Q 部落

各BIOS设置来电自动开机

qubingjian@163.com(ququ) — Sun,23 Aug 2009 12:14:56 +0800

来电开机
下面根据不同的BIOS列出相应的设置方法：
1、首先进入Power Management Setup（电源管理设定）→Power Again（再来电状态），此项决定了开机时意外断电之后，电力供应恢复时系统电源的状态。设定值有：
Power Off（保持系统处于关机状态）
Power On（保持系统处于开机状态）
Last State（恢复到系统断电前的状态）进入挂起/睡眠模式，但若按钮被揿下超过4秒，机器关机。
把这个选项改成power off就行了！

2、首先进入BIOS的设置主界面，选择[POWER MANAGEMENT SETUP]，再选择[PWR Lost Resume State]，这一项有三个选择项。
选择[Keep OFF]项，代表停电后再来电时，电脑不会自动启动。
选择[Turn On]项，代表停电后再来电时，电脑会自动启动。
选择的[Last State]，那么代表停电后再来电时，电脑恢复到停电前电脑的状态。断电前如果电脑是处于开机状态，那么来电后就会自动开机。断电前是处于关机状态，那么来电后电脑不会自动开机。

3、有的BIOS中[POWER MANAGEMENT SETUP]没有上面说的[PWR Lost Resume State]，可以在[PWRON After PWR-Fail]→[Integrated Peripherals]选项中找到两个选项：ON(打开自动开机)和OFF(关闭自动开机)，设置为OFF即可。

不同的主板及BIOS型号相对应的选项会有所不同，但我想应该会差不多，一般都在[POWER MANAGEMENT SETUP]这个选项中可以找到相应的设置选项！

一、来电自动开机

一般计算机在市电停电再来电后主机不会自动开启，你需要按一下POWER键重新开机，而服务器一般都能在市电断开再来电的时候自动加电开机，这一功能是怎么实现的呢？其实很简单，你家的计算机也有这样的功能，只需进入BIOS进行设置即可。

开机按“DEL”键，进入主板的BIOS，选择“Power Management Setup（电源管理设置）”，其中有一个选项为“Pwron After PW-Fail”意思是：电源故障断电之后，来电自动开机。默认设置值是“Disabled”，即接通电源后不会自动开机，我们把该项设置值改为“Enabled”，这样断电恢复后就能自动开机了。不过，并不是每一款主板都支持这项功能的，你自己进入BIOS，实地查看一下就知道了。

二、定时开机

现在有很多定时关机的软件，可以设计一个时间，计算机到时间自动关机。但是开机就不会受软件的控制了，只能通过主板的BIOS设置来解决。

方法是，开机按Del键，进入BIOS设置程序画面。选择“Power Management Setup”(电源管理设置)，将“RTC Alarm Resume”(预设时间启动)一项设置为“Enabled”，下面出现两个设置项，“Date of month”(系统开机日期)和“Time(hh:mm:ss)”(系统开机时间)，通过这两项设置开机的日期和时间，日期可以设置为“Event Day”（每天）,设置好后，计算机就会根据你设定的时间自动开机了。

三、鼠标开机

开机按Del键，进入BIOS设置程序画面。选择“Power Management Setup”(电源管理设置)选项，将“Mouse Power On”的值改为“Enabled”，保存退出，这样通过双击鼠标按键就可以开机了。

四、键盘开机

同鼠标开机设置方法差不多，开机按Del键，进入BIOS设置程序画面。将“Power Management Setup”(电源管理设置)下面的选项“Keyboard Power On”的值改为“Enabled”，这样通过按键盘上的“POWER”就可以开机了。

五、密码开机

如果你不希望别人随便动你的电脑，你可以设置密码开机。开机进入CMOS设置，进入“Power Management Setup”(电源管理设置)，找到“Keyboard 98 Password”选项，然后输入相应的密码，这样你可以通过在键盘上输入你的密码开机了。有的主板在设置这一选项后自动屏蔽主机面板上的“POWER”键，如果不能屏蔽的话，你可以拔掉主板上与机箱面板的Power键相连的接针，使机箱面板上的开机按钮失效。这样别人不知道密码就不会随便开启你的机器了。

六、远程唤醒

远程唤醒就是通过局域网实现远程开机，无论你的计算机离你有多远、处于什么位置，只要在同一局域网内，就能被随时启动。

实现这一功能，需要主板和网卡的支持，还需要专门的软件。

主板的设置方法是，进入CMOS参数设置。选择电源管理设置“Power Management Setup”菜单，将“Wake up on LAN”项和“Wake on PCI Card”项均设置为“Enable”，启用该计算机的远程唤醒功能。另外还需将网卡上的“Wake-on-LAN”功能设置为“Enable”。

然后检测你的网卡的MAC地址，这是识别每一个网卡的唯一地址。查看方法是：

WIN98、WINME：依次单击“开始/运行”，键入“winipcfg”并回车，弹出“IP配置”窗口。在下拉列表中选择“PCI Fast Ethernet Adapter”，此时显示在“适配器地址”栏中的文字即为该网卡的MAC地址。

WIN2000、WINXP：依次单击“开始/运行”，键入“cmd”并回车，在命令提示符下输入“ipconfig/all”，回车，显示的一组类似“00-E0-4C-3C-55-28”的16进制数值好为网卡的MAC地址。

然后就是远程操作的软件了，一般具备远程操作功能的网卡都随卡带一个软件，使用那个软件就可以实现远程开机。软件的操作方法一般都很简单，打开软件，输入要开机的MAC地址即可。

以上介绍了几种特殊的开机方法，希望给你带来一些方便，但是并非所有功能在你的计算机上都能实现的，要看主板的型号和BIOS的版本，另外，各种BIOS的版本不一样相应设置方法也有可能稍有不同，不过有点英文基础的电脑爱好者都会很容易找到你需要的功能的。

NetScreen防火墙防御DoS（拒绝服务）攻击详细介绍

qubingjian@163.com(ququ) — Thu,09 Apr 2009 11:32:58 +0800

一．拒绝服务攻击DoS
1. 拒绝服务攻击的目的是用极大量的虚拟信息流耗尽受害者的资源，使其无法处理合法的信息流。攻击的目标可以是防火墙、防火墙所保护的网络资源、个别主机的特定硬件平台或操作系统等。通常DoS攻击中的源地址是欺骗性的。

2. 发自多个源地址的DoS攻击称为分布式拒绝服务攻击（DDoS）。DDoS攻击中的源地址可以是欺骗性地址，也可以是被损害过的主机的实际地址，或者是攻击者目前正用作“zombie代理”且从中发起攻击的主机实际地址。

3. netscreen防火墙提供了九种拒绝服务攻击的检测和防御：
   会话表泛滥攻击的检测和防御
   SYN-ACK-ACK代理泛滥攻击的检测和防御
   SYN泛滥攻击的检测和防御
   ICMP泛滥攻击的检测和防御
   UDP泛滥攻击的检测和防御
   陆地攻击的检测和防御。
   Ping of Death攻击的检测和防御
   Teardrop攻击的检测和防御
   WinNuke攻击的检测和防御。

