cat /dev/net/tun

返回信息为：cat: /dev/net/tun: File descriptor in bad state 则OK
确认iptables_nat模块，可以通过该命令确认：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE

返回信息为：iptables: Unknown error 4294967295 则OK

通过yum安装Openvpn：

yum -y install openvpn

拷贝相关文件至/etc/openvpn/目录：

cp -R /usr/share/openvpn/easy-rsa /etc/openvpn/

生成证书，在目录/etc/openvpn/easy-rsa/2.0：
1. 修改vars，保存后运行 ./vars：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="SH"
export KEY_CITY="SHANGHAI"
export KEY_ORG="14551.ORG"
export KEY_EMAIL="WEBMASTER@14551.ORG"

2. 生成相关证书（提示输入的地方 “回车”即可，以及会有两次确认“Y”）：

./build-ca server 创建证书颁发机构。
./build-key-server server  //服务器证书。
./build-key polarisclient //生成客户端证书。（红色部分自定义）
./build-dh  //生成Diffie Hellman参数。

3. 配置Openvpn：
在/etc/openvpn/目录新建 server.conf 文件，内容如下（这里使用的DNS是google public dns）：

port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

4. 允许客户端通过VPN Server访问Internet：
执行（红色部分换成VPS的IP地址）

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 184.82.11.11

执行 /etc/init.d/iptables save 保存设置
执行 /etc/init.d/iptables restart 重启iptables
编辑 /etc/sysctl.conf net.ipv4.ip_forward = 0改为net.ipv4.ip_forward = 1。
5. 将Openvpn服务加入开机自动启动：
修改 /etc/rc.local 加入 /usr/sbin/openvpn –config /etc/openvpn/server.conf &
6. 客户端设置：
下载客户端证书：/etc/openvpn/easy-rsa/2.0/keys ca.key polarisclient.crt polarisclient.key
下载Openvpn软件（windows）：http://openvpn.net/release/openvpn-2.1.0-install.exe
配置ovpn文件：

client
dev tun
proto tcp
remote  184.82.11.11 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert  polarisclient.crt
key  polarisclient.key
ns-cert-type server
comp-lzo
verb 3

相关日志

• 继续说VPS使用经历
• 快速网站转移
• 北京下雪了
• 分享 SSH 帐号 0324
• 为Ubuntu安装编译环境

有一个工具叫Plink，可以免去输密码过程，由于是明文的，不是很安全。
1. 安装 Plink：sudo apt-get install putty-tools
2. 同样创建启动器：在命令框中输入，plink -N -v username@hostip -D 127.0.0.1:7070 -pw password
用这个方法，每次开机只要双击就OK了，除了不安全之外，双击看不到反应，只能靠翻翻石墙来验证是否连接成功。

还有更多的方法参考。
另外，如果需要SSH帐号，可以上淘宝。

相关日志

• ZT:最小化权限的ssh账号-只能使用TCP转发
• wget 命令用法详解
• Ubuntu下，使用SSH帐号代理访问
• SSH已开通。
• 转载：Ubuntu8.04安装配置大全

建议：尽量不要视频，可急用。
注意：有效期20天。

相关日志

• 通稿则一定要保存。
• 追一次潮 google chrome~~
• 转：Gtalk机器人帐号大全
• 说不明白。
• 落陷井，不一引手救，反挤之

建立只能使用ssh“转发”功能的系统账户

为了满足“翻墙”的需要，在国外的Linux主机上（比如 DreamHost ）上建个可 ssh登录的用户，使用 ssh 的 Tunnel 来作代理是十分常见的方法。

但是主人往往又想最小化用户权限，以避免对系统造成影响。最简单的办法就是，禁止用户登录。

其实 ssh 可以连接到 sshd 但是不执行远程命令（默认是启动用户设定的 shell ），使用 -N 参数即可。

在服务器上建一个 username ：
添加用户：useradd -s /bin/false  username，将用户的shell设置成/bin/false。这样用户就无法与系统进行交互。
设置密码：passwd username
（对已有帐号禁止其shell交互使用：usermod -s /bin/false username）

