用自由门做代理服务器 [ 监听0.0.0.0 ],
一个重要应用:<< 整机隔离代理 >> ,隐藏用户真实 IP 地址,
***,什么是整机隔离代理,
整机隔离代理,是自由门【监听0.0.0.0 】和无界浏览出现之后才有的概念,
其实是:整机隔离~~~部分代理,
客户机里面的应用程序全都被主机(网关)隔离了,都不能通过主机直接(路由)上网了,只有很少一部分应用程序能够有幸被代理上网,凡是能够上网的,都是走了主机上的自由门或者无界代理的,不能够上网的都被网关隔离(禁止其路由)了,这就是整机隔离代理,
***,为何需要网络隔离,
如果不隔离,客户机里面的程序可能会绕过自由门代理而直接上网,会泄露用户的公网 IP 地址,
***,主要应用:隐藏用户真实 IP 地址,
已经测试验证,使用整机隔离代理上网,即使浏览器开启了 JavaScrypt 和 Flash 插件,WebRTC 等等,也能够隐藏用户真实 IP 地址,
用户浏览 / 发帖 / 或者下载时,所浏览的网站看到你的 IP 地址都是自由门海外节点服务器或者无界浏览海外节点服务器的 IP 地址,或者你的客户机的私有 IP 地址,而不是与你的 ISP 相关联的公网的 IP 地址,
***,如何实现整机隔离代理,
现在我们只需在主机上面安装和设置好一个真正能够禁止主机路由器功能同时又能够彻底隔离客户机的防火墙,让主机作客户机的网关,上面运行自由门或者无界,作代理服务器就可以了,
主机上面运行自由门代理时,需要 勾选 【 用自由门做服务器监听 0.0.0.0 】,
主机上面运行无界浏览代理时,需要 勾选【无界分享】,
***,具体实现方案和种类
方案一:两台真实电脑,
主机需要有两个网卡,主机与客户机用一根网线相连,
主机的两个网卡的 IP 地址,需要设置在不同的网段上,( Linux 操作系统,可以不受此限制,因为 iptables 防火墙规则可以从网卡名字来区分不同的网络 ),
方案二:一台真实电脑 + 一个虚拟机,
1),真实电脑作为主机(代理网关),
主机用自由门做代理服务器[监听0.0.0.0],
虚拟机只开启一个网卡,采用 Host-only 模式,作为客户机,
2),虚拟机作主机(代理网关),
虚拟机安装两个网卡,NAT + Host-only 模式,或 桥接 + Host-only 模式,
真实电脑作为客户机,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
方案三:一台真实电脑上面运行的两个虚拟机,
一个虚拟机采用 NAT + Host-only 模式,或桥接模式 + Host-only 模式,作为主机,
另一个虚拟机采用 Host-only 模式,作为客户机,
客户机操作系统可以是 Linux, UNIX, Windows,任意,
第一类:Windows 操作系统,
只需主机上面安装 ZoneAlarm Pro 防火墙,通过在【专家级】设置那里设置至少两条规则,禁止路由( 路过 )主机的任何数据包,即可。
1),整机隔离代理,主机 ZA 防火墙( ZoneAlarm Pro ),专家级 ( Expert ) 设置 ,
我的 Windows XP( 或 Windows 7 )主机上面,ZoneAlarm_Pro_防火墙_禁止路由_专家级 ( Expert ) 设置:
1 —> 2 —> 3 —> 4,共计四条规则从上到下,按照序号顺序执行,
第 1 条规则:允许客户机(Host-only)访问我的主机,
第 2 条规则:不允许客户机(Host-only)访问任何主机,
第 3 条规则:允许我的主机访问任何主机,
第 4 条规则:不允许任何主机访问我的主机,
ZoneAlarm Pro / Expert
|———|———|————————|————————————|——————————————|————————————|————————|————————————|
| |xv | Name | Source | Destination | Protocol | Time | Comments |
|———|———|————————|————————————|——————————————|————————————|————————|————————————|
| 1 | V | INPUT | host-only | My Computer | Any | Any | Allow |
|———|———|————————|————————————|——————————————|————————————|————————|————————————|
| 2 | X | FORWARD| host-only | Any | Any | Any | Block |
|———|———|————————|————————————|——————————————|————————————|————————|————————————|
| 3 | V | OUTPUT | My Computer| Any | Any | Any | Allow |
|———|———|————————|————————————|——————————————|————————————|————————|————————————|