二．会话表泛滥攻击的检测和防御
1．攻击者通过填满防火墙的会话表，使防火墙不能产生任何新的会话，拒绝新的连接请求，从而产生DoS攻击。防火墙主要采用基于源和目标的会话限制和主动调整会话超时的主动失效机制两种手段来减轻这类攻击。

2．选择SCREEN选项“Source IP Based Session Limit”和“Destination IP Based Session Limit” 将启动基于源和目标的会话限制功能。默认的基于源和目标的会话限制是每秒128个并发连接。

3．基于源的会话限制将限制来自相同源地址的并发会话数目，可以阻止像Nimda、冲击波这样的病毒和蠕虫的DoS攻击。这类病毒会感染服务器，然后从服务器产生大量的信息流。由于所有由病毒产生的信息流都始发于相同的IP地址，因此基于源的会话限制可以保证防火墙能抑制这类巨量的信息流。当来自某个IP 地址的并发会话数达到最大限值后，防火墙开始封锁来自该IP地址的所有其他连接尝试。假如网络发生了冲击波病毒，我们可以将内网的基于源的会话限制设置为一个比较低的值（比如设为50），那些不能上网的机器，很可能就是中了毒，立刻隔离并进行查杀病毒和打补丁。

4．攻击者可以从上百个被他控制的主机上发起分布式拒绝服务（DDoS）攻击。基于目标的会话限制可以确保防火墙只允许可接受数目的并发连接请求到达任意主机，而不管其来源。当访问某服务器的并发会话数超限时，防火墙将封锁到该服务器的所有其他的连接尝试。

5．在默认情况下，最初的TCP三次握手的超时值为20秒，会话建立后，超时值改变为1800秒；对于HTTP和UDP，超时值分别为300秒和60秒。当发生攻击时，并发会话数很快增长，但由于超时值的限制，那些没有完成的连接会话就会迅速填满会话表。防火墙提供了一种主动失效机制，当会话表的使用达到一个高限值时（比如最大并发会话数的80%），缩短会话超时值，提前删除会话。当会话表的使用低于某个低限值时（比如最大并发会话数的60%），超时值恢复为默认值，超时进程恢复正常。主动失效机制将以设定的会话主动失效速率缩短默认的会话超时值，加速会话失效。失效速率值可在2~10个单位间选择（每个单位表示10秒）。该功能要通过命令来设置。
  set flow aging low-watermark 60
  set flow aging high-watermark 80
  set flow aging early-ageout 6
上述设置的作用是当会话表的使用达到最大并发会话数的80%时，启动主动失效机制加速会话失效。此时，TCP的会话超时值由1800秒缩短为1740秒， HTTP的会话超时值由300秒缩短为240秒，而UDP的会话超时值缩短为0。防火墙将自动删除超时值超过1740秒的TCP会话和超时值超过240秒的HTTP会话，首先开始删除最早的会话。提前60秒超时的设置导致所有的UDP会话超时，并在下一次垃圾清扫时被删除。当会话表的使用下降到最大并发会话数的60%时，停止加速失效，会话超时值恢复为原来的默认值。这样可以有效地抑制使防火墙会话表泛滥的攻击。

三．SYN-ACK-ACK代理泛滥攻击的检测和防御
1．当认证用户发起Telnet或FTP连接时，防火墙截取用户发往Telnet或FTP服务器的SYN片段，在其会话表中创建一个条目，并代发一个 SYN-ACK片段给用户，然后该用户用ACK应答，从而完成最初的三次握手。之后，防火墙向用户发出登陆提示。如果用户是一个攻击者，他没有响应登陆而是继续发起SYN-ACK-ACK会话，由此引发了SYN-ACK-ACK代理泛滥，最终会填满防火墙的会话表，从而拒绝合法用户的连接请求。

2．为阻挡这种攻击，可以启动SCREEN的“SYN-ACK-ACK Proxy Protection”选项。在来自相同IP地址的连接数目达到SYN-ACK-ACK代理阀值后（默认是512，可选1-250000之间任何整数以适应不同的网络环境）防火墙将拒绝来自该地址的更多其他连接请求。

四．SYN泛滥攻击的检测和防御
1. 利用欺骗性的IP源地址（不存在或不可到达）大量发送请求TCP连接的SYN片段，这些无法完成的TCP连接请求，造成受害主机的内存缓冲区被填满，甚至操作系统被破坏，从而无法再处理合法的连接请求，此时就发生了SYN泛滥。

2．为阻挡这种攻击，可以启动SCREEN的“SYN Flood Protection”选项。防火墙设定每秒通过指定对象（目标地址和端口、仅目标地址或仅源地址）的SYN片段数的阀值，当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时，防火墙就开始截取连接请求和代理回复SYN/ACK片段，并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时，防火墙拒绝来自相同安全区域（zone）中所有地址的新SYN片段，避免网络主机遭受不完整的三次握手的攻击。

3．设置下列检测和防御SYN泛滥攻击的阀值
Attack Threshold：每秒发往相同目标地址和端口号的SYN片段数目达到该阀值时将激活SYN代理(默认值是200)。如果设置Attack Threshold=1000pps，当攻击者每秒发送999个FTP封包和999个HTTP封包，由于每一组封包（具有相同目的地址和端口号的封包被视为一组）都没有超过1000pps的设定阀值，因此不会激活SYN代理。

Alarm Threshold：每秒代理的发往相同目标地址和端口号的未完成的连接请求数超过此阀值时将触发警告(默认值是1024)。如果设定Attack Threshold=300，Alarm Threshold=1000，则每秒发往相同目标地址和端口号的前300个SYN片段可以通过防火墙，在同一秒内，防火墙代理后面的1000个SYN片段，第1001个代理连接请求（即该秒内第1301个连接请求）将会触发警告。

Source Threshold：防火墙开始丢弃来自该源地址的连接请求之前，每秒从单个源IP地址接收的SYN片段数目（不管目标地址和端口号是什么）。默认值是 4000pps。设置了此阀值时，不管目标地址和端口号是什么，防火墙都将跟踪SYN封包的源地址；当超过此阀值时，对于该秒的剩余时间及下一秒内，防火墙将拒绝来自该源地址的所有其他SYN封包。

Distination Threshold：当每秒发往单个目标IP地址（不管目标端口号）的SYN片段数目超过此阀值时，防火墙将拒绝发往该目标地址的所有新连接请求。默认值是40000pps。如果设定Distination Threshold=1000pps，当攻击者每秒发送999个FTP封包和999个HTTP封包时，防火墙将发往同一目标的FTP和HTTP封包看成是一个组的成员，并拒绝发往该目标地址的第1001个封包（FTP或HTTP封包）。

Timeout：未完成的TCP连接被从代理连接队列中丢弃前的最长等待时间。默认是20秒。

Queue size：防火墙开始拒绝新连接请求前，代理连接队列中最大存放代理连接请求的数量。默认值是10240.

