据 ipset 自动翻墙配置，直接上配置脚本

#!/bin/bash
# 清理
iptables -t nat -F SS > /dev/null 2&>1
iptables -t nat -D OUTPUT -j SS > /dev/null 2&>1
iptables -t nat -D PREROUTING -j SS > /dev/null 2&>1
iptables -t nat -X SS > /dev/null 2&>1
ipset -X cnip
# 创建 ipset
ipset -N cnip nethash
cat ip_cn.txt | while read line; do 
ipset add cnip $line
done
# 创建 iptables 规则
iptables -t nat -N SS
iptables -t nat -A OUTPUT -j SS
iptables -t nat -A PREROUTING -j SS
iptables -t nat -A SS -d 224.0.0.0/4 -j RETURN
iptables -t nat -A SS -d 240.0.0.0/4 -j RETURN
iptables -t nat -A SS -d 0.0.0.0/8  -j RETURN
iptables -t nat -A SS -d 169.254.0.0/16  -j RETURN
iptables -t nat -A SS -d 0.0.0.0/254.0.0.0  -j RETURN
iptables -t nat -A SS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A SS -d 172.16.0.0/12 -j RETURN
iptables -t nat -A SS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A SS -d 127.0.0.0/8 -j RETURN
iptables -A SS -t nat -m set --match-set cnip dst -j RETURN
# 8081 为 ss-redir 监听的端口
iptables -A SS -t nat -p tcp --dport 25 -j REDIRECT --to-port 8081
iptables -A SS -t nat -p tcp -d 183.136.139.10 --dport 80 -j REDIRECT --to-port 8001
iptables -A SS -t nat -p tcp -d 183.136.139.10 --dport 80 -m state --state NEW  -j REDIRECT --to-port 8002
iptables -D SS -t nat -p tcp -d 115.231.182.2 --dport 80 -j REDIRECT --to-port 8001

#!/bin/bash

# 清理

iptables -t nat -F SS > /dev/null 2&>1

iptables -t nat -D OUTPUT -j SS > /dev/null 2&>1

iptables -t nat -D PREROUTING -j SS > /dev/null 2&>1

iptables -t nat -X SS > /dev/null 2&>1

ipset -X cnip

# 创建 ipset

ipset -N cnip nethash

cat ip_cn.txt | while read line; do

ipset add cnip $line

done

# 创建 iptables 规则

iptables -t nat -N SS

iptables -t nat -A OUTPUT -j SS

iptables -t nat -A PREROUTING -j SS

iptables -t nat -A SS -d 224.0.0.0/4 -j RETURN

iptables -t nat -A SS -d 240.0.0.0/4 -j RETURN

iptables -t nat -A SS -d 0.0.0.0/8 -j RETURN

iptables -t nat -A SS -d 169.254.0.0/16 -j RETURN

iptables -t nat -A SS -d 0.0.0.0/254.0.0.0 -j RETURN

iptables -t nat -A SS -d 192.168.0.0/16 -j RETURN

iptables -t nat -A SS -d 172.16.0.0/12 -j RETURN

iptables -t nat -A SS -d 10.0.0.0/8 -j RETURN

iptables -t nat -A SS -d 127.0.0.0/8 -j RETURN

iptables -A SS -t nat -m set --match-set cnip dst -j RETURN

# 8081 为 ss-redir 监听的端口

iptables -A SS -t nat -p tcp --dport 25 -j REDIRECT --to-port 8081

iptables -A SS -t nat -p tcp -d 183.136.139.10 --dport 80 -j REDIRECT --to-port 8001

iptables -A SS -t nat -p tcp -d 183.136.139.10 --dport 80 -m state --state NEW -j REDIRECT --to-port 8002

iptables -D SS -t nat -p tcp -d 115.231.182.2 --dport 80 -j REDIRECT --to-port 8001