小技巧：
也可以使用 /usr/bin/passwd 作为用户的 shell ，这样用户就可以通过登录而来自主修改密码。需要注意的是，需要将 /usr/bin/passwd 这一行写进 /etc/shells文件。
sshd 认证通后之后，会检查设定的 shell 是否登记在 /etc/shells 文件中，若已经登记，则fork自己，然后fork出来的子进程再exec 设定的 shell 。而 ssh 的 -N 参数，则是告诉 sshd 不需要执行 shell。

建立Tunnel：

ssh -D 1080 -qfnN    username@hostname

输入密码即可使用（也可以用key认证）。

Windows的话，可以使用plink.exe或者MyEnTunnel（MyEnTunnel 本质上也是使用plink.exe来建立Tunnel）。

此时账号username 可以通过sshd的认证使用 TcpForwarding ，但是不能运行 shell，不能与系统交互。刚好可以用来为朋友提供国外的代理翻墙。

参数详解：
-D 1080 建立动态Tunnel，监听在本地1080端口。
-q  安静模式。
-f   ssh在后台运行，即认证之后，ssh退居后台。
-n  将 stdio 重定向到 /dev/null，与-f配合使用。
-N  不运行远程程序。即通知 sshd 不运行设定的 shell。

相关日志

• ZT：在Linux系统中，批量添加用户实例
• wget 命令用法详解
• Ubuntu下，使用SSH帐号代理访问（2）
• Ubuntu下，使用SSH帐号代理访问
• SSH已开通。

ssh -qTfnN -D 7070 remotehost.

All the added options are for a ssh session that’s used for tunneling.

-q :- be very quite, we are acting only as a tunnel.
-T :- Do not allocate a pseudo tty, we are only acting a tunnel.
-f :- move the ssh process to background, as we don’t want to interact with this ssh session directly.
-N :- Do not execute remote command.
-n :- redirect standard input to /dev/null.

In addition on a slow line you can gain performance by enabling compression with the -C option.

仍然是SSH＋Firefox＋Autoproxy的形式，终端代替了Myentunnel软件，但连上了，我却不知如何结束连接，而且最好有类似批处理的快捷方式供使用。

继续折腾，不过我想需要更多的时间去学习能用于赚钱的能力了。
未来真可怕。

相关日志

• ZT:最小化权限的ssh账号-只能使用TCP转发
• wget 命令用法详解
• Ubuntu下，使用SSH帐号代理访问（2）
• SSH已开通。
• proxychains 强制 Linux 下软件翻墙

wget虽然功能强大，但是使用起来还是比较简单的，基本的语法是：wget [参数列表] URL。下面就结合具体的例子来说明一下wget的用法。
1、下载整个http或者ftp站点。
wget http://place.your.url/here
这个命令可以将http://place.your.url/here 首页下载下来。使用-x会强制建立服务器上一模一样的目录，如果使用-nd参数，那么服务器上下载的所有内容都会加到本地当前目录。

wget -r http://place.your.url/here
这个命令会按照递归的方法，下载服务器上所有的目录和文件，实质就是下载整个网站。这个命令一定要小心使用，因为在下载的时候，被下载网站指向的所有地址同样会被下载，因此，如果这个网站引用了其他网站，那么被引用的网站也会被下载下来！基于这个原因，这个参数不常用。可以用-l number参数来指定下载的层次。例如只下载两层，那么使用-l 2。

要是您想制作镜像站点，那么可以使用－m参数，例如：wget -m http://place.your.url/here
这时wget会自动判断合适的参数来制作镜像站点。此时，wget会登录到服务器上，读入robots.txt并按robots.txt的规定来执行。

2、断点续传。
当文件特别大或者网络特别慢的时候，往往一个文件还没有下载完，连接就已经被切断，此时就需要断点续传。wget的断点续传是自动的，只需要使用-c参数，例如：
wget -c http://the.url.of/incomplete/file
使用断点续传要求服务器支持断点续传。-t参数表示重试次数，例如需要重试100次，那么就写-t 100，如果设成-t 0，那么表示无穷次重试，直到连接成功。-T参数表示超时等待时间，例如-T 120，表示等待120秒连接不上就算超时。

3、批量下载。
如果有多个文件需要下载，那么可以生成一个文件，把每个文件的URL写一行，例如生成文件download.txt，然后用命令：wget -i download.txt
这样就会把download.txt里面列出的每个URL都下载下来。（如果列的是文件就下载文件，如果列的是网站，那么下载首页）