| 4 | X | INPUT | Any | My Computer | Any | Any | Block |
|———|———|————————|————————————|——————————————|————————————|————————|————————————|
| | | | | | | | |
|———|———|————————|————————————|——————————————|————————————|————————|————————————|
我的主机 Host-only 网卡IP地址:10.0.56.1
客户机(Host-only)IP地址:10.0.56.2
客户机(Host-only)浏览器代理设置:IP地址:10.0.56.1 端口:8580(自由门)
客户机(Host-only)浏览器代理设置:IP地址:10.0.56.1 端口:9666(无界浏览)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
应用实例,
FreeBSD 12 通过 Windows XP 网关走自由门代理翻墙上网,成功,
FreeBSD 12 通过 Windows XP 网关走无界浏览代理翻墙上网,成功,
虚拟机 FreeBSD 12 客户机设置 Host-only 网卡 IP 地址,终端命令:
# ifconfig em0 inet 10.0.56.2 netmask 0xffffff00 broadcast 10.0.56.255
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ZA 防火墙 ZoneAlarm Pro 8.0.400.020 官方英文原版,数字指纹,
文件名:zaZAPSetup_en_8.0.400.020.exe
大小:32746376 bytes
修改时间:2009 年 6 月 23 日, 22:15:10
MD5:112D4A020E4FC8266B4DCE194411E2D6
SHA1:7C37EE6D6D104F45F0DA9CAAFE34E8987B40B783
CRC32:68454E9F
SHA256 (zaZAPSetup_en_8.0.400.020.exe) = 61fd0c2c99329507d619d0f5e755a96f1a04849faeea4f226bd836ebe7145f18
SHA512 (zaZAPSetup_en_8.0.400.020.exe) = 3f337928f17eee447586f0410ef9e24fd5dbf3b5a8f0249002d410824008ddb0587a5bcbf425d750038002f3604a3ab02583989e0e24e9f3067f6ea6c0037569
注册码,gdx0d-jmsdh-7h8wn-w72jfm-pw7hu0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
官方参考文档:
ZoneAlarm Pro 防火墙,专家级 ( Expert ) 设置,
1),Understanding expert firewall rules
http://download.zonealarm.com/bin/inclient/ZA_HelpCenter/expert_rules_overview.html
2),Expert firewall rule enforcement rank
http://download.zonealarm.com/bin/inclient/ZA_HelpCenter/rules_rank.html
第二类:Linux 操作系统,
只需一个特殊设置的 iptables 防火墙脚本文件,禁止路由( 路过 )主机的任何数据包,用户下载之后,拷贝到系统内相关路径里,设置随系统启动运行,即可。
iptables 防火墙脚本文件实例【 略 】
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
附加补充:
Windows 7操作系统,无需安装第三方防火墙也可以作整机隔离代理,方法是只用开启 Windows 7 操作系统自带的系统防火墙,在防火墙上开启某个局域网的 IP 地址就可以,
已经经测试成功,
Windows 7 防火墙的设置,(大概),
如何设置本电脑的防护墙,使它允许另一台电脑的 IP 地址访问笔记本电脑,
Windows 防火墙,在其:高级设置 —> 入站规则 —> 新建规则 —> 自定义,添加一条新规则,允许另一台电脑或手机的 IP 地址入站就可以,
注意,
应该勾选“启用防火墙”这一项,这样 Windows 防火墙可以保护操作系统,
但是不要勾选“阻止所有传入连接,包括位于允许程序列表中的程序”这一项,
如果勾选“阻止所有传入连接,包括位于允许程序列表中的程序”这一项,设置的一切入站规则都不起作用,
建议勾选 “Windows 防火墙阻止新程序时通知我”这一项,
仅供参考,