五. ICMP泛滥攻击的检测和防御
1. 受害者耗尽所有资源来响应ICMP回应请求，直至无法处理有效的网络信息时，就发生ICMP泛滥。

2．启用SCREEN的“ICMP Flood Protection”选项可以抵御ICMP泛滥攻击。一旦超过设定的阀值（默认为每秒1000个封包），防火墙在该秒余下的时间和下一秒内拒绝来自相同安全区域（zone）所有地址的更多ICMP回应请求。

六．UDP泛滥攻击的检测和防御
1. 当攻击者大量发送含有UDP数据报的IP封包以减慢受害者的操作速度，以致于受害者无法处理有效的连接时，就发生UDP泛滥。

2．启用SCREEN的“UDP Flood Protection”选项可以抵御UDP泛滥攻击。如果发送给单个目标的UDP数据报数目超过设定的阀值（默认为每秒1000个封包），防火墙在该秒余下的时间和下一秒内拒绝来自相同安全区域（zone）并发往该目标地址的更多UDP数据报。

七.陆地（Land）攻击的检测和防御
1. Land攻击将SYN泛滥攻击和IP地址欺骗结合在一起。当攻击者大量发送以被攻击者的IP地址作为源和目的地址的SYN封包时，就发生Land攻击。被攻击者向自己发送SYN-ACK封包进行响应，创建一个空的连接，该连接一直保持到连接超时为止。大量的这种空连接将耗尽系统的资源，导致DoS发生。

2．启用SCREEN的“Land Attack Protection”选项可以封锁Land攻击。防火墙将SYN泛滥防御和IP地址欺骗防御技术有机地相结合，防御这种攻击。

八. Ping of Death攻击的检测和防御
1．IP协议规定最大IP封包长度是65535字节，其中包括长度通常为20字节的封包包头。ICMP回应请求是一个含有8字节ICMP包头的IP封包，因此ICMP回应请求数据区最大长度是65507字节（65535-20-8）。

2．许多ping程序允许用户指定大于65507字节的封包大小，在发送过大的ICMP封包时，它将被分解成许多碎片，重组过程可能导致接受系统崩溃。

3．启用SCREEN的“Ping of Death Attack Protection”选项，防火墙将检测并拒绝这些过大且不规则的封包，即便是攻击者通过故意分段来隐藏总封包大小。

九. Teardrop攻击的检测和防御
1. IP包头的碎片偏移字段表示封包碎片包含的数据相对原始未分段封包数据的开始位置或偏移。当一个封包碎片的开始位置与前一个封包的结束位置发生重叠时（例如，一个封包的偏移是0，长度是820，下一个封包的偏移是800），将会导致有些系统在重组封包时引起系统崩溃，特别是含有漏洞的系统。 Teardrop攻击就是利用了IP封包碎片重组的特性。

2．启用SCREEN的“Teardrop Attack Protection”选项，只要防火墙检测到封包碎片中这种差异就丢弃该封包。

十. WinNuke攻击的检测和防御
1. WinNuke攻击是针对互联网上运行Windows系统的计算机。攻击者将TCP片段发送给已建立连接的主机（通常发送给设置了紧急标志URG的 NetBIOS端口139），这样就产生NetBIOS碎片重叠，从而导致运行Windows系统的机器崩溃。重新启动遭受攻击的机器后，会显示下面的信息：
An exception OE has occurred at 0028:[address] in VxD MSTCP(01)
000041AE. This was called from 0028:[address] in VxD NDIS(01)
00008660.It may be possible to continue normally.
Press any key to attempt to continue.
Press CTRL ALT DEL to restart your computer. You will lose any unsaved information in all applications.
Press any key to continue.

2．启用SCREEN的“WinNuke Attack Protection”选项，防火墙扫描所有流入139端口（NetBIOS会话服务）的封包，如果发现其中一个封包设置了URG标志，防火墙将取消该 URG标志，清除URG指针，转发修改后的指针，然后在事件日志中写入一个条目，说明其已封锁了一个WinNuke攻击的尝试。

混在长沙的101招（转载）

qubingjian@163.com(ququ) — Sat,07 Mar 2009 22:56:59 +0800

混在长沙的101招。大家觉得好就支持下哈

【找方便】

1.过了周四想买《晨报周刊》，要挑一些偏远的报刊亭，比如最近正在修路的书院路，直行便能出城的劳动东路。
2.去中国银行或建设银行办业务，要做好打持久战的心里准备，如果不想等上几个小时，建议多存点钱弄张VIP。
3.王府井电影院大厅最好的座位是第8排，雨花亭电影院大厅最好的座位是第11排，视线高度与屏幕中心齐平，绝对不会看出颈椎病。
4.买《城市画报》、《0086》，跟家门口报摊的老板打个招呼，这样以后他每月会进两本，给你留一本。
5.在长沙听广播，新闻95.5，及时路况91.8，查询违章88.6，只听音乐89.3。
6.湖南卫视D2区，长沙明星最多的地方，虽然有7个武警站岗，进去不容易，不过也不是完全没机会，在百度贴吧发帖，紧急加入歌友会，就可以到现场参加互动活动了。
8.带小孩看病，去天心阁后门附近的金甄诊所，70多岁的李教授坐诊，除了看病要排队挂号，一般打针半小时搞定。
9.买放心鸡蛋，去荷花池的罗立新家里，他家的“绿色蔬菜超市”里卖的都是正宗土鸡蛋。
10.玩个性改装，去隆祥，长沙最有名的改装车行，帮你改装，还帮你合法上路。

【更划算】

11.新河往西有个老木材加工厂，可以买到各种品牌各种类型的复合木地板，价格比市场价便宜约30%。
12.定王台书市旁九楼有个桌球厅，全部是美式台球桌，非节假日的上午，10块钱可以打一个小时。
13.有人在河西堕落街买过一双1.2元的夹板拖鞋，并且穿了一个夏天。
14.王府井看电影，可以先去净果甜品买优惠票，打对折。
15.国储电脑城负一楼的右边，有批发硬盘、内存和CPU的专店，冒充楼上电脑公司的小妹可以用批发价拿货。
16.在超市买了很多东西，可以蹭超市的免费大巴，事先了解线路，可以一直坐到打的最便宜的站点。
17.在大学城的报刊亭可以买到最新最全的杂志，比定王台还方便。
18.锦绣中环大厦的龙之媒书店，据说可以买到近期的《milk》、《ppaper》。
19.金满地的过刊齐全，价格全城最低，20元一本的《瑞丽家居》居然只卖5块钱。
20.只要是学校附近，无论中学大学，都会有无数的奶茶店，良性竞争下，性价比很高。

