一 : Discuz官方论坛无法访问猜测原因是打击色情站受牵连

　　今天20：47打开Discuz官方网站，无法打开，页面只显示：因不可抗拒原因，江苏省无锡电信机房，大部分服务器被切断网络，致使多家网站与外界失去联系，我们也不幸被牵连,现在我们正在恢复早晨的数据库备份到北京地区，请稍后访问。

　　

 

　　我到网上搜索一点资料：

　　资料一：昨日两日，在全国大部分地区的通信运营商展开了整治行动，主要打击对象为色情网站、WAP色情内容以及未备案网站，知名的社区服务提供商Discuz在今天下午也中断访问。在傍晚时，有站长称，Discuz官方论坛无法打开，官方服务器所在机房访问疑遭切断。随后，中国站长站编辑访问了Discuz官方社区发现确实无法正常访问，网站也无法Ping通。晚8点左右，Discuz官方社区恢复访问，官方挂出公告，称遭遇不可抗因素，服务器被中断访问，目前正在将备份数据迁移至北京地区，稍后便可访问。

　　资料2：12月2日消息，运营商打击“涉黄”网站大规模查封服务器，中国电信景德镇分公司今日也发布通知称，从即日起终止与所有IDC业务合作。

　　以下为通知全文：

　　景德镇机房所有客户：

　　因机房出现涉嫌淫秽色情信息的网站，造成重大影响，根据双方签订的《互联网网络与信息安全协议书》相关条款，我公司决定从即日起终止与所有IDC业务合作协议，并要求所有客户在2009年12月5日前，将托管于我公司IDC机房的所有服务器和网络设备全部下架并搬离机房，12月5日，我公司将停止所有租用的IP和接入服务，特此通知。

　　中国电信股份有限公司景德镇分公司

　　2009年12月2日

　　所以临沂seo站长猜测Discuz官方论坛无法访问的原因是年底整治idc,Discuz所在机房被封造成。

　　本文首发a5论坛 原文地址 转载请注明

二 : ISAServer无法访问HTTPS连接问题分析(转)

ISA Server 阻断 HTTPS 连接问题分析

作者：高张远瞩(HiLoveS)

博客：http://www.cnblogs.com/hiloves/

转载请保留该信息

　

今天困扰我三年的ISA Server老是阻断HTTPS连接的问题成为历史了。之前，在ISAServer的防火墙策略中已经加入网银域名，并且规则中的出站协议为“所有出站通信”，但从日志中查询得知，通往网银443端口的连接总是被默认规则阻断掉，这条设置为允许网银的规则从来没有起过作用。作为替代方案，我只好把网银https服务器的IP找出来，放到规则中，这样才能正常访问，这就产生2个问题：现在的许多服务器采用集群方式，这意味着可能有多个IP，就必须把所有IP都找出来，步骤繁琐；如果服务器域名不变，IP变更，规则就失效了，必须时时监测。这两点都很烦。

上网咨询很多人，包括www.isacn.org、微软官方技术论坛，回答基本如下：规则中出站协议选择https（我都设为所有出站通信了，难道https还出不去？），默认规则放到允许网银规则前面了（Oh，MYGOD。什么低级错误，幼儿园的孩子都不会犯），没有允许DNS（无语）。

　

以建行网银作例子，建行网银使用https协议，在浏览器中输入http://www.ccb.com.cn，点击左上角的登录个人网银会打开到https://ibsbjstar.ccb.com.cn。

创建新的规则，符合规则条件时要执行的操作为“允许”，此规则应用到“所有出站通讯”，指定源为“内部”，建立与建行网银相关的域名集（包含*.ccb.com，*.ccb.com.cn），将此域名集指定为目标，用户为“所有用户”，最后保证此规则在默认规则前。并且建立1个允许DNS的规则。