4、选择性的下载。
可以指定让wget只下载一类文件，或者不下载什么文件。例如：
wget -m –reject=gif http://target.web.site/subdirectory
表示下载http://target.web.site/subdirectory，但是忽略gif文件。–accept=LIST 可以接受的文件类型，–reject=LIST拒绝接受的文件类型。

5、密码和认证。
wget只能处理利用用户名/密码方式限制访问的网站，可以利用两个参数：
–http-user=USER设置HTTP用户
–http-passwd=PASS设置HTTP密码
对于需要证书做认证的网站，就只能利用其他下载工具了，例如curl。

6、利用代理服务器进行下载。
如果用户的网络需要经过代理服务器，那么可以让wget通过代理服务器进行文件的下载。此时需要在当前用户的目录下创建一个.wgetrc文件。文件中可以设置代理服务器：
http-proxy = 111.111.111.111:8080
ftp-proxy = 111.111.111.111:8080
分别表示http的代理服务器和ftp的代理服务器。如果代理服务器需要密码则使用：
–proxy-user=USER设置代理用户
–proxy-passwd=PASS设置代理密码
这两个参数。
使用参数–proxy=on/off 使用或者关闭代理。
wget还有很多有用的功能，需要用户去挖掘。

附录：

命令格式：
wget [参数列表] [目标软件、网页的网址]

-V,–version 显示软件版本号然后退出；
-h,–help显示软件帮助信息；
-e,–execute=COMMAND 执行一个 “.wgetrc”命令

-o,–output-file=FILE 将软件输出信息保存到文件；
-a,–append-output=FILE将软件输出信息追加到文件；
-d,–debug显示输出信息；
-q,–quiet 不显示输出信息；
-i,–input-file=FILE 从文件中取得URL；

-t,–tries=NUMBER 是否下载次数（0表示无穷次）
-O –output-document=FILE下载文件保存为别的文件名
-nc, –no-clobber 不要覆盖已经存在的文件
-N,–timestamping只下载比本地新的文件
-T,–timeout=SECONDS 设置超时时间
-Y,–proxy=on/off 关闭代理

-nd,–no-directories 不建立目录
-x,–force-directories 强制建立目录

–http-user=USER设置HTTP用户
–http-passwd=PASS设置HTTP密码
–proxy-user=USER设置代理用户
–proxy-passwd=PASS设置代理密码

-r,–recursive 下载整个网站、目录（小心使用）
-l,–level=NUMBER 下载层次

-A,–accept=LIST 可以接受的文件类型
-R,–reject=LIST拒绝接受的文件类型
-D,–domains=LIST可以接受的域名
–exclude-domains=LIST拒绝的域名
-L,–relative 下载关联链接
–follow-ftp 只下载FTP链接
-H,–span-hosts 可以下载外面的主机
-I,–include-directories=LIST允许的目录
-X,–exclude-directories=LIST 拒绝的目录

中文文档名在平常的情况下会被编码， 但是在 –cut-dirs 时又是正常的，
wget -r -np -nH –cut-dirs=3 ftp://host/test/
测试.txt
wget -r -np -nH -nd ftp://host/test/
%B4%FA%B8%D5.txt
wget “ftp://host/test/*”
%B4%FA%B8%D5.txt

由 於不知名的原因，可能是为了避开特殊档名， wget 会自动将抓取档名的部分用 encode_string 处理过， 所以该 patch 就把被 encode_string 处理成 “%3A” 这种东西， 用 decode_string 还原成 “:”，并套用在目录与档案名称的部分，decode_string 是 wget 内建的函式。

wget -t0 -c -nH -x -np -b -m -P /home/sunny/NOD32view/  http://downloads1.kaspersky-labs.com/bases/ -o wget.log

原文地址：http://linux.blogbus.com/logs/46636997.html

相关日志

• 快速网站转移
• 为Ubuntu安装编译环境
• ZT：WGet使用指南
• ZT：Linux详细查看文件夹大小
• ZT:最小化权限的ssh账号-只能使用TCP转发

成功。

相关日志

• 快速网站转移
• wget 命令用法详解
• Godaddy的Linux主机开通SSH
• 在CentOS上安装Openvpn
• 分享 SSH 帐号 0324