baalchina

问题：

1、教育网限速，10m，经常拥堵，非常卡。

2、大网站都有cdn

3、用校内dns解析，解析出的是cernet地址。访问的是cernet的cdn。

4、一旦拥堵，访问就很卡。

解决：

1、将.edu.cn转向cernet dns

2、将其他所有请求转向电信dns。

3、也就是本地只做forwarder

添加两条：

zone "edu.cn" {
        type forward;
        forwarders {121.194.2.2;121.194.2.3;};
//        allow-update { none; };
};

将.edu.cn的指向教育网的dns。

options下添加

forwarders {218.2.135.1;202.102.24.35;};

检测结果：

没做之前nslookup

> www.sina.com.cn
服务器:  dns1.nau.edu.cn
Address:  210.28.92.7

非权威应答:
名称:    cernetnews.sina.com.cn
Addresses:  121.194.0.210
          121.194.0.203
          121.194.0.205
          121.194.0.206
          121.194.0.207
          121.194.0.208
          121.194.0.209
Aliases:  www.sina.com.cn
          jupiter.sina.com.cn

>

 

做了之后解析：

> www.sina.com.cn
服务器:  dns1.nau.edu.cn
Address:  210.28.92.7

非权威应答:
名称:    newsnj.sina.com.cn
Addresses:  202.102.75.164
          202.102.75.165
          202.102.75.166
          202.102.75.167
          202.102.75.168
          202.102.75.169
          202.102.75.170
          202.102.75.161
          202.102.75.162
          202.102.75.163
Aliases:  www.sina.com.cn
          jupiter.sina.com.cn

>

 

问题：

目前还比较严重…

就是cernet的dns会把dns query转发到电信去，结果这个速度…实在是受不了。经常网页半天打不开（解析Ing），然后刷新，刷的出来了（解析出地址，直接从电信访问）。

试试看把教育地址从电信弄出去？

另外发现个好玩的：

http://121.194.2.2/dns/log/2010/05/17/2010.05.17.00.10.html

怎么做的呢…

CF卡买的是创见的2G 133x卡，太大的怕不识别。

http://www.360buy.com/product/123621.html

20101101更新：KingMax的也可以：http://www.360buy.com/product/208724.html，同样2G。

109米，插上去直接就可以识别了，也没格式化。

[S7510E-2]display device cf-card
CF Card Information in slot 5 :
Status: Normal
Size  : 2004 MB

[S7510E-2]

 

先看一下当前的日志文件配置：

<S7510E-2>display logfile summary
  Log file is enabled.
  Channel number : 9
  Log file size quota : 1 MB
  Log file directory : cf:/logfile
  Writing frequency : 24 hour 0 min 0 sec
<S7510E-2>

 

注意要在普通模式下，不要进system-view。

在cf卡下建立一个目录logfile

<S7510E-2>mkdir cfa0:/logfile

%Created dir cfa0:/logfile.

<S7510E-2>

将日志保存到cfa0下：

[S7510E-2]info-center logfile switch-directory cfa0:/

注意是system-view的命令。

然后打logfile save就可以把日志保存到cf卡了。

看日志的话，用more命令，和linux一样。

拓扑如下：

Huawei3300--->Enterasys N7A--->Enterasys N7B--->Ruijie S3550--->Ruijie S2126。

其中Huawei3300是专网，往后都是用的vlan形式。

本来配的时候配错了，一路下来，N7B中到S3550的下联口打了tag，但是上联口没有打。很奇怪的是，他居然通了。

后来N7A换成了H3C S7510，结果就是不通了。但是更奇怪的是，可以在末端的S2126上看到vlan的MAC地址。

奇怪。

硬件

1. S7510E的引擎有LSQ1SRP1CB (Salience VI-Turbo)以及LSQ1MPUB (Salience VI-Lite)等。后者的区别在于取消代理功能，不支持MPLS。

交换机管理，只启用SSH

首先要生成key，并启用SSH Server

[S7510E-1]public-key local create rsa 
[S7510E-1]ssh server enable

接下来允许SSH登录

[S7510E-1-ui-vty0-4]display this
#
user-interface aux 0
authentication-mode password
set authentication password simple h3c
user-interface vty 0 4
authentication-mode scheme
#
return
[S7510E-1-ui-vty0-4]

这里必须要启用AAA scheme。这样SSH才可以登录。

当然，还要建用户：

[S7510E-1-luser-baalchina]display this
#
local-user baalchina
password cipher (@*(@*#(*#(@#(*&@#&
service-type ssh telnet terminal
#
return
[S7510E-1-luser-baalchina]

允许baalchina用户使用ssh/telnet/terminal登录。

然后最后再把telnet-server禁掉就行了。打完收工。

ps，做的时候小心，不然就连不上了。

只允许特定客户端telnet/ssh到特定的设备地址

如果只允许特定地址，telnet/ssh交换机的特定svi地址，那么就需要通过在user-interface中加入ACL来实现。

先写一个ACL：

[S7510E-1]display acl 3100
Advanced ACL  3100, named Remote_Access, 2 rules,
for_remote_access_to_switch
ACL's step is 5
rule 0 permit ip source 172.17.0.0 0.0.0.255 destination 172.16.1.1 0
rule 5 deny ip (2 times matched)

[S7510E-1]

172.16.1.1是设备的地址。

再到vty里面加上ACL就ok了。

user-interface vty 0 4
acl 3100 inbound
authentication-mode scheme
#

 

ps，加上这个，其实22端口还是开着的…只是拒绝连接。telnet提示

%connection refused by remote host.