从内部客户机的浏览器上访问http://www.ccb(www.61k.com].com.cn，登录个人网银，然后浏览器一直空白直到超时。失败。

查看日志如下：

从底下数1、2行清楚表明允许DNS，第3、5、6行表明使用http的建行官网是正常。后面就杯具了，所有https连接都是红的，直接跳过新规则被默认规则阻断了。其实答案就在日志中，而我一直在其他方面打转忽略了这个地方，就是允许的连接和被拒绝的连接在日志记录类型中的区别：防火墙和Web代理的区别。在浏览器中访问HTTPS网站理应也是Web代理，而这里却是防火墙模式。问题就在于ISA没有将https连接作为Web进行处理。

其实解决方法也是极其简单，就是为浏览器手动配置代理服务器，并保证“安全HTTP”也使用此代理。以IE为例，Firefox类似。

登录网银成功，再查一下日志：

显示所有https连接被允许。注意对比第一张图的“日志记录类型”，前面是“防火墙”，后面是“Web 代理”，区别在这里。

　

ISA Server采用3种代理模式：Web代理、S-NAT、防火墙客户端。第1种日志记录类型为“Web代理”，后2种则为“防火墙”。如果我们想让其工作在S-NAT模式下，不配置浏览器的代理服务器，ISAServer会自动对http连接使用Web代理模式，并且会自动关联域名与域名对应的IP，这样只要建立域名集而不需建立IP集就可以正常访问http网站，网站IP变了也不怕。而杯具的是，ISAServer并没有自动对https使用Web代理模式，导致域名与IP没有自动关联，就产生了使用域名被拒绝，使用IP被允许的情况。这时，只要为浏览器配置上代理服务器，让https也使用Web代理模式即可。

　

附：如果你自定义1个协议，并且目的是ISA服务器，那么协议的方向必须是“出站”。我要访问的是服务器，那方向理应是“入站”才对。如果你把“站”理解成ISA服务器那就错了，配置是在服务器上这么理解很正常。其实“站”应该指“客户端”，客户端的数据“出站”并到达ISAServer，再配合检查目标最终允许或拒绝。

三 : 直接访问查询GoogleIP

自从Google退出中国以来，从大陆访问Google变成了技术活儿，如何方便的越过防火长城的DNS污染呢？手动修改DNS当然是首选，但是对于国内的一些用户来说，不经常访问国外网站，修改DNS会使国内网站的访问速度打折扣。所以通过直接访问Google IP地址的方式，最合适不过，但是，Google 服务器众多，经常变换IP地址，如何获取最新的呢？下面引用来自Google support的Google ip获取方式。
“Google IP 地址范围当为您的域配置电子邮件处理方式时，您可能需要知道 Google Apps 邮件服务器的 IP 地址，以防止 Google邮件被标记为垃圾邮件。
Google 拥有一个全局基础架构，该基础架构会动态地进行扩展，以适应不断增长的需求。因此，Google Apps邮件服务器使用大范围的 IP 地址，并且地址经常变动。查找当前 Google IP 地址范围最有效的方法是查询 Google 的SPF 记录。
要为您的域创建 SPF 记录，您只需使该记录指向当前 IP 地址列表的 Google SPF 记录：
v=spf1 include:_spf.google.com ~all
使用此方法，您的域会在 Google IP 地址发生更改时自动继承这些更改。
当您需要 Google Apps 邮件服务器的实际 IP 地址时，请使用互联网上提供的某个工具来查找域 google.com和 _netblocks.google.com 的 SPF记录。这些记录列出了当前地址范围。在任何指定时间，都可以通过执行以下命令查看 Google 服务的 IP 范围：
nslookup -q=TXT _netblocks.google.com 8.8.8.8如果您在 Google Apps for Business 中激活了 Postini 功能，可能还需要 Postini服务器的 IP 地址”
=================================================================
Microsoft Windows [版本 6.0.6002]
版权所有 (C) 2006 Microsoft Corporation。保留所有权利。


C:\Users\BZdouble>nslookup www.google.com 8.8.8.8
服务器: google-public-dns-a.google.com
Address: 8.8.8.8


