นี่คือคำสั่ง cntlm ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้หนึ่งในเวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ควบคุม - ตรวจสอบพร็อกซี HTTP (S) ด้วยช่องสัญญาณ TCP/IP และการเร่งความเร็ว
เรื่องย่อ
ควบคุม [ -AaBcDdFfgHhIllMPprSsTUuvw ] [ host1 พอร์ต1 | host1:พอร์ต1 - โฮสต์N พอร์ตN
DESCRIPTION
ควบคุม เป็น NTLM/NTLM SR/NTLMv2 ที่ตรวจสอบพร็อกซี HTTP มันอยู่ระหว่างคุณ
แอปพลิเคชันและพร็อกซีขององค์กร เพิ่มการตรวจสอบ NTLM ได้ทันที คุณสามารถ
ระบุพร็อกซี "พาเรนต์" หลายรายการและ Cntlm จะลองทีละรายการจนกว่าจะใช้งานได้ ทั้งหมด
การเชื่อมต่อตรวจสอบความถูกต้องจะถูกแคชและนำกลับมาใช้ใหม่เพื่อให้เกิดประสิทธิภาพสูง เพียงชี้แอปของคุณ
การตั้งค่าพร็อกซีที่ Cntlm กรอก cntlm.conf (cntlm.ini) และคุณพร้อมที่จะทำ นี่คือ
มีประโยชน์บน Windows แต่จำเป็นสำหรับระบบปฏิบัติการที่ไม่ใช่ของ Microsoft ที่อยู่ IP พร็อกซี่สามารถ
ระบุผ่าน CLI (โฮสต์1:พอร์ต1 ไปยัง hostN:พอร์ตN) หรือไฟล์การกำหนดค่า
อีกทางเลือกหนึ่งคือมี ควบคุม ตรวจสอบการเชื่อมต่อเว็บในพื้นที่ของคุณโดยไม่มีผู้ปกครอง
ผู้รับมอบฉันทะ สามารถทำงานได้ในโหมดสแตนด์อโลน เช่นเดียวกับ Squid หรือ ISA โดยค่าเริ่มต้น all
คำขอจะถูกส่งต่อไปยังพร็อกซีหลัก แต่ผู้ใช้สามารถตั้งค่ารายการ "NoProxy" ซึ่งเป็นรายการของ
URL ที่ตรงกับรูปแบบไวด์การ์ด ซึ่งกำหนดเส้นทางระหว่างโหมดตรงและโหมดส่งต่อ ควบคุม สามารถ
ยังรับรู้เมื่อพร็อกซีองค์กรของคุณไม่พร้อมใช้งานและเปลี่ยนเป็นแบบสแตนด์อโลน
โหมดอัตโนมัติ (แล้วกลับมาอีกครั้ง) นอกเหนือจาก ดูรายละเอียด และ หนังสือมอบฉันทะ การรับรองความถูกต้อง ควบคุม
ให้คุณสมบัติที่มีประโยชน์ทำให้ผู้ใช้สามารถย้ายแล็ปท็อประหว่างที่ทำงานและที่บ้าน
โดยไม่ต้องเปลี่ยนการตั้งค่าพร็อกซีในแอปพลิเคชัน (โดยใช้ ควบคุม ตลอดเวลา). ควบคุม
ยังรวมการส่งต่อพอร์ต TCP/IP แบบโปร่งใส (อุโมงค์) แต่ละอุโมงค์เปิดใหม่
ฟังซ็อกเก็ตบนเครื่องท้องถิ่นและส่งต่อการเชื่อมต่อทั้งหมดไปยังโฮสต์เป้าหมาย
ด้านหลังพร็อกซี่หลัก แทนที่จะใช้ช่องสัญญาณเหมือน SSH เหล่านี้ ผู้ใช้ยังสามารถเลือกช่องสัญญาณแบบจำกัดได้
อินเทอร์เฟซ SOCKS5
แกน ควบคุม ฟังก์ชันมีความคล้ายคลึงกับ NTLMAPS ตอนปลาย แต่วันนี้ ควบคุม มีวิวัฒนาการทาง
เหนือสิ่งอื่นใดแอปพลิเคชันประเภทนี้สามารถนำเสนอได้ รายการคุณสมบัติด้านล่าง
พูดเพื่อตัวเอง ควบคุม มีคุณสมบัติด้านความปลอดภัย / ความเป็นส่วนตัวมากมายเช่น NTLMv2 สนับสนุนและ
การป้องกันด้วยรหัสผ่าน - สามารถเปลี่ยนแฮชรหัสผ่านได้ (ซึ่งสามารถรับได้
การใช้ -H) แทนรหัสผ่านจริงหรือเพื่อป้อนรหัสผ่านแบบโต้ตอบ (on
เริ่มต้นหรือผ่านการแปล HTTP auth "พื้นฐาน") หากใช้รหัสผ่านข้อความธรรมดา มันคือ
แฮชโดยอัตโนมัติในระหว่างการเริ่มต้นและร่องรอยทั้งหมดจะถูกลบออกจากกระบวนการ
หน่วยความจำ
นอกจากการใช้ทรัพยากรระบบน้อยที่สุดแล้ว ควบคุม บรรลุปริมาณงานที่สูงขึ้นบน a
ลิงค์ที่ให้มา โดยการแคชการเชื่อมต่อที่พิสูจน์ตัวตน มันทำหน้าที่เป็นตัวเร่ง HTTP; นี้