【当季】

21.石燕湖后山有蕨菜和笋子，自己采来做菜下酒。活跃月份：四五月。
22.岳麓山后山，不仅可以钓鱼，还是葡萄基地，有自酿葡萄酒出售。活跃月份：八九月。
23.岳麓山党校附近，五元一袋的桔子，自摘并且随你吃。活跃月份：九十月。
24.望城百果园，有新鲜无污染的小黄瓜。活跃月份：这个季节刚刚好。
25.去农大附近采草莓，只限三月，记得带一双长筒套鞋。
26.如果喜欢绿色，大可不必去超市商场，红星市场百元可以买回一车当季的花花草草。
27.“看万山红遍，层林尽染”，在岳麓山，是11月中下旬到12月初。麓山红叶有提前红的趋势，留意《晨报周刊》的红叶信息。
28.去大围山漂流，六到十月都可以。
29.初夏初秋别太早收被子，说不定哪天大雨一飘，气温骤降十几度。
30.不从安全的角度考虑，夏天夜游湘江还是一件很惬意的事。

【好地方】
31.岳麓书院门前的石桌，阅读清净。
32.岳麓山青枫峡的茶座与牌座，黄兴墓前的红薯粉摊子，都是清凉的地方。
33.省图一楼的自习室，二楼、三楼的长走廊，这个城市里最安静舒适的地方。
34.新世界对门，很安静很大的阅读花园咖啡馆，每周有活动，可以结识很多朋友。
35.漂亮宝贝第一形象店，做男士SPA的私密空间。
36.芙蓉广场的可可请吧，只邀请你喜欢的乐队演出，不然就安安静静的。
37.河西渔湾市零散分布的十几家旧书店，可以快意地一路淘来。
38.佳程酒店33楼的星月廊，赏夜景和吃牛排不错，其他炒菜水平一般。
39.潇湘华天楼顶是个直升机起降台，登高望远，晴天时山水洲城尽收眼底。

【吃】

41.市Government食堂的包子，上午10点前限量卖。去市Government采访，惯例是记者采访，司机买包子。包子6毛一个，餐券在食堂南门兑换。
42.百联东方广场对面的李公庙糖油粑粑，下午2点卖到5点，一年还有几个月，老板全家休年假。
43.银园的馒头，湖南省图书馆南边50米，每天下午4点半卖到5点半。馒头为老面发酵，奇软无比。
44.水絮塘(定王台附近)的红薯粑粑，只在隆冬时出来，10点开张，炸到下午2点收摊，每天排队，炸出来一个卖掉一个。
45.解放西路汇源大厦旁边的巷子里，卖牛肉串的家庭作坊，下午4点开门，最多卖到6点半。有人开车来，蹲在地上吃。
46.在岳麓山响鼓岭的步虚楼要一份酸菜蒸肉打包，拎着它爬山几分钟，到山顶附近祥云阁，坐下来再点一份平锅鱼、小菜、汤。再也不吃着碗里，想着别人锅里的了。
47.土豆泥、兰花干、糖醋排骨、碗糕和光头粉，文庙坪最齐全，路旁还有很多小玩意、饰品和衣服，边吃边逛。
48.百联东方广场中间的巷子里，在“果子狂想曲”吃烧仙草、豆花，还要搭配一份对面泡菜店的酸萝卜。
49.三王街，为了“向群”的几两锅饺，排一个小时队不明智，不如买了筹码先去红梅吃碗冰豆沙和卤味四合一。
50.去河边放风筝，骑便宜的双人单车，在河边的船上吃鱼。
51.人民医院对门巷子里的大不同花生和玉米，荷花池的翁不倒蚕豆，百吃不厌。
52.西文庙坪的自酿谷酒，靠近牌楼，有奇香。
53.蔡锷路的长青汤圆店，与长沙众多变了味的百年老店相比，祖传手艺的小磨汤圆依然粉质细嫩。
54.开福寺的素面，初一早上煮面的师傅说，不记得卖了多少碗，手都酸了。
55.汴河边，“顶好”门面不到3平米，卖长沙最辣的卤香干和藕。
56.王府井的水果捞有个叫焗番薯的玩意，让你知道一个经过十八般折腾的外地红薯是个什么味道，有人百吃不腻，而且忽略吃完会放气的危险。
57.金色年华后面，三牛的生蚝最好吃。有胆子的话，跟老板一起生吃。
58.喜来登虽然很高档，但是有性价比很高的自助餐，包括哈根达斯冰淇淋、龙虾、牛排、各国风情的主食和甜点。
59.三王街的西安凉皮、东来顺的烤鸭、广电渔村的鱼丸，建议打包带走，因为除了这三样，店内其他味道不值一提。
60.平和堂的负一楼有号称长沙市最好吃的泡芙，甜而不腻。

【行】
61.早上7点到8点半，下午4点到6点，在长沙开车到哪里都不方便。12点到1点半，去哪里都方便了。
62.晚上11点到次日临晨6点前，咪表停车位免费停车。
63.钻石钱柜前面有免费停车场。
64.长沙所有的右转弯车道都没有电子眼。红灯开启2秒后，电子眼才开始工作。
65.石马路口靠《晨报周刊》这边的信号指示灯，由北往南直行灯永远是绿灯，然而时间显示却永远是红色，有些驾驶员担心闯红灯会减速停下，其实上了当。
66.天热的时候走小巷子，太阳比较小，因为小路一般绿化比大路好。快迟到了，某些小路能帮你抄近路。
67.住在长沙，宁愿买SUV也不要买敞篷跑车，开玛莎拉蒂的美女说篷子至今没打开过，跟着人家屁股后面走的速度也不见得比夏利快多少。
68.京珠高速有三个入口进长沙：长沙南、长沙市、长沙北。从进城的速度考虑，到韶山南路，从长沙南进；到东塘，从长沙市进，到广电，从长沙北进。从云贵来长沙，走长潭西高速，猴子石大桥，学士收费站入长沙最快。
69.下班高峰期，只有出城方向，能够拦到的士。比如在韶山路上，往南绝对有车，往北你就甭指望了。
70.凌晨打车，去星级大酒店门口和酒吧门口等，比较靠谱。

