改造可翻牆的小米路由器(mini)

最近出了一次差,才發現翻牆其實很重要, 但是我自己個人翻牆簡單,別人卻很難, 只好想辦法改造小米路由器(mini),讓夥伴都能一起科技翻牆.

本文只列出重要步驟:

  1. 刷開發版,然後打開ssh功能
  2. 打開ssh功能後, 刷Breed這個bootloader(有點像是android的recovery), 刷之前要備份小米原本的韌體,
  3. 透過Breed(bootloader),刷入https://opt.cn2qq.com/padavan/
  4. 設定shadowsocks客戶端

firewall-cmd 如何做port-mapping

1. 特定port轉到內部某ip的port

firewall-cmd --add-rich-rule="rule family=ipv4  forward-port port=8080 protocol=tcp to-port=8080 to-addr=192.168.1.1" --zone=public --permanent

2. 特定ip,特定port轉道內部某ip的port

firewall-cmd --add-rich-rule="rule family=ipv4 source address=x.x.x.x forward-port port=8080 protocol=tcp to-port=8080 to-addr=192.168.1.1" --zone=public --permanent

 

fortigate防火牆Log應用

咖啡偶上班的公司使用fortigate 80c , 已經很久沒更新了, 也沒使用到一些特異功能, 甚至vpn也關掉避免安全性問題發生.

可是呢, 公司高層忽然想看同仁上網行為, 身為IT人員當然要接受而且拒絕,

何謂接受呢?就是我能做到基本綜合統計,例如流量,瀏覽網頁數量與上網時間.

其實就是委婉拒絕, 理由:

1.拿個資法來向上管理

2.以系統老舊,無法提供詳細的網站行為分析( 除非花個2,30萬買設備,外加每年15%的維護費用,這時候通常上頭就退縮了).

接下來, 若高階主管想看統計資料的時候跟我要,而不是隨時可以看,並且要給我一個合理的理由,例如:上班時間上網,然後狂加班之類的.

好了, 話不多說, fortigate 能將log透過udp 514 port導到能接收的主機上, 咖啡偶使用 CentOS 6接收,

如何開啟fortigate就不多講了, 因為版本複雜. 這裡只講CentOS6設定

修改/etc/rsyslog.conf, 開啟udp 514監聽功能,並且寫下過濾規則

#### MODULES ####
# 聆聽 UDP/514
$ModLoad imudp
$UDPServerRun 514

 

#### RULES ####
# 若 facility 為 local6 且內容含 traffic  記錄到 /var/log/fortigate.log
if $syslogfacility-text == 'local6'  and $msg contains 'traffic'  then /var/log/fortigate.log

這樣相關的log都會被記錄下來, 再使用Sawmill這套軟體分析fortigate的log, 就可以交差了