วิธี การจับมือกันรับรองความถูกต้อง 5 ทางสำหรับการเชื่อมต่อแต่ละครั้งจะถูกตัดออกอย่างโปร่งใสโดยให้
เข้าถึงได้ทันทีเกือบตลอดเวลา ควบคุม ไม่เคยแคชเนื้อหาคำขอ / ตอบกลับในหน่วยความจำใน
ความจริงแล้วไม่มีการสร้างทราฟฟิกยกเว้นการแลกเปลี่ยนส่วนหัวการตรวจสอบจนกว่าไคลเอนต์ <->
การเชื่อมต่อเซิร์ฟเวอร์มีการเจรจาอย่างเต็มที่ การถ่ายโอนข้อมูลจริงจะเกิดขึ้นเท่านั้น ควบคุม is
เขียนด้วย C ที่ปรับให้เหมาะสมและตอบสนองได้เร็วกว่าคนอื่น ๆ ถึงสิบห้าเท่า
ตัวอย่างของ ควบคุม เมื่อเทียบกับ NTLMAPS: ควบคุม ให้เฉลี่ย 76 kB/s โดยมีการใช้งาน CPU สูงสุดของ
0.3% ในขณะที่ NTLMAPS อยู่ที่เฉลี่ย 48 kB/s โดยมี CPU สูงสุดที่ 98% (Pentium M 1.8 GHz) NS
ความแตกต่างอย่างมากในการใช้ทรัพยากรถือเป็นหนึ่งในประโยชน์ที่สำคัญหลายประการสำหรับการใช้แล็ปท็อป
การใช้หน่วยความจำสูงสุด (ไซต์ที่ซับซ้อนหลายแห่ง 50 การเชื่อมต่อ / เธรดแบบขนานค่า
อยู่ใน KiB):
VSZ RSS CMD
3204 1436 ./cntlm -f -c ./cntlm.conf -P pid
411604 6264 /usr/share/ntlmaps/main.py -c /etc/ntlmaps/server.cfg
ส่วนโดยธรรมชาติของการพัฒนาคือการทำโปรไฟล์และการคัดกรองการจัดการหน่วยความจำโดยใช้
วาลกรินด์ การกระจายแหล่งที่มามีไฟล์ชื่อ valgrind.txtที่คุณสามารถดู
รายงานยืนยันไม่มีการรั่วไหล ไม่มีการเข้าถึงหน่วยความจำที่ไม่ได้ปันส่วน ไม่มีการใช้งาน
ข้อมูลที่ไม่ได้กำหนดค่าเริ่มต้น - ทั้งหมดติดตามไปยังแต่ละคำสั่งที่จำลองใน virtual . ของ Valgrind
CPU ในช่วงอายุการผลิตทั่วไปของพร็อกซี่
OPTIONS
ตัวเลือกส่วนใหญ่สามารถตั้งค่าล่วงหน้าได้ในไฟล์การกำหนดค่า ระบุตัวเลือกมากกว่าหนึ่งครั้ง
ไม่ใช่ข้อผิดพลาด แต่ ควบคุม ละเว้นการเกิดขึ้นทั้งหมดยกเว้นครั้งสุดท้าย นี้ใช้ไม่ได้
ถึงตัวเลือกเช่น -Lซึ่งแต่ละอันจะสร้างอินสแตนซ์ใหม่ของคุณลักษณะบางอย่าง ควบคุม เป็นไปได้
สร้างด้วยไฟล์การกำหนดค่าแบบฮาร์ดโค้ด (เช่น /etc/cntlm.conf) ซึ่งโหลดอยู่เสมอ
ถ้าเป็นไปได้. ดู -c ตัวเลือกเกี่ยวกับวิธีการแทนที่การตั้งค่าบางส่วนหรือทั้งหมด
ใช้ -h เพื่อดูตัวเลือกที่มีพร้อมคำอธิบายสั้นๆ
-A IP/หน้ากาก (อนุญาต)
อนุญาตกฎ ACL ร่วมกับ -D (ปฏิเสธ) พวกเขาเป็นกฎสองข้อที่อนุญาตใน ACL
นโยบาย. เป็นเรื่องปกติที่จะมีสิ่งนี้ในไฟล์กำหนดค่า แต่ ควบคุม ดังต่อไปนี้
สมมติฐานที่ว่าคุณสามารถทำเช่นเดียวกันบนบรรทัดคำสั่งได้เช่นเดียวกับที่คุณสามารถใช้
ไฟล์คอนฟิก เมื่อไหร่ ควบคุม ได้รับคำขอเชื่อมต่อ จะตัดสินใจว่าจะอนุญาตหรือไม่
หรือปฏิเสธมัน กฎ ACL ทั้งหมดจะถูกจัดเก็บไว้ในรายการในลำดับเดียวกันกับที่ระบุ
ควบคุม แล้วเดินรายการและคนแรก IP/หน้ากาก กฎที่ตรงกับคำขอ
ใช้ที่อยู่ต้นทาง NS หน้ากาก สามารถเป็นตัวเลขใดก็ได้ตั้งแต่ 0 ถึง 32 โดยที่ 32 คือ
ค่าเริ่มต้น (นั่นคือการจับคู่ IP ที่แน่นอน) สัญกรณ์นี้เรียกอีกอย่างว่า CIDR ถ้าคุณต้องการ
เพื่อให้เข้ากับทุกสิ่ง ใช้ 0/0 หรือเครื่องหมายดอกจัน ACLs บนบรรทัดคำสั่ง take
มีความสำคัญเหนือกว่าในไฟล์ปรับแต่ง ในกรณีดังกล่าว คุณจะเห็นข้อมูลเกี่ยวกับ
