- 发帖可能变空内容,邪门暂不知所以然
- 『稷下学宫』新认证方式,24年网站打算和努力目标
主题:茗谈147:智慧的七根柱石 -- 本嘉明
家园 没用,这边搞 ssl Proxy 你的一切将大白于长城防火墙
家园 刚在github上找到这个,一个头两个大 一年前的信息,估计已经被超越了。
概括起来,似乎只有shadowshock或者goagent可能性比较大。这篇文章也说了VPN不建议。看来这里面的斗争已经很深入了,需要深挖。
另外,自由门那些似乎可以,但是说不定里面也有毒,不敢随便尝试。
GFW 封锁方式以及翻墙手段汇总
2015-12-23
GFW 的封锁方法
国内 DNS 服务器的缓存污染
发往国外的 DNS 解析请求的拦截或篡改
IP 黑名单
端口封锁,针对 OpenVPN,SSH,shadowsocks 等,有用到 DPI,多次换端口后封 IP
关键字封锁,利用深度包检测(DPI),是主要方法。可用全站 https 应对,不过 GFW 因为无法识别 https,所以会针对所有 https 连接进行随机的中断
关于 GFW 的更多技术细节可以参见本文的参考链接
GFW 的设备
大量硬件设备来自 Cisco
入侵检测设备,在北京、上海、广州搭在总交换中心上做旁路监听
动态路由设备,放在 ISP 处
翻墙方式
hosts,只能翻部分被 DNS 投毒的网站,而且随着 Google IP 被封禁得越来越多,已经很难翻了
第三方 DNS,作用同 hosts,有风险,可能被再劫持
HTTP 代理,主要风险是明文传输(试过在海外 VPS 直接搭 HTTP 代理,用来上百度没问题,一打开 Google 马上被封)
HTTPS 代理,比起 HTTP 代理,有了一层 SSL 加密,安全许多,但 SSL 其实并不适合用于翻墙,它并不是专用于混淆的协议,shadowsocks 作者 clowwindy 有一篇文章详细阐述了这个观点
Tor,P2P 方式,安全性高。但 GFW 会钓鱼,伪造成 Tor 客户端进入 Tor 网络(obfsproxy 可以应对)。本身网络传输速度不快,不好用
Latern 基本同上,就个人使用体验来说,速度太慢
GoAgent,基于 GAE,已经不再维护
GoProxy,GoAgent 的继任者,用于自己部署在 VPS 上
SSH,虽然传输安全,但握手阶段特征太明显,会被监控流量和连接数,所以基本只能用一小会儿,一般需要数小时重连一次。2012 年 GFW 加入 DPI 功能之后被封锁得更为严重了,一旦有 HTTP 流量传输就会被墙
VPN,工作在数据链路层,流量特征非常明显,出于商业上的考虑(大量在华跨国公司需要用到)所以才还能存活。但是自建的话,L2TP/PP2P/OpenVPN 基本没办法存活多久,只有 Cisco AnyConnect (服务端用开源的 ocserv)还可以用
Shadowsocks,这个名气够大了,不详述。如有需要,服务端建议部署shadowsocks-libev,相比其他语言的实现,这个版本开发更为活跃
ShadowVPN, GoHop, SoftEther VPN,都是具有较为强大加密/混淆功能的 VPN 实现,其中 ShadowVPN 因为作者 clowwindy 被请喝茶而删除项目代码,GoHop 功能强大但暂时只支持 Linux,SoftEther VPN 使用不是很方便(而且已经能被 GFW 探测到,见参考链接 13),所以目前都不是很流行
V2Ray,支持多种代理协议的代理软件包,功能强大
LightSword,基于 Node.js 的 SOCKS5 代理 / Apple NE 服务器,有 Linux / iOS / OS X 客户端,其协议参考了 shadowsocks,性能一般,iOS 客户端也只支持全局代理,但聊胜于无
IPv6,据说 GFW 暂时还未能有效封禁 IPv6 地址,所以在教育网里还能通过 IPv6 访问 Google/Facebook 等。不过这个应该只是暂时的
自建翻墙服务指南
翻墙路由器,刷 OpenWrt
用于自己在家上网。