常用的iptables配置

Posted on 2021年12月22日2022年5月21日 by admin

当防火墙snat上网

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to 121.201.111.22
# NAT
iptables -t nat -I POSTROUTING -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to 121.201.111.22

# NAT

iptables -t nat -I POSTROUTING -j MASQUERADE

# 以下端口映射，可以显示客户的真实IP

iptables -t nat -I PREROUTING -d 12.20.11.22 -p tcp --dport 3151 -j DNAT --to-destination 192.168.122.151:3389
iptables -t nat -I POSTROUTING -o eth0 -s 192.168.10.210 -p tcp --sport 80 -j SNAT --to-source 12.20.11.22:80
iptables -t nat -I PREROUTING -d 12.20.11.22 -p tcp --dport 443 -j DNAT --to-destination 192.168.10.210:443
iptables -t nat -I POSTROUTING -o eth0 -s 192.168.10.210 -p tcp --sport 443 -j SNAT --to-source 12.20.11.22:443
iptables -t nat -I PREROUTING -d 192.168.134.2 -j DNAT --to-destination 192.168.10.146
iptables -t nat -I POSTROUTING -s 192.168.10.146 -j SNAT --to-source 192.168.10.1
iptables -t nat -I POSTROUTING -s 192.168.10.146 -j SNAT --to-source 10.10.10.2
iptables -t nat -I POSTROUTING -s 192.168.11.2 -p tcp --sport 443 -j SNAT --to-source 12.20.11.22:1443
iptables -t nat -I POSTROUTING -s 192.168.122.151 -j SNAT --to 121.201.111.38
iptables -t nat -A POSTROUTING -s 192.168.10.141 -j SNAT --to 121.201.111.26

iptables -t nat -I PREROUTING -d 12.20.11.22 -p tcp --dport 3151 -j DNAT --to-destination 192.168.122.151:3389

iptables -t nat -I POSTROUTING -o eth0 -s 192.168.10.210 -p tcp --sport 80 -j SNAT --to-source 12.20.11.22:80

iptables -t nat -I PREROUTING -d 12.20.11.22 -p tcp --dport 443 -j DNAT --to-destination 192.168.10.210:443

iptables -t nat -I POSTROUTING -o eth0 -s 192.168.10.210 -p tcp --sport 443 -j SNAT --to-source 12.20.11.22:443

iptables -t nat -I PREROUTING -d 192.168.134.2 -j DNAT --to-destination 192.168.10.146

iptables -t nat -I POSTROUTING -s 192.168.10.146 -j SNAT --to-source 192.168.10.1

iptables -t nat -I POSTROUTING -s 192.168.10.146 -j SNAT --to-source 10.10.10.2

iptables -t nat -I POSTROUTING -s 192.168.11.2 -p tcp --sport 443 -j SNAT --to-source 12.20.11.22:1443

iptables -t nat -I POSTROUTING -s 192.168.122.151 -j SNAT --to 121.201.111.38

iptables -t nat -A POSTROUTING -s 192.168.10.141 -j SNAT --to 121.201.111.26

# socks 代理做透明代理

iptables -t nat -N SOCKS
iptables -t nat -A SOCKS -p tcp --dport 80,443 -j REDIRECT --to-ports 1080
iptables -t nat -A SOCKS -p tcp -s 192.168.10.128 -j REDIRECT --to-ports 10128
iptables -t nat -A SOCKS -p tcp -s 192.168.10.133 -j REDIRECT --to-ports 10133
iptables -t nat -A OUTPUT -p tcp -j SOCKS
iptables -t nat -I PREROUTING -p tcp -j SOCKS
iptables -t nat -A SOCKS -p tcp --dport 80 -j REDIRECT --to-port 8484
iptables -t nat -I PREROUTING -p tcp --dport 3001:3240 -j DNAT --to-destination 192.168.122.151:3389
iptables -t nat -I PREROUTING -p tcp --dport 3001:3240 -j DNAT --to 23.234.230.226:3001-3240
iptables -t mangle -A PREROUTING -s 172.16.1.0/24 -p tcp -m set --match-set gfwlist dst -j MARK --set-mark 20
ip rule add fwmark 20 table 20
ip route add 0.0.0.0/0 via tun0 table 20