ที่อยู่ในบันทึก (ในรายการตัวเลือกที่ไม่ได้ใช้) ที่นั่นคุณยังสามารถดูคำเตือน
เกี่ยวกับข้อมูลจำเพาะซับเน็ตที่อาจไม่ถูกต้อง นั่นคือเมื่อ IP ส่วนหนึ่งมีบิตมากกว่า
คุณประกาศโดย หน้ากาก (เช่น 10.20.30.40/24 ควรเป็น 10.20.30.0/24)
-a NTLMv2 | NTLM2SR | NT | NTLM | LM (รับรองความถูกต้อง)
ประเภทการตรวจสอบความถูกต้อง NTLM(v2) ประกอบด้วยการตอบกลับที่แฮชหนึ่งหรือสองรายการ คือ NT และ LM
หรือ NTLM2SR หรือ NTv2 และ LMv2 ซึ่งคำนวณจากแฮชรหัสผ่าน แต่ละ
การตอบสนองใช้อัลกอริธึมการแฮชที่แตกต่างกัน เมื่อมีการคิดค้นประเภทการตอบสนองใหม่
ใช้อัลกอริธึมที่แข็งแกร่งกว่า เมื่อคุณติดตั้งครั้งแรก ควบคุม, หาคนที่แข็งแกร่งที่สุด
ซึ่งเหมาะกับคุณ (ควรใช้ -M). ด้านบนมีรายชื่อจากที่แข็งแกร่งที่สุดถึง
อ่อนแอที่สุด เซิร์ฟเวอร์เก่ามากหรือพร็อกซี HW เฉพาะอาจไม่สามารถดำเนินการได้
อะไรก็ได้ยกเว้น LM หากไม่ได้ผล โปรดดูตัวเลือกการตั้งค่าสถานะความเข้ากันได้ -F หรือส่ง
คำขอรับการสนับสนุน
ที่สำคัญ: แม้ว่า NTLMv2 จะไม่ถูกนำมาใช้กันอย่างแพร่หลาย (เช่น บังคับใช้) แต่ก็รองรับได้
บน Windows ทั้งหมดตั้งแต่ NT 4.0 SP4 นั่นสำหรับ a มาก ยาว เวลา! ฉันขอแนะนำ
คุณใช้เพื่อปกป้องข้อมูลประจำตัวของคุณทางออนไลน์ คุณควรแทนที่ข้อความธรรมดาด้วย
รหัสผ่าน ตัวเลือกที่มีการแฮช ผ่าน[NTLMv2|NT|LM] เทียบเท่า NTLMv2 มากที่สุดและ
อาจเป็นการรับรองความถูกต้องที่ปลอดภัยของตระกูล NTLM เท่านั้น
-B (NTLMToBasic)
ตัวเลือกนี้เปิดใช้งาน "NTLM-to-basic" ซึ่งช่วยให้คุณใช้หนึ่ง ควบคุม สำหรับหลาย ๆ
ผู้ใช้ โปรดทราบว่าการรักษาความปลอดภัยทั้งหมดของ NTLM จะหายไปด้วยวิธีนี้ การตรวจสอบสิทธิ์ขั้นพื้นฐานใช้เพียง
อัลกอริธึมการเข้ารหัสอย่างง่ายเพื่อ "ซ่อน" ข้อมูลประจำตัวของคุณและง่ายต่อการ
สูดดมพวกเขา
สำคัญ: เห็นได้ชัดว่าโปรโตคอล HTTP มีวิธีการเจรจาการอนุญาตมาก่อนอย่างชัดเจน
ให้คุณผ่านได้ แต่ TCP/IP ไม่ทำ (เช่น พอร์ตเปิดคือพอร์ตเปิด) ถ้าคุณใช้
NTLM-to-basic และไม่ระบุชื่อผู้ใช้/รหัสผ่านในไฟล์การกำหนดค่า
คุณจะถูกผูกไว้กับคุณสมบัติการขุดอุโมงค์ที่หลวมเพราะ ควบคุม คนเดียวจะไม่รู้จักคุณ
หนังสือรับรอง
เนื่องจากการระบุ NTLM มีอย่างน้อยสามส่วน (ชื่อผู้ใช้ รหัสผ่าน โดเมน)
และการรับรองความถูกต้องพื้นฐานจะมีช่องสำหรับสองช่องเท่านั้น (ชื่อผู้ใช้ รหัสผ่าน) คุณ
ต้องลักลอบนำส่วนโดเมนไปที่ไหนสักแห่ง คุณสามารถตั้งค่า โดเมน config/cmd-line.php
พารามิเตอร์ ซึ่งจะถูกใช้สำหรับผู้ใช้ทั้งหมดที่ไม่ได้ระบุโดเมนของตนเป็น
ส่วนหนึ่งของชื่อผู้ใช้ ในการทำเช่นนั้นและแทนที่การตั้งค่าโดเมนส่วนกลาง ให้ใช้ this
แทนที่จะเป็นชื่อผู้ใช้ธรรมดาในกล่องโต้ตอบรหัสผ่าน: "domain\username"
-c
ไฟล์การกำหนดค่า ตัวเลือกบรรทัดคำสั่ง ถ้าใช้ จะแทนที่ตัวเลือกเดียวหรือ
ถูกเพิ่มที่ด้านบนสุดของรายการสำหรับหลายตัวเลือก (อุโมงค์ พร็อกซีพาเรนต์ ฯลฯ)
ยกเว้น ACL ซึ่งถูกแทนที่อย่างสมบูรณ์ ใช้ / dev / null ไปยัง
ปิดการใช้งานไฟล์ปรับแต่งใด ๆ
-D IP/หน้ากาก (ปฏิเสธ)
ปฏิเสธกฎ ACL ดูตัวเลือก -A ข้างบน.
