工控网络基础入门篇之route命令
既然 GFW 可以通过静态路由丢弃我们的网络请求,那么我们自己可以用静态路由表来绕过 GFW 吗?当然可以,这就是 route 命令的一个重要作用了。Route 命令的 Man Pange 在这里,有时间一定要多去看看这些命令的 man page,我不可能把每一条都很详细的给你翻译过来。我们说了 traceroute 是检查两个 IP 之间实际的路由状况,而 route 命令就是查看当前主机上已有的路由表的命令。
直接输入 route,我们就会看到类似如下的信息 (VPN IP 隐去):
分栏解释:Destination 是目标地址,default 就是默认的所有地址。Gateway 是网关,Gen-Mask 是掩码,Iface 是对应的接口名,Metric,Ref 和 Use 在很多内核中都不使用,我们不用管。
Flags 里的字母含义分别如下:
1. U,表示这个路由活着 (Up)
2. H,表示这货是台主机 (Host),在网络中主机和路由是不同的
3. G,表示要通过网关访问 (Use Gateway)
上面这个例子中,10.1.1.1 是我路由接入的默认网关,我默认的所有网络 (default) 都是通过这个网关访问的,这个网关对应的接口是 “eth0.2”。而 192.168.199.0/24 是我路由后面分配出来的内网网络,我在这个内网里互访主机是不需要经过网关的,所以这里没有 G。
当然我们主要的目的不是查看路由表,而是修改路由表。我们可以看到上面的 “10.10.10.1” 是 VPN 服务器对应的网关,我们到 VPN 服务器的网络是通畅的,VPN 服务器到 twitter 的网络也是通畅的,那么我们就可以通过 VPN 网关来访问 twitter 了。最简单粗暴的做法是直接把我们的默认接口改成 VPN 接口,这样我们所有的网络请求都会通过 VPN 接口进行了,只要 GFW 不拦截我们到 VPN 的通路,那就没什么可以阻拦我们了。
这里的 pptp-VPN 要根据实际情况来确定,我们在前面说过可以通过 ifconfig 命令来查看各个接口的名称,但我们也可以通过一些脚本来自动提取这个信息,这个可以用后面提到的 SED 配合正则表达式很轻松的实现。如果我们不需要让所有网络都走 VPN 了,只要删除这条路由表就行了,命令很简单只要把 “add” 改成 “del 就行了”。
如果让路由上的所有网络访问都走 VPN,其实和我们直接在本机挂全局 VPN 也没什么区别,唯一的区别就是可能方便了一些不能拨 VPN 的设备使用,节约了一些连 VPN 的动作时间而已。一种更精确的做法,是指针对被 GFW 屏蔽的 IP 走 VPN,这也是FreeRouter V1的做法。例如我们假定 twitter.com 的 IP 是5.5.5.5,只需要执行如下命令即可:
这个 -host 是默认选项,不写也可以,指的是添加一个 IP 作为目标地址。有的时候一些网站有很多个 IP,但一般都是处于同一个网段内,例如我们假设 google 的 IP 范围是 6.6.6.1∼6.6.6.6.254,我们就用 -net 选项表示添加一个网段作为目标地址:
具体的掩码要写多少可以根据实际情况调整,但很多时候我们不知道确切的范围,只好把整个 C 地址网段全部加入 VPN 路由表了。由此可以看出,FreeRouter V1 一个很大的问题就是 IP 的搜集非常困难,如果发生 IP 变动的话更是难上加难。多加了关系,顶多是多消耗一点 VPN 的流量; 如果漏加了就非常麻烦了,对于 dropbox 这些靠客户端形式工作的东西来说,除了抓包都没有直观的方式可以获取服务器的 IP。这也就是为什么我会最终停止 V1 的更新,全力投入 V2 的维护的主要原因。