【成为里手】

71.学长沙话，听C-block的长沙rap，可以听歌练口语，可以加入论坛练写作。
72.讨好长沙婆婆的办法，就是陪打2元一炮、扎一个鸟的小麻将。
73.清水塘的古玩星期六早上开市，资深的收藏者，星期五晚上就会去附近的小旅馆找外地买家看货。
74.长沙人爱吃辣，所以要多吃蔬菜水果，降降火，硬是降不下来，就吃牛黄丸，非常管用。
75.最纯净的水，在白沙井和岳麓山。到岳麓山中南大学附近打山泉水，锻炼身体，还有亲友席可坐。
76.混大学区。大学附近的夜宵摊，如铁道学院的烧烤，理工大学的炒粉，财经学院的火锅，堕落街口的牛蛙，价廉物美。还可以在他们的校园谈恋爱，去他们的操场跑步。
77.坐没有窗帘的公交车(还不少)，从城北到城南上班，上午坐在车门那边不会晒到太阳，下午回家，还是那一边。
78.由南往北，去湖南日报要在松桂园下，如果到经武门下你要折回来好长，还要过马路。芙蓉路有很多车站相隔很远，乘车要注意。
79.南门口的五唉结臭豆腐只做半天生意，下午6点前就卖完。不要在黄兴路上排队傻等，拐进旁边的小巷子，同一个老板，另设的窗口。
80.长沙公交车有个习惯，一趟满，紧接着的下一趟就比较空，如果不赶时间，不妨等一等。这个规则在永远人满为患的五一广场、南门口等地不适用。

【圈子】

81.QQ、菠萝派（波罗）、回声营(夏利为主)，加入这些车友会，有丰富的自驾线路，还可以成为大客户，保险、维修都便宜。
82.穿石坡湖，夜登岳麓山的驴友，喜欢在这里扎帐篷，煮咖啡，看星星。
83.步行街和贺龙体育场，傍晚时分总有很多人牵着大大小小的名犬在逛，狗狗相亲的好地方。
84.五一广场，经常有轮滑爱好者训练和表演，偶尔能碰到国外的高手。
85.侯家塘的舞媚钢管舞培训中心，美女多，加入摄友圈，你就可以大方拍照和搭讪。
86.湘江二桥下紫凤公园，包括附近50多亩的范围，可以找到的圈子有：民间花鼓戏表演，三人篮球，丛林野战。很奇怪他们居然相处融洽。
87.每周二晚在皇冠假日酒店，肯定有老外参加的英语沙龙，是大龄英语爱好者的集结地。
88.中南大学铁道校区的剑道馆，长沙唯一，虽然硬件差了点，但练习的都是一群很迷剑道的朋友。
89.加入团购圈，不仅买大件家电、装修可以打折，还可以买到长沙没有的好东西，比如友友牌无骨凤爪。
90.拼车、拼饭、拼人玩快闪，都有圈。

【私家】

91.去某些有武警把手的Government部门，进门时要掏出手机，边走边说：哦，领导啊，我已经到你们门口了，然后当没人一样走进去。
92.在长沙生活，有时候要会耍流氓。凶一点，口气硬一点，办事有时候就麻利一点。
93.不要在上午9点到10点之间去银行，排半个小时的队是客气的。下午4点到5点去，惟一需要注意的是把握好银行下班时间。
94.在长沙不吃辣椒可以，但很多场合似乎不由你决定放不放辣椒或有多辣，比如和领导客户一起，这时候备一点牛黄解毒片、王老吉，至少能让脸上少长几个陀。
95.租房子时，不要在中介手中租，要找到房东，并且看一看他的房产证。
96.长沙人爱热闹到了极致，逢年过节最好不要出门，特别不要去五一广场、步行街、烈士公园凑热闹，痱子都可以给你挤出来。
97.打的要先上车，再告诉他你去哪，如果他不去，你就不下车。另外如果他收了燃油附加费，记得要发票，敦促他交税。
98.去星沙的“宗人府”吃韩国料理，跟老板学韩语免费，除了路途远了点。
99.春秋时节的衣服不需要多买，即便是卖场疯狂打折也不要，照现在的趋势，二月才过了年，三月就可以穿裙子了。
100.买碟，我只去晓园公园旁边的嘉信

读懂路由表

qubingjian@163.com(ququ) — Wed,24 Dec 2008 18:11:30 +0800

Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.88 1
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.68 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.123.0 255.255.255.0 192.168.123.68 192.168.123.68 1
192.168.123.0 255.255.255.0 192.168.123.88 192.168.123.88 1
192.168.123.68 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.88 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.255 255.255.255.255 192.168.123.68 192.168.123.68 1
192.168.123.255 255.255.255.255 192.168.123.88 192.168.123.88 1
224.0.0.0 224.0.0.0 192.168.123.68 192.168.123.68 1
224.0.0.0 224.0.0.0 192.168.123.88 192.168.123.88 1
255.255.255.255 255.255.255.255 192.168.123.68 192.168.123.68 1
Default Gateway: 192.168.123.254
====================================================
当前的路由：
　　destination 目的网段
　　mask 子网掩码
　　interface 到达该目的地的本路由器的出口IP
　　gateway 下一跳路由器入口的ip，路由器通过interface和gateway定义一调到下一个路由器的链路，通常情况下，interface和gateway是同一网段的
　　metric 跳数，该条路由记录的质量，一般情况下，如果有多条到达相同目的地的路由记录，路由器会采用metric值小的那条路由

第一条
　　缺省路由：意思就是说，当一个数据包的目的网段不在你的路由记录中，那么，你的路由器该把那个数据包发送到哪里！缺省路由的网关是由你的连接上的default gateway决定的
　　该路由记录的意思是：当我接收到一个数据包的目的网段不在我的路由记录中，我会将该数据包通过192.168.123.88这个接口发送到192.168.123.254这个地址，这个地址是下一个路由器的一个接口，这样这个数据包就可以交付给下一个路由器处理，与我无关。该路由记录的线路质量 1

第二条
　　缺省路由：
　　该路由记录的意思是：当我接收到一个数据包的目的网段不在我的路由记录中，我会将该数据包通过192.168.123.68这个接口发送到192.168.123.254这个地址，这个地址是下一个路由器的一个接口，这样这个数据包就可以交付给下一个路由器处理，与我无关。该路由记录的线路质量 1

第三条
　　本地环路：127.0.0.0这个网段内所有地址都指向自己机器，如果收到这样一个数据，应该发向哪里该路由记录的线路质量 1

第四条
　　直联网段的路由记录：当路由器收到发往直联网段的数据包时该如何处理，这种情况，路由记录的interface和gateway是同一个。
　　当我接收到一个数据包的目的网段是192.168.123.0时，我会将该数据包通过192.168.123.68这个接口直接发送出去，因为这个端口直接连接着192.168.123.0这个网段，该路由记录的线路质量 1

第五条
　　直联网段的路由记录
　　当我接收到一个数据包的目的网段是192.168.123.0时，我会将该数据包通过192.168.123.88这个接口直接发送出去，因为这个端口直接连接着192.168.123.0这个网段，该路由记录的线路质量 1

第六条
　　本地主机路由：当路由器收到发送给自己的数据包时将如何处理
　　当我接收到一个数据包的目的网段是192.168.123.68时，我会将该数据包收下，因为这个数据包时发送给我自己的，该路由记录的线路质量 1

第七条
　　本地主机路由：当路由器收到发送给自己的数据包时将如何处理
　　当我接收到一个数据包的目的网段是192.168.123.88时，我会将该数据包收下，因为这个数据包时发送给我自己的，该路由记录的线路质量 1