-d (โดเมน)
โดเมนหรือเวิร์กกรุ๊ปของบัญชีพร็อกซี ค่านี้ยังสามารถระบุเป็น a
ส่วนหนึ่งของชื่อผู้ใช้ด้วย -u.
-F (ธง)
แฟล็กการตรวจสอบสิทธิ์ NTLM ตัวเลือกนี้ค่อนข้างละเอียดอ่อนและฉันไม่แนะนำให้
เปลี่ยนค่าดีฟอลต์ในตัวเว้นแต่ว่าคุณจะไม่ประสบความสำเร็จกับ parent proxy auth
และลองใช้การตรวจจับอัตโนมัติด้วยเวทย์มนตร์ (-M) และค่าที่เป็นไปได้ทั้งหมดสำหรับ รับรองความถูกต้อง ตัวเลือก
(-a). โปรดจำไว้ว่าชุดค่าผสมแฮช NT/LM แต่ละรายการต้องใช้แฟล็กต่างกัน นี้
ตัวเลือกเป็น "การแทนที่ด้วยตนเอง" ที่สมบูรณ์และคุณจะต้องจัดการกับมัน
ด้วยตัวคุณเอง
-f รันในคอนโซลเป็นงานเบื้องหน้า ห้ามแยกเป็นแบ็คกราวด์ ในโหมดนี้ ทั้งหมด
ข้อความ syslog จะถูกสะท้อนไปยังคอนโซล (บนแพลตฟอร์มที่รองรับsyslog
ตัวเลือก LOG_PERROR) แม้ว่า ควบคุม ได้รับการออกแบบมาเป็น UNIX daemon แบบคลาสสิกเป็นหลัก
ด้วยการบันทึก syslogd จะมีโหมด verbose ที่มีรายละเอียดโดยไม่ต้องถอดออกจาก
ขั้วควบคุม; ดู -v. ไม่ว่าในกรณีใด ข้อความแสดงข้อผิดพลาดและการวินิจฉัยทั้งหมดจะเป็น
ส่งไปยังตัวบันทึกระบบเสมอ
-G (ISAScannerAgent)
การจับคู่ User-Agent (ไม่คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่) สำหรับปลั๊กอิน trans-isa-scan (ดู -S for
คำอธิบาย). การจับคู่เชิงบวกระบุคำขอ (แอปพลิเคชัน) ซึ่ง
ควรเปิดใช้งานปลั๊กอินโดยไม่คำนึงถึงขนาดของการดาวน์โหลด (ดู -S). คุณ
สามารถใช้อักขระตัวแทนของเชลล์ ได้แก่ "*", "?" และ "[]". หากใช้โดยไม่มี -S or
ISAScannerSizeที่ max_size_in_kb ถูกตั้งค่าภายในเป็นอินฟินิตี้ ดังนั้น plugin
จะใช้งานได้เฉพาะสำหรับ User-Agent ที่เลือก โดยไม่คำนึงถึงขนาดการดาวน์โหลด
-g (ประตู)
โหมดเกตเวย์ ควบคุม ฟังบนอินเทอร์เฟซเครือข่ายทั้งหมด ค่าเริ่มต้นคือการผูก just
ย้อนกลับ ด้วยวิธีนี้ เฉพาะกระบวนการในท้องถิ่นเท่านั้นที่สามารถเชื่อมต่อกับ ควบคุม. ในโหมดเกตเวย์
แม้ว่า ควบคุม ฟังบนอินเทอร์เฟซทั้งหมดและสามารถเข้าถึงได้โดยเครื่องอื่นบน
เครือข่าย โปรดทราบว่าด้วยตัวเลือกนี้ ลำดับบรรทัดคำสั่งมีความสำคัญเมื่อ
การระบุพอร์ตพร็อกซีหรือช่องสัญญาณภายใน (ฟัง) ผู้ที่อยู่ก่อนมันจะ
ผูกลูปแบ็คเท่านั้น หลังจากนั้นจะเป็นสาธารณะ
สำคัญ: ทั้งหมดข้างต้นใช้กับพอร์ตในเครื่องที่คุณไม่ได้ใช้เท่านั้น
ระบุที่อยู่ต้นทางใด ๆ ถ้าคุณทำ ควบคุม พยายามผูกพอร์ตที่กำหนดเท่านั้นบน
อินเทอร์เฟซที่ระบุ (หรือมากกว่าที่อยู่ IP)
-H ใช้ตัวเลือกนี้เพื่อรับแฮชสำหรับการกำหนดค่าแบบไม่ใช้รหัสผ่าน ในโหมดนี้ ควบคุม
พิมพ์ผลลัพธ์และออก คุณสามารถคัดลอกและวางลงในไฟล์ปรับแต่งได้โดยตรง
คุณควรใช้ตัวเลือกนี้ด้วยข้อความที่ชัดเจน -u และ -dเนื่องจากแฮชบางส่วนรวมถึง