iptables -t nat -N SOCKS

iptables -t nat -A SOCKS -p tcp --dport 80,443 -j REDIRECT --to-ports 1080

iptables -t nat -A SOCKS -p tcp -s 192.168.10.128 -j REDIRECT --to-ports 10128

iptables -t nat -A SOCKS -p tcp -s 192.168.10.133 -j REDIRECT --to-ports 10133

iptables -t nat -A OUTPUT -p tcp -j SOCKS

iptables -t nat -I PREROUTING -p tcp -j SOCKS

iptables -t nat -A SOCKS -p tcp --dport 80 -j REDIRECT --to-port 8484

iptables -t nat -I PREROUTING -p tcp --dport 3001:3240 -j DNAT --to-destination 192.168.122.151:3389

iptables -t nat -I PREROUTING -p tcp --dport 3001:3240 -j DNAT --to 23.234.230.226:3001-3240

iptables -t mangle -A PREROUTING -s 172.16.1.0/24 -p tcp -m set --match-set gfwlist dst -j MARK --set-mark 20

ip rule add fwmark 20 table 20

ip route add 0.0.0.0/0 via tun0 table 20

# sysctl 配置

echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 0 > $f ; done
echo 0 > /proc/sys/net/ipv4/route/flush

echo 1 > /proc/sys/net/ipv4/ip_forward

for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 0 > $f ; done

echo 0 > /proc/sys/net/ipv4/route/flush

根据IP地址,协议,目的IP,源IP,端口号做策略路由, 如下的 tun0 为 openvpn 连接到其他vpn服务器的网卡, 这个可以自己设置成另外的其他网卡.

/usr/sbin/iptables -t mangle -I PREROUTING -s 10.66.74.21 -p tcp -j MARK --set-mark 20
/usr/sbin/iptables -t nat -I POSTROUTING -s 10.66.74.21 -j MASQUERADE
/sbin/ip rule add fwmark 20 table 20
/sbin/ip route rep default dev tun0 table 20

/usr/sbin/iptables -t mangle -I PREROUTING -s 10.66.74.21 -p tcp -j MARK --set-mark 20

/usr/sbin/iptables -t nat -I POSTROUTING -s 10.66.74.21 -j MASQUERADE

/sbin/ip rule add fwmark 20 table 20

/sbin/ip route rep default dev tun0 table 20

以上命令, 必须要配合如下命令方可生效,具体原理我也没办法分析,反正如果不加就不行

for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > $i; done

1	for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > $i; done

十几行代码的 python ftp 服务器

Posted on 2021年12月22日2021年12月22日 by admin

有时候需要安装一个ftp服务器，看到一堆头疼的配置，崩溃，找到了一个好的项目，几十行代码就可以实现一个稳定的ftp服务器，本人已经稳定运行三年多了，分享一个代码。

#!/bin/bash
cd ~
yum install python-pip make gcc python-devel git -y
git clone https://github.com/giampaolo/pyftpdlib.git
git clone https://github.com/giampaolo/pysendfile.git
cd ~/pysendfile
python setup.py install
cd ~/pyftpdlib
python setup.py install
cd ~
mkdir -p /ftp
cat > /bin/pyftpd.py <<EOF
#!/usr/bin/env python
from pyftpdlib.handlers import FTPHandler
from pyftpdlib.servers import ThreadedFTPServer
from pyftpdlib.authorizers import DummyAuthorizer
def main():
authorizer = DummyAuthorizer()
authorizer.add_user('username', 'password', '/data/share/ftp', perm='elradfmwM')
handler = FTPHandler
# handler.masquerade_address = '151.25.42.11'
# handler.passive_ports = range(60000, 65535)
handler.authorizer = authorizer
server = ThreadedFTPServer(('', 21021), handler)
server.serve_forever()
if __name__ == "__main__":
main()
EOF
chmod +x /bin/pyftpd.py
nohup  /bin/pyftpd.py &