第八条
　　本地广播路由：当路由器收到发送给直联网段的本地广播时如何处理
　　当我接收到广播数据包的目的网段是192.168.123.255时，我会将该数据从192.168.123.68接口以广播的形势发送出去，该路由记录的线路质量 1

第九条
　　本地广播路由：当路由器收到发送给直联网段的本地广播时如何处理
　　当我接收到广播数据包的目的网段是192.168.123.255时，我会将该数据从192.168.123.88接口以广播的形势发送出去，该路由记录的线路质量 1

第十条
　　组播路由：当路由器收到一个组播数据包时该如何处理
　　当我接收到组播数据包时，我会将该数据从192.168.123.68接口以组播的形势发送出去，该路由记录的线路质量 1

第十一条
　　组播路由：当路由器收到一个组播数据包时该如何处理
　　当我接收到组播数据包时，我会将该数据从192.168.123.88接口以组播的形势发送出去，该路由记录的线路质量 1

第十二条
　　广播路由：当路由器收到一个绝对广播时该如何处理
　　当我接收到绝对广播数据包时，将该数据包丢弃掉

连接的缺省网关：192.168.123.254

安全从定制IP策略开始

qubingjian@163.com(ququ) — Mon,24 Nov 2008 22:08:47 +0800

了解IP安全策略

　　IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。

　　实战IP安全策略

　　1、创建一个IP安全策略

　　第一步：单击"开始"菜单，然后选择"设置→控制面板"，在弹出的"控制面板"中，双击"管理工具"图标，进入到"管理工具"中，再次双击其中的"本地安全策略"图标并进入到"本地安全策略"对话框中。

　　第二步：用鼠标右击"IP安全策略"，选择"创建IP安全策略"命令

　　在弹出的"IP安全策略向导"对话框中，单击"下一步"按钮，输入IP安全策略的名称

　　如"屏蔽135端口"，再次单击"下一步"按钮，保持默认参数设置不变，直至完成位置，这样就创建出来了一个"屏蔽135端口"的安全策略，单击"确定"按钮返回。

　　2、设置IP筛选器

　　鼠标右击"IP安全策略"，选择"管理IP筛选器和筛选器操作"，进入到相应得对话框中，在"管理IP筛选器列表"页面中，点击"添加"按钮，在弹出的"IP筛选器列表"中输入名称"屏蔽135端口"，单击"添加"按钮，再点击"下一步"按钮。在目标地址中选择"我的IP地址"，点击"下一步"按钮，在协议中选择"TCP"(一般选择此项，根据具体的端口设定，如关闭ICMP协议时，这里选择ICMP)，如图3所示，点击"下一步"按钮，在设置IP协议端口中选择从任意端口到此端口，在此端口中输入135，点击"下一步"按钮，即可完成屏蔽135端口的设置，单击"确定"按钮返回。其他端口的设置与此类似。

　　3、筛选器操作

　　还是在"管理IP筛选器和筛选器操作"对话框，进入到"管理筛选器操作"页面，点击"添加"按钮后，再单击"下一步"按钮，在名称中输入"拒绝"，点击"下一步"按钮。在筛选器操作中选择"阻止"项，点击"下一步"按钮，这样在管理筛选器操作中就会增加"拒绝"一项了。单击"关闭"按钮返回到"本地安全设置"对话框中。

　　在"本地安全设置"对话框中双击左侧窗口中的"IP安全策略在本地计算机"，我们可以看到右侧窗口中会出现"屏蔽135端口"字样，用鼠标右击这个新建的IP安全策略"屏蔽135端口"，选择"属性"。在规则中选择"添加"，点击"下一步"按钮，选择"此规则不指定隧道"，接着点击"下一步"按钮，在选择网络类型中选择"所有网络连接"，点击"下一步"按钮，在IP筛选器列表中选择"屏蔽135端口。

　　点击"下一步"按钮，在出现的窗口中选中前面操作中添加的"拒绝"，单击"下一步"按钮，这样就将筛选器加入到了名为 "屏蔽135端口"的IP安全策略中了，单击"确定"按钮返回。

　　4、指派

　　完成了"屏蔽135端口"的IP安全策略的建立，但是在未被指派之前，它并不会起作用。用鼠标右击"屏蔽135端口"，选择"指派"后，IP安全策略就生效了。同样的方法还可以用于其他的端口和用途，举一反三！

OpenVPN客户端配置文件祥解

qubingjian@163.com(ququ) — Wed,19 Nov 2008 14:21:05 +0800

[replyview]
# Linux或Unix下使用扩展名为.conf
# Windows下使用的是.ovpn
# 把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key

# 标注自己是个客户端
# 配置从server端pull过来，如IP地址，路由信息之类"Server使用push指令push过来的"
client

# 路由模式或桥模式
# 这项要和服务器端一样
;dev tap
dev tun

# 在Windows上如果你更多的网络接口，你需要在网络连接控制面板上增加
# TAP-Win32适配器接口名
# 在XP SP2或更高系统上，你需要使windows防火墙对该接口不执行过滤规则
# 非Windows系统通常不需要设置这个
;dev-node MyTap

# TCP还是UDP server?
;proto tcp
proto udp

# 远程服务器主机名和端口
# 你可以设置多个服务器来做负载均衡
remote server.teczm.com 1194 #用域名比较好,除非dns DOWN机
;remote my-server-2 1194

# 负载均衡时所用:
# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random

# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，
# Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite

# 在本机不绑定任何端口监听incoming数据，
# Client无需此操作，除非一对一的VPN有必要
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
persist-tun

# 这项用于通过http代理访问openvpn服务器的情况
# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，
# auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 这项用于无线网络
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# 证书/key文件指向
# Root CA 文件的文件名，用于验证Server CA证书合法性，
# 通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt

# easy-rsa/build-key生成的key pair文件，
#上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert client.crt
key client.key

# 该项检测服务器证书可靠性
# Server使用build-key-server脚本生成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
;tls-auth ta.key 1

# 选择一种加密算法,必需和服务器端一致
;cipher x

# 允许数据压缩
# 这项和服务器配置文件一样
comp-lzo

# 设置日志记录冗长级别
verb 3

# 重复日志记录限额
mute 20

OpenVPN服务器端配置文件祥解

qubingjian@163.com(ququ) — Wed,19 Nov 2008 14:20:25 +0800

[replyview]
# 哪个本地ip地址将被Openvpn监听?
# 也可以不注明
;local a.b.c.d

# 哪一个tcp/udp端口将被监听?
# 如果你要在一台机器上启动多个OpenVPN,你需要监听不同的端口
# 记着在防火墙那里打开这些端口
port 1194

# TCP还是UDP协议?
# 如果采用HTTP proxy，必须使用TCP协议
proto udp

# "dev tun" 将创建1个路由隧道
# "dev tap" 将创建1个以太网隧道
# 如果你选择桥模式,使用 "dev tap"
# 如果你需要控制每个客户端的访问控制策略
# 你必须创建防火墙规则到TUN/TAP接口
# 在非Windows系统上,你可以明确该接口,如:tun0
# 在Windows上,使用"dev-node"
# 在大多数系统上,如果你的防火墙部分或全部禁止TUN/TAP接口的话,Openvpn将可能不起作用
;dev tap
dev tun