ชื่อผู้ใช้และชื่อโดเมนในการคำนวณ ดูซิ -a เพื่อความปลอดภัย
คำแนะนำ
-h แสดงวิธีใช้ (ตัวเลือกที่มีพร้อมคำอธิบายสั้นๆ) และออก
-I พรอมต์รหัสผ่านแบบโต้ตอบ การตั้งค่ารหัสผ่านใดๆ จากบรรทัดคำสั่งหรือ config
ไฟล์จะถูกละเว้นและมีการแจ้งรหัสผ่าน ใช้ตัวเลือกนี้จากเชลล์เท่านั้น
-L [ :] : : (อุโมงค์)
คำจำกัดความของอุโมงค์ ไวยากรณ์เหมือนกับในการส่งต่อในเครื่องของ OpenSSH (-L),
ด้วยคำนำหน้าตัวเลือกใหม่ เศร้า - ที่อยู่ IP ต้นทางเพื่อผูก พอร์ต ไปยัง
ควบคุม จะรับฟังการเชื่อมต่อขาเข้าบนพอร์ตท้องถิ่น พอร์ต, การส่งต่อ
ทุกการเชื่อมต่อใหม่ผ่าน parent proxy ไปยัง the โฮสต์:รายงาน (กำลังตรวจสอบความถูกต้องบน
ไป) ตัวเลือกนี้ใช้ได้หลายครั้งไม่จำกัดจำนวนอุโมงค์
มีหรือไม่มี เศร้า ตัวเลือก. ดู -g สำหรับรายละเอียดเกี่ยวกับท่าเรือท้องถิ่น
ผูกพันเมื่อ เศร้า ไม่ได้ใช้
โปรดทราบว่าพร็อกซีองค์กรจำนวนมากไม่อนุญาตให้เชื่อมต่อกับพอร์ตอื่นๆ
มากกว่า 443 (https) แต่ถ้าคุณเรียกใช้บริการเป้าหมายบนพอร์ตนี้ คุณควรจะเป็น
ปลอดภัย. อนุญาตให้เชื่อมต่อกับ HTTPS "เสมอ" ไม่เช่นนั้นจะไม่มีใครสามารถ
เรียกดูเว็บไซต์ https:// ไม่ว่าในกรณีใด ให้ลองก่อนถ้าคุณสามารถสร้างการเชื่อมต่อได้
ผ่านอุโมงค์ก่อนที่คุณจะพึ่งมัน คุณลักษณะนี้ทำงานเหมือนกับเครื่องมือ
กดไลก์ เหล็กไขจุก(1)แต่แทนที่จะสื่อสารผ่านเทอร์มินัล ควบคุม เก็บไว้
TCP / IP
-l [ :] (ฟัง)
พอร์ตท้องถิ่นสำหรับ ควบคุม บริการพร็อกซี่ ใช้หมายเลขที่คุณเลือกที่นี่และ
ชื่อโฮสต์ของเครื่องที่ทำงานอยู่ ควบคุม (อาจเป็น localhost) เป็นการตั้งค่าพร็อกซี่ใน
เบราว์เซอร์ของคุณและ/หรือสภาพแวดล้อม รองรับแอปพลิเคชั่นส่วนใหญ่ (รวมถึงคอนโซล)
แนวคิดของพร็อกซีเพื่อเชื่อมต่อกับโฮสต์อื่น บน POSIX ให้ตั้งค่าต่อไปนี้
ตัวแปรที่จะใช้เช่น wget(1) โดยไม่มีปัญหาใดๆ (กรอกที่อยู่จริงของ
ควบคุม):
$ ส่งออก ftp_proxy=http://localhost: 3128
$ ส่งออก http_proxy=$ftp_proxy
$ ส่งออก https_proxy=$ftp_proxy
คุณสามารถเลือกที่จะเรียกใช้บริการพร็อกซี่ได้มากกว่าหนึ่งพอร์ต ในกรณีนี้ ก็แค่
ใช้ตัวเลือกนี้หลายครั้งเท่าที่จำเป็น แต่ต่างจากนิยามของอุโมงค์ ควบคุม
ไม่สามารถเริ่มต้นได้หากไม่สามารถผูกพอร์ตบริการพร็อกซีทั้งหมดได้ พอร์ตบริการพร็อกซี่
สามารถเลือกผูกมัดได้ด้วย ใช้ เศร้า เพื่อเลือกที่อยู่ IP ต้นทางเพื่อผูก
พอร์ต ถึง. ซึ่งจะทำให้คุณสามารถเรียกใช้บริการบนพอร์ตต่างๆ ได้ เช่น
subnet A และ B และทำให้มองไม่เห็น subnet C. See -g สำหรับรายละเอียด
เกี่ยวกับพอร์ตท้องถิ่นที่มีผลผูกพันเมื่อ เศร้า ไม่ได้ใช้
-M
เรียกใช้การตรวจจับภาษาถิ่น NTLM แบบมายากล ในโหมดนี้ ควบคุม ลองทำงานที่รู้จักบ้าง