VPN / shadowsocks + chnroutes / cow / meow 自动分流国内外 IP
Dnsmasq + pdnsd / ChinaDNS
如果用了 Airport Extreme 之类的无法刷系统的路由器的话,可以接两层路由器,第一层用刷过 OpenWrt 的路由先翻一遍墙
翻墙(HTTP)代理
在命令行终端里只能通过配置 http_proxy/https_proxy 变量来翻墙,所以需要一个翻墙代理。而且下述 PAC 文件、运营商描述文件都需要有一个代理作为基础。
HTTP 代理只能用国内服务器中转,直接部署在国外肯定被墙
建议在海外服务器部署 shadowsocks 服务端,国内服务器部署 shadowsocks 客户端
shdaowsocks 代理转 http 代理可用 privoxy / polipo / cow / meow
privoxy / polipo 生成的代理是纯 HTTP 代理,cow / meow 则会自动学习已翻墙/未翻墙网站并更新列表、生成 PAC 等。但是 cow 因为默认认为网站未被墙,所以很多网站会尝试多次连接才能使用代理,速度有一定影响;而 meow 是白名单模式,可能会影响部分国内网站的加载速度
Surge for Mac 作为二级代理也非常好用
提供远程 PAC 文件
Windows / Mac / Linux,以及 iOS / Android 5+ 在 WiFi 网络下都可以配置 PAC 代理,Android 4.x 可以用 SmartProxy 这款 App
如果没什么特殊需求,最简单的是利用 gfwlist 生成,然后开个静态文件的 http 服务以便客户端访问
不过更优的方法是使用 cow 生成的 PAC
制作运营商描述文件
用于在 2G/3G/4G 下翻墙。不过不是太建议这个方法,根据个人经验,不论设置文件怎么写,总有些时候会出现莫名其妙的问题,到时候就只能删掉描述文件,在需要翻墙时再加回来,很是麻烦
而且对于使用了 HttpDNS 服务的各大 App 都无法兼容,包括但不仅限于微信朋友圈小视频、阿里旅行、滴滴出行地图、虾米、淘宝电影选座、网易云音乐等
AnyConnect
未越狱 iOS 设备,所有免费方案中,AnyConnect 是最方便的
服务端使用 ocserv
AnyConnect 用路由表做分流,所以不太精确
ocserv 默认限制路由表最长为 64 条,但其实客户端最长可接受 200 条,所以可以通过修改源代码后编译的方式调整这个上限,参看这个帖子
这里有个 CentOS & RHEL7 的安装脚本(已调整过路由表上限),即使不用这个脚本而自行安装,也可以参考其中给出的路由表
Surge
iOS / OS X 翻墙首选,支持 http、shadowsocks 代理,支持类 PAC 的配置,支持路由表,支持根据 IP 地址分流,在 OS X 上作为二级 HTTP 代理使用,同时也提供 SOCKS 代理,另外还支持抓包,可以当做网络调试工具使用,功能非常非常强大
虽然配置麻烦,但是配置好之后可以说是一劳永逸
不过 iOS、Mac 版各 $49.99 起的价格还是有点贵
Potatso
Surge for iOS 的替代品,价格比 Surge 便宜得多,且开源
虽然功能还不如 Surge 丰富,但是基本还是够用的,不想花太多钱在翻墙上的话可以考虑
免费 shadowsocks 客户端
shadowsocks-android
Wingy
iOS 下的免费 shadowsocks 客户端,没有什么定制化需求的话用这个就够了
ShadowsocksX-NG
Mac 客户端
Shadowsocks for Windows
Shadowsocks-Qt5 Windows / Linux 客户端
国际网络线路优化
如果有国内服务器,可以直接用前述 shadowsocks 转 http 代理的方法,也可以直接设置 haproxy 转发 shadowsocks 代理
如果不想买国内服务器的话,可以使用 微林的 vxTrans 服务 将代理进行端口转发,流量转发至电信 CN2 精品网,解决直连海外 VPS 太慢的问题