# 在Windows上如果你更多的网络接口，你需要在网络连接控制面板上增加
# TAP-Win32适配器接口名
# 在XP SP2或更高系统上，你需要使windows防火墙对该接口不执行过滤规则
# 非Windows系统通常不需要设置这个
;dev-node MyTap

# 证书/key文件指向
ca ca.crt  #OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
cert server.crt #Server使用的证书文件
key server.key  #Server使用的证书对应的key,该文件必须严格控制其安全性

#CRL文件的申明，被吊销的证书链，这些证书将无法登录
;crl-verify vpncrl.pem

# Diffie hellman文件指向
# 如果你在建立证书时使用2048的话这里是2048
# 否则默认
dh dh1024.pem

# 给接入的client分配的地址段
server 192.168.80.0 255.255.255.0

# 维护客户端和虚拟ip地址联系
# 在openvpn重启时,再次连接的客户端将依然被分配和以前一样的
# ip地址
ifconfig-pool-persist ipp.txt

# openvpn桥模式用的[我不用桥模式]
# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface.  Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0.  Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients.  Leave this line commented
# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# 下面这句使客户端能访问服务器后面的子网机器
# 比如:服务器子网网段是192.168.10.0和192.168.10.2
# 你需要在openVPN服务器端配置文件中添加下面这两句
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"

# 使服务器子网内机器可以访问客户端子网内机器
# 仅用于路由模式
# 假设:客户端子网网段192.168.40.0
# 首先,在服务器配置文件中添加下面这两行
#    client-config-dir ccd
#  和route 192.168.40.0  255.255.255.0
# 然后在服务器端ccd目录下创建一个文件,文件名是客户端的公共名
# 文件内容是:
#    iroute 192.168.40.0  255.255.255.0
;client-config-dir ccd
;route 192.168.40.0  255.255.255.0

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
#  ifconfig-push 10.9.0.1 10.9.0.2

# 支持对不同客户端组执行不同的防火墙策略
# 这里有两种方法
# (1) 运行多个OpenVPN守护进程, 每个对应不同的组
#    并且防火墙对不同的组和进程执行不同的策略
# (2) (高级)创建1个动态脚本使防火墙对接入的不同客户端执行不同的策略
;learn-address ./script

# 下面这句使客户端所有网络通信通过vpn
# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# the TUN/TAP interface to the internet in
# order for this to work properly).
# CAVEAT: May break client's network config if
# client's local DHCP server packets get routed
# through the tunnel.  Solution: make sure
# client's local DHCP server is reachable via
# a more specific route than the default route
# of 0.0.0.0/0.0.0.0.
;push "redirect-gateway"

# 客户端DHCP设置
# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"

# 下面这句使客户端能相互访问
# 否则，默认设置下客户端间不能相互访问
client-to-client

# 这段常用于测试用途，注释该条可实现限制一个证书在同一时刻只能有一个客户端接入
# Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names.  This is recommended
# only for testing purposes.  For production use,
# each client should have its own certificate/key
# pair.
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn

# 活动连接保时期限
# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120

# 为防止遭到DDoS攻击
# 生成ta.key文件，并cp到服务器端和每个客户端
# 该文件用以下命令生成
# openvpn --genkey --secret ta.key
# 服务器端0,客户端1
# 该文件要严格保护
tls-auth ta.key 0 # 服务器端是0

# 选择一种加密算法,Server端和client端必须一样
# Select a cryptographic cipher.
# This config item must be copied to
# the client config file as well.
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC  # AES
;cipher DES-EDE3-CBC  # Triple-DES

# 允许数据压缩
# 客户端配置文件也需要有这项
comp-lzo

# 最大客户端并发连接数量
;max-clients 100

#定义运行openvpn的用户
;user nobody
;group nobody

#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
persist-tun

#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log

#记录日志，每次重新启动openvpn后删除原有的log信息
;log        openvpn.log
#或者
#记录日志，每次重新启动openvpn后追加原有的log信息
log-append  openvpn.log  #[为便于管理log可将该项改为/var/log/openvpn.log]

# 设置日志记录冗长级别
# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3

# 重复日志记录限额
# Silence repeating messages.  At most 20
# sequential messages of the same message
# category will be output to the log.
mute 20

全局组、域本地组、通用组到底有什么区别？它们之间的关系如何?

qubingjian@163.com(ququ) — Tue,14 Oct 2008 12:07:49 +0800

首先我们需要明确一点：为什么我们需要建立组？
答案很简单：为了管理方便！
其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的，如下图所示：

在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。
在上面的例子中，大连的公司财务部门出了一点问题，需要从北京、上海都找10个人支援一下，大连公司的账目资料都保存在一台财务部专用服务器上。因为是公司机密信息，安全性比较高，所有资料仅仅允许财务部门的人访问。管理员为了方便管理，就为财务部门创建了一个域本地组dlf，在服务器上赋予dlf组权限（这种策略的简写就是A-DL-P，Account -域本地组- permission）。然后上海和北京的管理员分别为各自要帮助大连的10个人创建了一个全局组bjf和shf（这就是A-G，Account -全局组），这样然后大连的管理员仅仅添加bjf和shf到dlf即可完成权限的添加，而不需要关心到底是哪些人来支持财务部工作，然后一个一个添加了。而对于最终资源来说，它感觉自己没有变化，因为自己始终都是允许被blf访问，并没有发生变化。这就是著名的A-G-DL-P的使用。下面是示意图：

现在来看这样一种情况：
你是一个域的管理员，在文件服务器上建立了一个共享文件夹，用来放置一些财务部专用文档，假如你有两个选择：
1．在安全属性页中一个一个添加财务部的人员并配置相应的权限。
2．在域控制器中创建财务部的组（包含所有财务部人员），在安全属性页中添加财务部组
假设财务部又新来了Ｎ位员工，如果你选择第一种方案，你就需要在安全属性中添加并配置Ｎ位员工，而选择第二种方案，你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了，而无需修改安全属性中的角色列表。所以，很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候，使用组来管理的好处就更能够体现出来了。
通过这个例子你也能够体会到：使用组其实是为了管理方便，用最少的工作获得最好的效果！

明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。
什么是本地组呢？
很多时候本地组被人认为是域本地组的简称。其实严格来说，本地计算机上也可以创建属于本机的组，这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中，而域本地组存储在域控制器上。你如果使用过域，应该有这种体验：使用域帐户登录域中任意一台计算机后，默认情况下是普通的Users组权限，如果要提升成管理员权限，需要把这个域帐户添加到本地计算机的Administrators组中。