ที่ตั้งไว้ล่วงหน้ากับพร็อกซี่ของคุณ มีการร้องขอโพรบสำหรับที่ระบุ ทดสอบมี
แฮชที่แข็งแกร่งที่สุดไปก่อน เสร็จแล้วตั้งค่าให้ปลอดภัยที่สุด
มีการพิมพ์การตั้งค่า แม้ว่าการตรวจจับจะบอกคุณว่าใช้อะไรและอย่างไร รับรองความถูกต้อง,
ธง และตัวเลือกแฮชรหัสผ่าน คุณต้องกำหนดค่าข้อมูลรับรองของคุณเป็นอย่างน้อย
และที่อยู่พร็อกซี่ก่อน คุณสามารถใช้ได้ -I เพื่อป้อนรหัสผ่านของคุณแบบโต้ตอบ
-N [, (ไม่มีพร็อกซี่)
หลีกเลี่ยงพรอกซีหลักสำหรับชื่อโฮสต์เหล่านี้ URL ที่ตรงกันทั้งหมดจะถูกพร็อกซี่
โดยตรง by ควบคุม เป็นพร็อกซีแบบสแตนด์อโลน ควบคุม รองรับการพิสูจน์ตัวตน WWW ในสิ่งนี้
โหมดจึงช่วยให้คุณเข้าถึงไซต์อินทราเน็ตในพื้นที่ด้วย NTLM . ขององค์กร
การรับรองความถูกต้อง หวังว่าคุณจะไม่ต้องการ MSIE เสมือนจริงอีกต่อไป :)
-O [ :] (SOCKS5พร็อกซี)
เปิดใช้งานพร็อกซี SOCKS5 และทำให้ฟังบนพอร์ตในเครื่อง หมายเลขพอร์ต (ข้อมูลจำเพาะ IP ต้นทางคือ
เป็นไปได้เช่นเดียวกับตัวเลือกทั้งหมด) โดยค่าเริ่มต้นจะไม่มีข้อจำกัดเช่น
ว่าใครสามารถใช้บริการนี้ได้ ลูกค้าบางรายไม่รองรับการตรวจสอบสิทธิ์ SOCKS5 ด้วยซ้ำ
(เช่นเบราว์เซอร์เกือบทั้งหมด) หากคุณต้องการบังคับใช้การรับรองความถูกต้อง ให้ใช้ -R หรือ
ตัวเลือกที่เทียบเท่า SOCKS5ผู้ใช้. เช่นเดียวกับการทำช่องสัญญาณพอร์ต ขึ้นอยู่กับ parent proxy
ไม่ว่าจะอนุญาตให้เชื่อมต่อกับ host:port ที่ร้องขอหรือไม่ คุณลักษณะนี้สามารถ
ใช้กับ ถุงเท้า(1) เพื่อให้แอปพลิเคชัน TCP/IP ส่วนใหญ่ผ่านพร็อกซีแทน
โดยตรง (เฉพาะการเชื่อมต่อขาออกเท่านั้นที่จะใช้งานได้) เพื่อให้แอพทำงาน
ไม่มีเซิร์ฟเวอร์ DNS เป็นสิ่งสำคัญที่พวกเขาจะไม่แก้ไขตัวเอง แต่ใช้
ถุงเท้า. เช่น Firefox มีตัวเลือกนี้ผ่าน URI "about:config" ชื่อคีย์
network.proxy.socks_remote_dnsซึ่งต้องตั้งค่าเป็น จริง. Proxy-ไม่ทราบ
ถุงเท้าแอปที่แก้ไขแล้ว จะต้องกำหนดค่าโดยใช้ที่อยู่ IP เพื่อป้องกัน
จากการแก้ไข DNS
-P
สร้างไฟล์ PID ไฟล์ pid เมื่อเริ่มต้น หากมีไฟล์ที่ระบุอยู่ จะเป็น
ตัดทอนและเขียนทับ ตัวเลือกนี้มีไว้สำหรับใช้กับ เริ่มหยุด-
ภูต(8) และกลไกการบริการอื่นๆ โปรดทราบว่าไฟล์ PID ถูกสร้างขึ้น
หลังจากกระบวนการลดสิทธิ์และส้อม เมื่อ daemon เสร็จสิ้นอย่างหมดจด
ไฟล์จะถูกลบออก
-p (รหัสผ่าน, ผ่านเอ็นที, ... )
รหัสผ่านบัญชีพร็อกซี่ ควบคุม ลบรหัสผ่านออกจากหน่วยความจำเพื่อให้
มองไม่เห็นใน / proc หรือด้วยเครื่องมือตรวจสอบเช่น ps(1)แต่วิธีที่ดีกว่าของ
การตั้งค่ารหัสผ่านเป็นไฟล์กำหนดค่า คุณสามารถใช้ รหัสผ่าน
ตัวเลือก (สำหรับข้อความธรรมดา รูปแบบที่มนุษย์อ่านได้) หรือ "เข้ารหัส" รหัสผ่านของคุณผ่าน -H
แล้วใช้ ผ่านNTLMv2, พาสเอ็นที และ / หรือ PassLM.