TCP 加速(防丢包)
net-speeder,开源,简单粗暴地通过两倍发包来防止丢包,对丢包严重的网络有一定改善作用,不过有一些缺点:
双倍发包会造成流量翻倍
net-speeder 会造成 pptpd 等不支持双倍发包的网络软件无法正常使用
对小文件加速效果不明显
这种 TCP 优化机制一直存在争议,因为它实际实际上加剧了网络的拥堵,浪费掉了大量没必要的带宽
所以不建议使用
锐速,比较老牌的 TCP 加速服务,闭源,比 net-speeder 智能,但不支持所有 VPS,闭源还要求 root 权限也让人有点不放心。而且,仍然会增加流量消耗,仍然被认为是不道德的,参见 shadowsocks 作者 clowwindy 在 V2EX 上的评论
TCP BBR,Linux Kernel 4.9+ 支持,效果还是不错的,公平性暂不了解
kcptun
收费翻墙服务(不建议使用免费服务)
鉴于目前的网络环境,本文不再公开推荐任何付费翻墙服务
参考链接
阅后即焚:“GFW”
GFW 技术研究和云梯产品故事
深入理解 GFW:总论
深入理解 GFW:路由扩散技术
GFW 钓鱼计划
深入理解 GFW:内部结构
深入理解 GFW:结论
GFW 研究与诊断工具
GFW 的工作原理及突破技术
GFW 的原理和绕过
GFW 的详细分析及翻墙路由器(fqrouter)的原理和实现
How governments have tried to block Tor
Learning more about the GFW’s active probing system
道高一尺,牆高一丈:互聯網封鎖是如何升級的
Empirical Analysis of Internet Filtering in China
Golden Shield Project - Wikipedia, the free encyclopedia
“墙”的文献综述
家园 可惜的是一部分华人占到了自己的对立面上,为自己的掘墓出了 thumbs up. The world is never short of fools.
现在川普上台发现比赵姨与八哥的遏制中国政策更草根更二杆,这才来个180大转弯。我发现历史无法准确预测,但是唯一可以确定的是中宣五毛被打脸是一个永不改变的许诺,比钻戒还隽永。-- Chinese back in China totally have no idea about the outside world.
家园 里根竞选的时候也说要和台湾复交,川普不过是模仿而已,没事 中美闹到底也是斗而不破。里根后来不是和笑贫握手言欢了?
中美之间的实力对比和里根那个时候根本不可同日而语了。有什么好怕的?
看看天朝的反应就知道了:听其言观其行,根本不着急
家园 历史也不是简单重复 中国此一时彼一时,效颦的宗旨与那个时代中国的需求,都不是今天中国与中国领导人所奉行的。川普有可能是为了增加价码,这个还有待观察,但是其鹰派的策略与团队风格,现在已经展示无疑了。而tg从察言观色到措手不及,暴露出的是对美国政策重大转变的缺乏准备,而且主要是思想准备。
不过tg手上的价码也不少,并无大碍。隐忧是现任中国领导人的强硬风格,把以前的领导层叫做“改开家奴”的意思就是说,真主子上台做法就不一样了。正好,美国也不一样了,如果说奥巴马那届是文斗,川普这伙人明显是以强盗自居。那么川普是骡子是马只能从南海那里遛一遛了。
家园 请先搞清Romney和Trump谁更阔 如题
家园 说说小企业 我个人一点拙见,班门弄斧了。
(一)
制造业界的小企业(其他业界的我不熟)对于一个国家,最主要的作用有三个:
1)吸纳劳动力。大企业吸纳的劳动力是很有限的。
2)决定一个制造业大国“国家名片”的含金量。所谓“国家名片”,就是代表性的大项目,比如中国的高铁,日本的汽车,美国的军火。小企业的产品质量稳定性,质量高低,直接决定了“国家名片”的成色。
3)稳定社会情绪,消除戾气。很多小企业家,以及该企业的骨干人员(管理,技术),他们的一辈子过得很安详,很踏实,一门心思做这点事情,既不空虚也不奢望,他们踏实了,他们的家人也就踏实了。