全局组的特点是什么呢？
全局组成员来自于同一域的用户账户和全局组，在林范围内可用。
也就是说能够添加到全局组的成员是本域的成员或者全局组（这样就构成了组的嵌套）。如果在上海的域中创建了全局组A，那么能添加到A中的人只能是上海域中的对象或者是其他可信任域，如北京或大连的全局组。

域本地组的特点是什么呢？
域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。

通用组的特点是什么呢？
通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上，而是保存在全局编录中，当发生变化时能够全林复制。
规则就这些，请不要记混。可以简单这样记忆：
全局组来自本域用于全林
通用组来自全林用于全林
域本地组来自全林用于本域
因为只有域本地组专用于在本地赋予权限，所以，通常情况下，域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用：

康博公司是一个大型的软件公司。公司的业务发展很快，目前在北京拥有自己的办公大楼，总部也因此设在那里，另外在上海也有分公司。公司在企业内部建立了域名为comboo.com的域，由于上海的分公司主营外包业务，相对比较独立，于是为其创建了子域os.comboo.com，从而形成了域树。
后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公司，名为博通，总部设在大连。博通在总公司的林中创建了自己的域环境botong.com。为了充分利用所有的资源，在子公司和总公司之间建立了信任关系，以便能够相互访问资源。
整个的逻辑结构图如下所示：

不使用AGDLP策略的时候，我们也可以实现这个功能，就是直接把用户帐户添加到财务部资源的访问控制列表中，示意图如下：

每条线代表一次操作，很显然，当出现变更的时候，不使用AGDLP的情况会很糟糕，因为每次改动都会带来目标权限的重新设置。
上面我们看到了全局组和域本地组带来的管理上的方便性。你也许会问，通用组来自全林用于全林，看起来似乎比全局组更方便，可以完全取代全局组的，为什么不这么做？
因为正是由于通用组内部成员来自于全林，而且它信息是存储在全局编录中的，任何的变化都会导致全林复制，这个复制流量不可忽视。前面我们学过，在全局编录中一般存储一些不太经常发生变化的信息。由于用户帐户是会经常发生变化的，所以，强烈建议不要直接添加用户帐户到通用组，而是先添加帐户到全局组，然后再把这些相对稳定的全局组添加到通用组.
在上面的例子中，假设有很多域，有很多全局组，就推荐使用AGUDLP，在每个域中分别创建了全局组后，应用通用组来管理全局组，最后把通用组加入到域本地组，进行权限的设置。示意图如下：

网页设计元素的各种尺寸标准

qubingjian@163.com(ququ) — Mon,13 Oct 2008 16:50:01 +0800

1、800*600下，网页宽度保持在778以内，就不会出现水平滚动条，高度则视版面和内容决定。
2、1024*768下，网页宽度保持在1002以内，如果满框显示的话,高度是612-615之间.就不会出现水平滚动条和垂直滚动条。
3、在ps里面做网页可以在800*600状态下显示全屏，页面的下方又不会出现滑动条，尺寸为740*560左右
4、在PS里做的图到了网上就不一样了，颜色等等方面，因为ＷＥＢ上面只用到２５６ＷＥＢ安全色，而ＰＳ中的ＲＧＢ或者ＣＭＹＫ以及ＬＡＢ或者ＨＳＢ的色域很宽颜色范围很广，所以自然会有失色的现象.
页面标准按800*600分辨率制作，实际尺寸为778*434px
页面长度原则上不超过3屏，宽度不超过1屏
每个标准页面为A4幅面大小，即8.5X11英寸
全尺寸banner为468*60px，半尺寸banner为234*60px，小banner为88*31px
另外120*90，120*60也是小图标的标准尺寸
每个非首页静态页面含图片字节不超过60K，全尺寸banner不超过14K
标准网页广告尺寸规格一、120*120，这种广告规格适用于产品或新闻照片展示。
二、120*60，这种广告规格主要用于做LOGO使用。
三、120*90，主要应用于产品演示或大型LOGO。
四、125*125，这种规格适于表现照片效果的图像广告。
五、234*60，这种规格适用于框架或左右形式主页的广告链接。
六、392*72，主要用于有较多图片展示的广告条，用于页眉或页脚。
七、468*60，应用最为广泛的广告条尺寸，用于页眉或页脚。
八、88*31，主要用于网页链接，或网站小型LOGO。
广告形式         像素大小                                最大尺寸            备注
BUTTON         120*60(必须用gif)                    7K
                         215*50(必须用gif)                    7K
通栏                 760*100                                    25K               静态图片或减少运动效果
                         430*50                                      15K
超级通栏         760*100 to 760*200              共40K            静态图片或减少运动效果
巨幅广告         336*280                                    35K
                         585*120
竖边广告         130*300                                    25K
全屏广告         800*600                                    40K               必须为静态图片，FLASH格式
图文混排                                                                                 各频道不同 15K
弹出窗口         400*300(尽量用gif)                 40K
BANNER         468*60(尽量用gif)                   18K
悬停按钮          80*80(必须用gif)                      7K
流媒体             300*200（可做不规则形状但尺寸不能超过300*200） 30K 播放时间小于5秒60帧(1秒/12帧)
网页中的广告尺寸
1.首页右上，尺寸120*60      2.首页顶部通栏，尺寸468*60      3.首页顶部通栏，尺寸760*60
4.首页中部通栏，尺寸580*60    5.内页顶部通栏，尺寸468*60    6.内页顶部通栏，尺寸760*60
7.内页左上，尺寸150*60或300*300    8.下载地址页面，尺寸560*60或468*60
9.内页底部通栏，尺寸760*60     10.左漂浮，尺寸80*80或100*100
11.右漂浮，尺寸80*80或100*100以上几种说法可能有点小的出入，大家可以探讨一下。
IAB和EIAA发布新的网络广告尺寸标准
在这6种格式中，除了去年iab发布的4种“通用广告包”中的格式：160x600, 300x250, 180x150及728x90，还包括新公布的468x60 和120x600（擎天柱）2种。

免费VPN使用教程

qubingjian@163.com(ququ) — Sun,07 Sep 2008 11:43:25 +0800

免费vpn代理(openvpn)使用教程

1.首先下载并安装
openvpn-2.1_rc9-install.exe
地址:点击下载

OpenVPN GUI的所有历史版本: http://openvpn.se/files/install_packages/
安装过程可以一直点下一步。出现如下图安装虚拟网卡请选择【仍然继续】

2.下载配置文件：点击下载，用下载来的附件替换掉C:\Program Files\OpenVPN\下面的config目录（不要保留原config里面的内容）

3.登陆论坛http://vpn.daili.name注册ID，注册后查看自己ID对应的UID，登陆时使用UID加你注册的密码进行登陆！

开始连接：

身份验证：

登录成功后

断开连接