-R : (SOCKS5ผู้ใช้)
หากเปิดใช้งานพร็อกซี SOCKS5 ตัวเลือกนี้จะทำให้เข้าถึงได้เฉพาะผู้ที่
ได้รับอนุญาตแล้ว สามารถใช้ได้หลายครั้ง เพื่อสร้างรายการทั้งหมดของ
บัญชี (ผู้ใช้ที่อนุญาต: ชุดรหัสผ่าน)
-S (ISAScannerSize)
เปิดใช้งานปลั๊กอินสำหรับการจัดการที่โปร่งใสของเครื่องสแกน ISA AV ที่น่ากลัวซึ่ง
ส่งคืนหน้า HTTP แบบโต้ตอบ (แสดงความคืบหน้าการสแกน) แทน
ไฟล์/ข้อมูลที่คุณร้องขอ ทุกครั้งที่รู้สึกเหมือนกำลังสแกนเนื้อหา นี้
พฤติกรรมที่เกินควรทำลายทุกการดาวน์โหลดอัตโนมัติ ตัวอัปเดต และโดยพื้นฐานแล้ว
ทุกแอปพลิเคชันขึ้นอยู่กับการดาวน์โหลด (เช่น wget, apt-get)
พารามิเตอร์ max_size_in_kb ให้คุณเลือกขนาดการดาวน์โหลดสูงสุดที่คุณต้องการ
จัดการโดยปลั๊กอิน (ดูด้านล่างว่าทำไมคุณอาจต้องการสิ่งนั้น) ถ้าขนาดไฟล์คือ
ใหญ่กว่านี้ ควบคุม ส่งต่อหน้าโต้ตอบให้คุณปิดการใช้งานอย่างมีประสิทธิภาพ
ปลั๊กอินสำหรับการดาวน์โหลดนั้น ศูนย์หมายความว่าไม่มีขีด จำกัด ใช้ -G/ISAScannerAgent ไปยัง
ระบุแอปพลิเคชันที่ max_size_in_kb ควรละเลย (บังคับ
เสียบเข้าไป). มันทำงานโดยจับคู่ส่วนหัว User-Agent และจำเป็นสำหรับเช่น wget
apt-get และ yum ซึ่งจะล้มเหลวหากการตอบสนองเป็นหน้า HTTP บางหน้าแทน
ข้อมูลที่ร้องขอ
มันทำงานอย่างไร: ลูกค้าขอไฟล์ ควบคุม ตรวจพบการตอบสนองที่ไร้สาระของ ISA และ
รอลิงค์ลับไปยังแคชของ ISA ซึ่งมาไม่ช้ากว่าไฟล์ is
ดาวน์โหลดและสแกนโดย ISA เท่านั้นแล้วสามารถ ควบคุม ทำการร้องขอครั้งที่สองสำหรับ
ไฟล์จริงและส่งต่อพร้อมกับส่วนหัวที่ถูกต้องไปยังไคลเอนต์ ลูกค้า
ไม่หมดเวลาระหว่างรอ b/c ควบคุม เป็นระยะส่งพิเศษ
ส่วนหัว "keepalive" แต่ผู้ใช้อาจรู้สึกประหม่าเมื่อไม่เห็นแถบความคืบหน้า
เคลื่อนไหว. แน่นอน หมดจด ทางด้านจิตใจ เรื่องก็ไม่ต่างกันถ้า ควบคุม or
เบราว์เซอร์ของคุณร้องขอไฟล์ที่สแกน - คุณต้องรอให้ ISA ทำงานและ
ดาวน์โหลดแล้ว คุณเพียงแค่คาดหวังว่าจะเห็นการเคลื่อนไหวของตัวบ่งชี้ความคืบหน้าซึ่งก็คือทั้งหมด
หน้าของ ISA ทำอะไร: มันแสดงการนับถอยหลังของ HTML
หากปลั๊กอินไม่สามารถแยกวิเคราะห์หน้าโต้ตอบได้ด้วยเหตุผลบางประการ (ไม่ทราบ
การจัดรูปแบบ ฯลฯ) จะหยุดทำงานและหน้าจะถูกส่งต่อถึงคุณ - จะไม่ "สูญหาย"
ส่วนหัว Keepalive เรียกว่า ISA-Scanner และแสดงความคืบหน้าของ ISA เช่น:
HTTP / 1.1 200 ตกลง
ISA-สแกนเนอร์: 1000 จาก 10000
ISA-สแกนเนอร์: 2000 จาก 10000
...