小企业,决定了一个国家它的制造业的“防御纵深”,大企业被人家干掉了,我还有预备队小苗苗,可以培养,再杀回去。打仗时大企业被炸平了,就疏散到小企业继续生产。
(二)
中国没有经济学,中国只有“美国经济学”,我看那些国师们,恨不得用英语表达,比较能说得清楚的捉急样子(当然他们英语口语能力到底如何,我想比马云是会差一点的)。
“美国经济学”和“美国管理学”,都侧重于对大型企业的研究,从福特,泰勒,到戴明,都是追求大工业条件下的劳动效率和产品质量稳定性。所以中国的学者们,自然而然认为,既然洋师傅都看不起工匠和作坊,诺贝尔经济学奖评奖委员会都看不起工匠和作坊,那么我要装老三老四,当然也要变本加厉。
其实不是的。在美国,他们不需要研究小企业,一个重要原因,是在政治上,小企业是天然安全的,所以不需要为他们操太多的心。
因为大企业掌握候选人,小企业掌握选票。
在这种政治平衡下,小企业并不担心受到大企业的迫害和恶性吞并。
而在中国,完全没有这种平衡,大家看看忙总对民企的看法就知道了。民企是恶的,滑头的,死了活该的。如果没有民企(小企业),中国基本可以美好一百倍。
美国学界不研究小企业的第二个原因,是美国的相关学者太少,都去抱通用汽车们的大腿了。太多的美国聪明孩子去学金融,法律,和医学,就没有几个愿意去给小企业当大夫的。中国的小企业数量大,涉及的第二代孩子也多,或许能出一批人才,但首先要让他们觉得,搞这个值得,有奔头,受尊敬。
小企业的优势,就是小而美。小,就容易存活在缝隙里,也没有太大的贪心(梦想总是有的,本田原来也是小公司嘛)。一个社会里,20%或更多一点的人没有贪心,很本分很踏实,这就是好的社会。
小企业的劣势,也是小,小到社会地位微不足道,杀伤力微不足道,官僚可以任意踩踏它们,它们根本反抗不了。如果说,央企是老虎,省企是老狼,那么小民企们就是鼹鼠。大人们会怕鼹鼠?Come On,要闹事也是通钢好不好?
但鼹鼠也有脑子,有四条腿,它要求生,它可以跑。
小企业,其实就是毛主席那会子“农民运动研究报告”里的下中农,离贫农不太远,你看不起他们,他们就肯定是痞子;你善用他们,他们就抬你进北京城。如果中国真是社会主义的话,那么应该有一批小企业享受央企待遇或全国政协委员的待遇,就像陈永贵可以代表一个成分来当副总理。这些人能一年两次跟大领导们点头哈腰一哈,部分享受周小平待遇,估计正副国级不明真相群众们对广大“奸商”的刻板印象,可以改善很多。
通宝推:渔儿漂漂,卢比扬卡,海峰,- 复 说说小企业
家园 太理想化了 美国的小企业是多,但大多数是夫妻老婆店。而且很多旋起旋灭。更有很多其实是用来减税的障眼法。
小企业据说占到了美国高科技产业37%的雇佣率。问题是这37%可不代表37%的高科技公司是小企业。这里头的猫腻很简单,合同工而已。美国大公司越来越不愿意负担员工的福利,同时也不愿意和工会打交道,还希望能随时随地解雇员工而不引起反弹,于是大公司宁可出比一般员工高的工资来雇佣合同工。这里大公司看上去多付了工资,实际上省下了员工的劳保和福利,还是赚了。而这种合同工的提供者往往是各类小公司。同时很多个人也被迫用成为自雇佣业主(self-employment)以合同工形式来获得工作。
指望这种小企业来振兴美国是不现实的。
- 复 说说小企业
家园 小企业不交少交税 这话可能不好听,却是实情。好多七五万年销售收入的企业,完税任务是八十一百万,实际上税收(按交税销售额的4.5%,算了,按10%好了)千分之一而已。微小的小规模纳税人就更别说了,一年二三千三四千万纳个一万几千甚一两千的税,比比皆是。起码按我观察,珠三角是这样的。
- 复 小企业不交少交税
家园 税务干半年,枪毙都不冤 你知道小企业的真实(隐性)税费是多少吗?
你知道不知道,在《劳动法》下,每解雇一个工人,必须按工龄补发遣散费(每年合一个月工资)?
你知道中国中型民企,现在引进工业机器人的力度有多大?到底什么是最根本的驱动力?
一个3000万销售额的制造企业坐在镇上,要刮你一点还不容易?你跑得了吗?默许你交几千块钱的税,是因为在台面下,已经让镇政府里很多人满意了!