凯创的就比这个好一点，一条命令，端口都关闭了。

某些文件无法下载，始终找不到原因

[1] PASV
[1] 227 Entering Passive Mode (210,28,92,169,45,131)
[1] 打开数据连接到主机: 210.28.92.169 端口: 11651
[1] REST 0
[1] 350 Restarting at 0. Send STORE or RETRIEVE.
[1] RETR 091023 青春不败 E01.rmvb
[1] 550 "091023 青春不败 E01.rmvb": no such file.
文件传输失败: 091023 青春不败 E01.rmvb

上ftp一看，原来文件开头都是空格，不知道怎么gene6把空格省掉了…

不知道是ftp通病，还是gene6问题。

今天找autoproxy，发现了这篇文章：http://autoproxy.org/zh-CN/node/66，大意是指，CNNIC获得了根证书，呼吁大家把CNNIC从根中去掉。

对于文章观点，我是持保留态度，但是对于文章的某些评论，却是不吐不快。

其中某评论说道：“网易邮箱开始使用CNNIC证书，各位同学如果想保护自己的隐私，请不要使用网易邮箱”。http://autoproxy.org/zh-CN/node/66#comment-4692

不知道这位匿名用户是不懂装懂，跟着起哄；还是故作不知，别有用心？

姑且不谈证书的含义，网易邮箱貌似还没有全程https的概念，即使有，也没几个人会使用。毕竟大多数国人的电脑水平没高到明白http加一个s代表什么。网易只是在登录的时候将帐号密码通过https传输。就因为用了CNNIC证书，会造成隐私泄露？

如果网易想知道你的隐私，他哪怕用VeriSign的证书，照样可以知道。你的数据都存在网易呢。

如果zf想知道你的隐私，他还用得着去破解https？只要网易还在国内，公安局一个协查令就可以了。这个和fbi要求美国网络公司公开信息一个道理。

想知道你隐私的人，会有n种方法获取，而通过植入cnnic的根证书来获取，恐怕是最笨的一种方式了。

况且，目前所有的根貌似都是国外的公司，你那么点隐私，按照这个逻辑，人家要想看，恐怕早就被fbi/nsa翻个遍了。只不过你对他们没威胁而已。人家还希望多一点你这样的人呢！

现在中国的某些人，也就跟着瞎起哄而已。却不知道这些瞎起哄，会误导多少人。

Discuz 7.2时代，参看：http://www.baalchina.net/2009/08/discuz-code/

Discuz X1时代，参看：http://www.baalchina.net/2010/05/discuzx-nauzone/

首先还是下载地址的那个。这次多加几个标志。注意修改的地方比Discuz X1.5少了一个。

source\language\forum\lang_template.php

 

修改为

'discuzcode_copyclipboard' => '下载地址(点我即可将地址复制到剪贴板！',

这个是把复制代码的提示改掉。

template\default\forum\discuzcode.htm

增加一些框框，图表什么的。

19行

<!--{block return}—>

后面增加

<br /><img src="http://zone.nau.edu.cn/static/image/common/download.gif" />下载地址(点击框框下方提示将地址复制到下载软件队列中即可下载！具体查看<a href="http://net.nau.edu.cn/resource/guide/how-to-download-ftp-file/"> 这里</a>)：

然后增加一个外网的提示：

/source/language/lang_message.php

'user_banned' => '伟大领袖毛主席教导我们：只有南审内网才可以访问南审地带。详情请参看：<a href="http://bbs.nau.edu.cn/viewthread.php?tid=333777">http://bbs.nau.edu.cn/viewthread.php?tid=333777</a>',

简单版…写下来备忘

1. 版本3.1.3，首先用AutoSHSH备份SHSH。
2. 接下来使用Spirit越狱。
3. 如果需要恢复3.1.3固件，Apple已经禁止了，需要使用fw-umbrella-semaphore-222来虚拟Apple服务器，参见http://www.baalchina.net/2010/07/restore-apple-firmware/
4. 添加Cydia源：http://cydia.hackulo.us,安装Appsync for OS 3.1,就可以使用破解ipa文件啦！
5. 要连接ifunbox，还需要afc2补丁。在cydia中。

1. Samba的作用，和Windows服务器共享文件，注意Windows是不支持Samba的。

2. Samba使用SMB协议，Server Message Block。

3. Samba的两个进程：smbd和nmbd。

4. 主配置文件：/etc/samba/smb.conf

5. 添加samba用户：#smbpasswd -a username。必须是系统存在的用户。

6. 检查Samba共享的资源：#smbclient -l 192.168.1.1

7. Samba的图形化配置工具叫做SWAT，Samba Web Administration Tool。