#!/bin/bash

cd ~

yum install python-pip make gcc python-devel git -y

git clone https://github.com/giampaolo/pyftpdlib.git

git clone https://github.com/giampaolo/pysendfile.git

cd ~/pysendfile

python setup.py install

cd ~/pyftpdlib

python setup.py install

cd ~

mkdir -p /ftp

cat > /bin/pyftpd.py <<EOF

#!/usr/bin/env python

from pyftpdlib.handlers import FTPHandler

from pyftpdlib.servers import ThreadedFTPServer

from pyftpdlib.authorizers import DummyAuthorizer

def main():

authorizer = DummyAuthorizer()

authorizer.add_user('username', 'password', '/data/share/ftp', perm='elradfmwM')

handler = FTPHandler

# handler.masquerade_address = '151.25.42.11'

# handler.passive_ports = range(60000, 65535)

handler.authorizer = authorizer

server = ThreadedFTPServer(('', 21021), handler)

server.serve_forever()

if __name__ == "__main__":

main()

EOF

chmod +x /bin/pyftpd.py

nohup /bin/pyftpd.py &

ipv6普及

Posted on 2021年12月22日 by admin

天朝的虽然墙厉害，但是墙内的带宽增长速度还是很快的，几年前的几兆带宽，现在是几百兆光纤，提升效果明显。

但是缺点也很明显，没有了公网IP v4地址，但是有了v6。v6地址是无穷的。

现在手机默认都有v6了，家里宽带也v6了，国外vps也都v6了，翻墙的速度还是可以的，点赞

zerotier 在多服务器管理的用途

Posted on 2021年12月21日 by admin

本人手上很多各种服务器，各种乱七八糟的IP地址有多，有时候需要监控什么的，用zerotier可以把这些服务器，包括内网的服务器整合到一个内网里面，这样ssh就方便了，也安全了很多，也方便做资源性能监控。

zerotier 虽然速度有点慢，但是ssh管理什么的，还是可以的。

神器，推荐一下

https://www.zerotier.com/

v2ray 一键安装

Posted on 2021年12月21日 by admin

废话不多说

bash <(curl -s -L https://git.io/v2ray.sh)

1	bash <(curl -s -L https://git.io/v2ray.sh)

如何避免内卷

Posted on 2021年12月21日 by admin

6月份挖矿火热的时候，知道了内卷这个词。意思就是自我斗争，自我消耗能量，最后效率很低的意思。

我经常在思考，如何工作赚钱才能避免内卷。

结论就是磨刀不误砍柴工，真是经典。做好规划，然后按计划持续进行。

免费的网站监控工具

Posted on 2021年12月21日2021年12月21日 by admin

比如我这个网站，需要监控是否宕机，是否出现500错误，我需要一个工具来通知我，找了一个很好用的工具，还是免费的

https://uptimerobot.com/

注册个账号就行了，本站现在就是用这个工具来监控的。还提供一个监控状态显示的页面。

netflix 最佳观影指南

Posted on 2021年12月21日 by admin

想看Netflix的朋友，可以在淘宝买个号，一个月十多块钱，然后找个支持Netflix的梯子，一个月十多块钱，经济实惠，没有广告，速度杠杠的。

iOS强烈建议用shadowsrocket 安卓用 v2rayNG，协议用 v2ray协议， tcp加速一下， ipv6 的速度，爽的不要不要的。

好了，就这么多了

115也开始自我阉割了

Posted on 2021年12月21日2021年12月21日 by admin

115虽然价格贵，但是优点很多，花钱也值。速度快，离线下载，但是现在也挂了。

虽然没有其他网盘割的厉害，毕竟没有之前那个随便看片爽了。

且用且珍惜吧