为了 保障校园网的营运利润 维护校园网络安全
所谓的临时封禁也就是屏蔽所有网络流量http://1.1.1.3/remind/proxy_remind.htm?tm=8
这一规定的出发点可以理解
鉴于学校也不可能为我们这些专业的同学开绿灯
通过一段时间的观察
我将校园网分为三大类接入方式
前两者都是
因此路由的接入方式便确定了
但是共享检测的问题还没有解决
查询相关资料
前者比较好理解就是寻找经过
针对前者我们需要在
经过一段时间摸索发现如下规律
- 两台小米手机
不同型号( 可以正常同时上网) 。 - Mi 6+MiPad 2
Windows 10( ) 在较短时间内会被封禁网络, 。 - 封禁时手机
但群聊中的图片无法显示, 不知道是什么问题。 可能是, 防火墙没有阻断, 。 - 初步判断
平板使用, 一旦连接。 就会触发, 。 - 被封禁后
重新登录校园网就可以解除, 。 - 浏览器时常提示
“ 等待 1.1.1.3 …” 疑似, 不排除利用, 。
可以初步确定
那我们就可以得到初步方案了
下面的实施方案都基于
包特征处理
设备发出的数据包有一个默认的
在路由上修改数据包的
Ref: TTL modification for outgoing traffic with OpenWRT
注意
iptables -t mangle -I POSTROUTING -o br-lan -j TTL --ttl-set 65
TCP
有两个方案
在
设置以下防火墙规则劫持
iptables -t nat -N ntp_force_local
iptables -t nat -I PREROUTING -p udp --dport 123 -j ntp_force_local
iptables -t nat -A ntp_force_local -d 0.0.0.0/8 -j RETURN
iptables -t nat -A ntp_force_local -d 127.0.0.0/8 -j RETURN
iptables -t nat -A ntp_force_local -d 192.168.0.0/16 -j RETURN
iptables -t nat -A ntp_force_local -s 192.168.0.0/16 -j DNAT --to-destination 192.168.1.1
IPID
因需要的检测时间较长
也可以修改
设置如下
0 3 * * * ( ifdown wan; sleep 5; ifup wan )
以上规则来自网友分享
侵入流量屏蔽
深信服侵入式检测
如果不给连手机的话
电脑和电脑检测通过 HTTP 劫持检测
iptables -I FORWARD -p tcp -m tcp –sport 80 -m u32 –u32
iptables -I FORWARD -p tcp -m tcp –sport 8000 -m u32 –u32
iptables -I FORWARD -p tcp -m tcp –sport 8080 -m u32 –u32
iptables -I FORWARD -p tcp -m tcp –sport 80 -m u32 –u32
iptables -I FORWARD -p tcp -m tcp –sport 8000 -m u32 –u32
iptables -I FORWARD -p tcp -m tcp –sport 8080 -m u32 –u32
这一条规则来自
在
源区域
源区域
iptables -I FORWARD -p tcp --sport 80 --tcp-flags ACK ACK -m string --algo bm --string " src=\"http://1.1.1." -j DROP
iptables -I FORWARD -p tcp --sport 80 --tcp-flags ACK ACK -m string --algo bm --string " value=\"http://18.20.18." -j DROP
此规则来自校友的博客
HTTP UA 处理
网上有很多利用
现有其他大学的前辈开发出的内核级处理插件
断线重启
若发现意外被封禁
#!/bin/sh
DATE=`date +%Y-%m-%d-%H:%M:%S`
tries=0
while [[ $tries -lt 3 ]]
do
if /bin/ping -c 1 8.8.8.8 >/dev/null
then
echo --- exit ---
exit 0
fi
tries=$((tries+1))
sleep 2
done
echo $DATE network restart >>my_watchdog.log
#/etc/init.d/network restart
ifdown wan
sleep 2
ifup wan
将其保存到路由的/home
* * * * * ( sleep 15 ; sh /root/my_watchdog.sh )
* * * * * ( sleep 30 ; sh /root/my_watchdog.sh )
* * * * * ( sleep 45 ; sh /root/my_watchdog.sh )
* * * * * sh /root/my_watchdog.sh
DNS 处理
这么操作完后
暂时没弄清楚原因
xk.csust.edu.cn [10.255.252.1]
pt.csust.edu.cn [10.255.65.85]
yktfw.csust.edu.cn [10.255.197.207]
htp.csust.edu.cn [10.255.193.63]
my.csust.edu.cn [10.255.193.63]
www.csust.edu.cn [10.255.196.28]
oss.csust.edu.cn [10.255.195.22]
glis.csust.edu.cn [210.43.188.8]
bw.csust.edu.cn [10.255.194.29]
cwcx.csust.edu.cn [10.22.14.252]
lx.csust.edu.cn [10.255.193.63]
jwc.csust.edu.cn [210.43.177.10]
xg1.csust.edu.cn [10.255.193.63]
yktwd.csust.edu.cn [10.255.197.218]
cxwx.csust.edu.cn [10.255.198.50]
opac.csust.edu.cn [10.255.198.50]
nginx.csust.edu.cn [10.255.198.50]
app.csust.edu.cn [10.255.196.35]
acm.csust.edu.cn [10.64.70.166]