通宝推:otto,家园 即使是无固定期限劳动合同,补偿期限以12个月封顶。 补偿金额以社评公司的3倍封顶(大约8,9千吧),即使是无固定期限劳动合同。
家园 在中国解雇一个人的成本究竟是多少? 我常常干这种脏活,我来计算一下。
按照媒体和私企老板拼命诟病的政策“每解雇一个工人,必须按工龄补发遣散费(每年合一个月工资)”, 是多少呢? 等于每年给13个月的薪水。 中国的私企非常鸡贼,把收入搞成各种岗位津贴,工龄津贴,误餐补贴,出差补贴,职称津贴, 基本工资很少。 一般解雇,仅仅赔付基本工资,而基本工资仅仅占整个收入的一半左右, 甚至不到。因此本大的所谓沉重负担, 实际上等于员工每年给付增加4%不到。就算这样,老板们还可以通过事先降低4%的基本工资来对冲, 实际上他们一分钱都没有多付!
如果没有这个政策会怎么样? 我摸了你的屁股,你居然还反抗,明天不要来上班了。 什么? 性骚扰? 怎么可能,我这么正派的人, 你有证据吗? 早年没有这个政策,工厂女工不得不屈服, 女秘书不得不屈服。那些港干台干, 换女朋友如同换衣服,我认识的有人自称搞过几千处女, 虽张伯伦亦不能相比,你相信吗?反正我相信。
说这个有点猥琐,说点悲凉的。老王,你今年50了? 血压有点高,血糖也有点高,身体不太好了, 可以回家享享福了。 什么? 你还想继续工作。 这个工资恐怕要降低20%了? 不肯? 对不起,你明天不要来上班了。
如此恶劣,不要不相信。年底了, HR拿着公司年度福利体检的统计表找我,哪些人身体不好,除非必要,需要早做辞退处理。照道理是员工隐私的,医院把它打印的整整齐齐,并圈出高危人群,美其名曰健康管理, 这在中国是普遍行为。 没良心吗? 是的, 从这个意义上讲, 私企连黑社会都不如, 黑社会不会抛弃一个有病的帮众。
3000万销售额的公司, 肯定是搜刮对象,但是打老板的秋风是有“行规”的,就是从你这个捞的钱一般不超过给你让利的10%,也就是说正规纳税15万, 最后你只纳税1万, 省下来的14万税务只拿1.4万, 绝对不会超过3万。 他们知道做假毕竟有成本,毕竟有风险, 他拿8万,别人做假成本2万,风险太大, 得益太少, 是不会干的, 真的有风吹草动,第一个把你卖了, 所以税务专管员深得放水养鱼,与人为善的真谛。因为税务专管赚了1.4万老板就把社会说成水深火热,自己的法拉利,小三小四,江景豪宅避而不谈,这不符合真相。
老板们利润不高是真的, 我前面的帖子也提到了,不多说。私企老板们, 人民币汇率猛涨的时候大叫受不了,人民币大跌的时候又大叫受不了。 他们受得了什么呢?中国的私企,占着GDP的70%, 纳税只有30%, 他们残酷剥削着底层人民, 真的受不了的底层没有话语权。
本大的一篇文章, 讲述悲惨世界的歌do you hear the people singing,让我非常感动, 但最近一个系列的文章,明显屁股歪了。
通宝推:方平,tt086071,一个地址,子奉不语,回旋镖,年青是福,李根,journal,hansens,烤糊的卷子,盲人摸象,C狂飙行者,诸法空相,桥上,mezhan,十亿星阵,心远地自偏,渔儿漂漂,杨微粒,何求,青木堂主,Rusher,indy,大神盘古,西门飘飘,qianji,白玉老虎,迷途笨狼,马哥,strain2,花棍舞,纹石,西安笨老虎,jhjdylj,不悱不发,任爱杰,明心灵竹,witten1,家园 你落伍了,伙计 这年头已经没人愿意干解雇人这种脏活了。
首先,我根本就不雇人。我只找contractor。给我扫地的都是contractor(作为独立的生意人,他卖给我的是清洁服务)。我们之间不存在雇佣关系。
其次,要雇人签的也是短期合同,合同条款可参照中国公安局的辅警或保安合同。到期不renewal自动结束。
第三,解雇人是台胞港胞没文化的表现。我们大陆人有文化,比较喜欢提高工作量和工作预期。人家干不下去自己走。山不转水转,你解雇人家干什么?
至于性骚扰,既危险又无必要,更不卫生。像我这号没出息的,也有两个老婆四个孩子。为了避免成为中国警察的盘中餐(由于文化传统的束缚,我只对中国女人感兴趣),我正琢磨着再去娶一房。