非权威应答:
名称: www.google.com
Addresses: 2404:6800:4008:c00::93
74.125.31.103
74.125.31.105
74.125.31.106
74.125.31.147
74.125.31.99
74.125.31.104




C:\Users\BZdouble>
=================================================================
经测试，得出，博主所在地区 访问以下几个Google ip 最快。
74.125.31.103
74.125.31.105
74.125.31.106
74.125.31.147
74.125.31.99
74.125.31.104

Google IP 地址范围 查找速度最快的Google IP 不好用

http://support.google.com/a/bin/answer.py?hl=zh-Hans&answer=60764

体验秒开GOOGLE的感觉！

在http://support.google.com/a/bin/answer.py?hl=zh-Hans&answer=60764有得到google服务器IP地址段的帮助命令：

即在命令行输入：nslookup-q=TXT _netblocks.google.com8.8.8.8

可以查看google最新的服务器IP地址段，但这里面没有大陆的IP地址段。所以用下面的方法获取谷歌北京公司的IP地址。

google北京的IP地址范围是203.208.32.0 – 203.208.63.255

1.先在命令行输入：nslookupg.cn

得到的是本地dns服务器解析出的g.cn的IP地址。

2.在命令行下输入：nslookupg.cnns1.google.com

得到的是使用google的dns服务器ns1.google.com解析出的g.cn的IP地址。

google的dns服务器常见的有：

ns1.google.com
ns2.google.com
ns3.google.com
ns4.google.com
8.8.8.8
8.8.4.4

3.如果第2步没得到正确的结果，在命令行下输入：nslookup-vcg.cn8.8.8.8

得到的是使用TCP连接方式与dns服务器8.8.8.8连接获取g.cn的IP地址。

可以使用新浪的IP数据库查看IP地理位置和所有者的信息，比如得到的IP为203.208.46.146，那么可以用http://int.dpool.sina.com.cn/iplookup/iplookup.php?ip=203.208.46.146来查看这个IP的归属。如果改成http://int.dpool.sina.com.cn/iplookup/iplookup.php?ip=203.208.46.0，则会显示相同所有者的IP地址段的信息。

4.如果上述步骤都不行，可以在http://just-ping.com/

输入g.cn，使用该网站的服务器得出ping结果，然后搜索带有China的结果，再用上面的新浪IP数据库查找下，就OK了。

当您为所在的域配置电子邮件处理时，如果您想要防止系统将 Google 邮件标记为垃圾邮件，您可能需要了解 Google Apps邮件服务器的 IP 地址。

Google 拥有一个全局基础架构，该基础架构会动态地进行扩展，以适应不断增长的需求。因此，Google Apps邮件服务器使用大范围的 IP 地址，并且地址经常变动。要找到 Google IP 地址的当前范围，最有效的方法就是查询 Google的SPF 记录。

要为您的域创建 SPF 记录，只需使该记录指向当前 IP 地址列表的 Google SPF 记录即可：

v=spf1 include:_spf.google.com~all

使用此方法，您的域会在 Google IP 地址发生更改时自动继承这些更改。

当您需要 Google Apps 邮件服务器的文字 IP 地址时，请使用其中一个常见的 DNS 查找命令（nslookup,dig,host）作为开头，以检索域 _spf.google.com的SPF 记录，例如：

nslookup -q=TXT _spf.google.com8.8.8.8

此操作会返回一张列表，其中列出了 Google SPF 记录中包含的域，例如：
_netblocks.google.com、_netblocks2.google.com、_netblocks3.google.com

现在，请逐个查找与这些域关联的 DNS 记录，例如：

nslookup -q=TXT _netblocks.google.com8.8.8.8
nslookup -q=TXT _netblocks2.google.com8.8.8.8
nslookup -q=TXT _netblocks3.google.com8.8.8.8

这些命令得到的结果中会包含当前地址范围。

本文标题：拒绝访问无法连接-Discuz官方论坛无法访问猜测原因是打击色情站受牵连
本文地址： http://www.61k.com/1224686.html