搭建一个不被审查的串流站点 ; 论野生技术&二次元

搭建一个不被审查的串流站点

原标题：被害妄想症该如何生存

先看配置：

server {
        listen 80 default_server;
        listen [::]:80 default_server;
        listen 443 ssl default_server;

        root /usr/share/nginx/html;

        ssl_certificate certs/default.pem;
        ssl_certificate_key certs/default-nopass.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;
        ssl_prefer_server_ciphers on;
}

server {
	listen 443 ssl spdy;

	ssl_certificate certs/real-cert.pem;
	ssl_certificate_key certs/real-cert-nopass.key;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;
	ssl_prefer_server_ciphers on;

	root /usr/share/nginx/html;

	server_name example.com;
 
	location / {
                root /path/to/your/files;
                if (-d $request_filename) {
                        return 404;
                }
		try_files $uri $uri/ =404;
		charset utf-8; 
	}

               
        location ~ .*/$ {
                root /path/to/your/files;
                access_by_lua '
                        local coo = ngx.var.cookie_coo
                        if coo ~= "coo" then
                                ngx.exit(404)
                        end
                ';
                autoindex on;
                autoindex_exact_size off;
        }

}

server {

listen 80 default_server;

listen [::]:80 default_server;

listen 443 ssl default_server;

root /usr/share/nginx/html;

ssl_certificate certs/default.pem;

ssl_certificate_key certs/default-nopass.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;

ssl_prefer_server_ciphers on;

}

server {

listen 443 ssl spdy;

ssl_certificate certs/real-cert.pem;

ssl_certificate_key certs/real-cert-nopass.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH;

ssl_prefer_server_ciphers on;

root /usr/share/nginx/html;

server_name example.com;

location / {

root /path/to/your/files;

if (-d $request_filename) {

return 404;

}

try_files $uri $uri/ =404;

charset utf-8;

}

location ~ .*/$ {

root /path/to/your/files;

access_by_lua '

local coo = ngx.var.cookie_coo

if coo ~= "coo" then

ngx.exit(404)

end

autoindex on;

autoindex_exact_size off;

}

假设：

审查机关拥有运营商级别的入侵检测设备（比如GFW）

说明：

全站使用https，关闭SSLv3，关闭弱加密组件
default_server开启80端口，使用自签名证书；真实需要访问的域名(example.com)必须使用有效的证书，或者在本地信任根证书。注意example.com不能开启80端口，且与default_server使用的证书不能相同。不要使用泛域名证书。这是为了防止审查机关通过直连IP查看返回的证书中的Common Name来得到真实域名。这样配置之后，直连IP https://xxx.xxx.xxx.xxx默认是返回自签名证书，无法得到真实example.com。
选择性开启autoindex，通过cookie鉴别。注意也可以通过HTTP Basic Authenication认证。对匹配文件夹的uri（”/”结尾）做认证，示例中只有带cookie coo=coo的请求才会返回autoindex，否则返回404。
在location /中禁用目录末尾自动加斜杠，因为如果自动加斜杠，审查机关可以通过暴力猜测出服务器上有哪些目录确实存在（返回了301到末尾加/的url）。方法是if (-d $request_filename)返回404。

也许永远也用不上，也许哪天用上了

hhhhhhhhh我的博客开启了全站HTTPS访问并且之前是只配置了CHACHA20_POLY1305算法，为何要这样做呢？
因为支持这种加密算法的浏览器只有webkit内核的浏览器，也就是说火狐什么的浏览器打开，是空白页面
GFW如果探测，会发现什么呢？我也不知道。。。。。。手动doge一下[可怜]

fffonion on 2016 年 1 月 5 日 at 上午 7:16 said:

哈哈哈哈哈可以可以[doge]

话说串流是啥啊，我第一个反应是MMS 233333333333333333

fffonion on 2016 年 1 月 5 日 at 上午 7:15 said:

就…streaming #滑稽

上个CFCDN全站SSL差不多吧

fffonion on 2016 年 2 月 21 日 at 上午 1:03 said:

cf太慢了[馋嘴]

最近又被墙了一批，事实证明没啥卵用。

fffonion on 2016 年 8 月 4 日 at 下午 1:03 said:

啥被墙了
- Qa on 2016 年 8 月 4 日 at 下午 2:12 said:
  
  某免费写真资源站被墙奸了。司机会所
  - fffonion on 2016 年 8 月 5 日 at 上午 8:25 said:
    
    loli写真嘛

这下真作死了，给IP上了个自签证书。重启服务器之前一直好好的。重启服务器后…无论是IP还是网站都是一个莫名其妙的自签证书。怎么改配置都没用了。IP自签证书域名填的是baidu，网站证书是letsencrypt。

Qa on 2016 年 8 月 17 日 at 下午 8:05 said:

被服务商气到了，八成是他们的问题。马丹的，换个IP就好了。最近这个服务商太不稳定了。budgetvm
- fffonion on 2016 年 8 月 18 日 at 上午 12:08 said:
  
  budgetvm不是说有真.CN2
fffonion on 2016 年 8 月 18 日 at 上午 12:10 said:

咦你用的是nginx？nginx -V里有没有写TLS SNI support enabled
- Qa on 2016 年 8 月 18 日 at 上午 1:02 said:
  
  当然有这个模块。确实是CN2。咨询了下客服，说是被DDOS了…怪不得被替换的证书上写的是DDOS防护，问题是DDOS攻击只影响了443端口。刚开始被替换证书，然后502提示被DDOS然后就打不开443了…80完全正常访问。什么奇葩玩意，DDOS还能这么玩？后台流量也没飙升啥的，怀疑人生了。再次咨询了下客服他喵的真的是DDOS？客服还给了几个IP给我说你可以加入防火墙白名单…流量清洗我服务器上加白名单能有用?….好奇葩啊。附图
  - fffonion on 2016 年 8 月 18 日 at 上午 2:17 said:
    
    哈哈哈哈哈哈budget传说中的ddos-filter证书，大概是给你套了个反代