-r " : " (หัว)
การแทนที่ส่วนหัว คำขอของลูกค้าทุกคนจะได้รับการประมวลผลและส่วนหัวใด ๆ
กำหนดโดยใช้ -r หรือในไฟล์การกำหนดค่าจะถูกเพิ่มเข้าไป ในกรณีที่
มีส่วนหัวอยู่แล้ว ค่าจะถูกแทนที่
-s ทำให้คำขอทั้งหมดเป็นอนุกรมโดยไม่ใช้เธรดที่เกิดขึ้นพร้อมกันสำหรับพร็อกซี (ยังคงทำอุโมงค์
ทำงานควบคู่กันไป) สิ่งนี้มีผลกระทบอย่างมากต่อประสิทธิภาพการทำงานและใช้ได้เท่านั้น
เพื่อจุดประสงค์ในการดีบัก เมื่อใช้กับ -vมันให้บันทึกดีบักตามลำดับที่ดี
ที่คำขอผลัดกัน
-T
ใช้ร่วมกับ -v เพื่อบันทึกเอาต์พุตการดีบักลงในไฟล์การติดตาม มันควรจะ
จะถูกวางเป็นพารามิเตอร์แรกบนบรรทัดคำสั่ง เพื่อป้องกันข้อมูลสูญหาย มัน
ไม่เคยเขียนทับไฟล์ที่มีอยู่ คุณต้องเลือกชื่อที่ไม่ซ้ำกันหรือด้วยตนเอง
ลบไฟล์เก่า
-U
เมื่อดำเนินการเป็นรูท ให้ทำสิ่งต่าง ๆ ที่ต้องการการอนุญาตดังกล่าว (อ่าน config, bind
พอร์ต ฯลฯ ) แล้วยกเลิกสิทธิ์ทันทีและเปลี่ยนเป็น UID. พารามิเตอร์นี้
สามารถเป็นได้ทั้งตัวเลขหรือชื่อผู้ใช้ระบบ หากคุณใช้ตัวเลขทั้ง uid และ gid ของ
กระบวนการจะถูกตั้งค่าเป็นค่านี้ หากคุณระบุชื่อผู้ใช้ uid และ gid will
ตั้งค่าตาม uid ของผู้ใช้และ gid หลักตามที่กำหนดไว้ใน / etc / passwd. คุณ
ควรใช้อันหลัง อาจใช้เฉพาะ ควบคุม บัญชีผู้ใช้. เช่นเดียวกับใด ๆ
daemon คุณคือ เสถียร แนะนำให้วิ่ง ควบคุม ภายใต้บัญชีที่ไม่มีสิทธิพิเศษ
-u [@ ] (ชื่อผู้ใช้)
บัญชีพร็อกซี/ชื่อผู้ใช้ สามารถป้อนโดเมนได้เช่นกัน
-v พิมพ์ข้อมูลการดีบัก เปิดใช้งานโดยอัตโนมัติ (-f).
-w (เวิร์คสเตชั่น)
ชื่อเวิร์กสเตชัน NetBIOS อย่าใช้ชื่อโดเมนแบบเต็ม (FQDN) ที่นี่ แค่
ส่วนแรก หากไม่ระบุ ควบคุม พยายามรับชื่อโฮสต์ของระบบและ if
ที่ล้มเหลว ใช้ "cntlm" - เนื่องจากพร็อกซีบางตัวกำหนดให้ฟิลด์นี้ไม่ว่างเปล่า
การกำหนดค่า
ไฟล์การกำหนดค่านั้นเป็นไฟล์ INI ยกเว้นว่าไม่มี "=" ระหว่างคีย์และ
ค่านิยม ประกอบด้วยคีย์เวิร์ดและคู่ค่าที่คั่นด้วยช่องว่าง นอกเหนือจากนี้,
มีส่วนเช่นกัน พวกเขามีไวยากรณ์ "[section_name]" ปกติ เริ่มแสดงความคิดเห็น
ด้วยแฮช "#" หรืออัฒภาค ";" และสามารถอยู่ที่ใดก็ได้ในไฟล์ ทุกอย่างหลังจาก
ทำเครื่องหมายจนกระทั่ง EOL เป็นความคิดเห็น ค่าสามารถมีอักขระใดก็ได้ รวมทั้งช่องว่าง
คุณ สามารถ ใช้เครื่องหมายอัญประกาศคู่รอบค่าเพื่อตั้งค่าสตริงที่มีอักขระพิเศษ
เช่น ช่องว่าง ป้ายปอนด์ ฯลฯ ไม่อนุญาตให้ใช้ Escape Sequence ในสตริงที่ยกมา
คีย์เวิร์ดมี XNUMX ประเภท คือ ในประเทศ และ ทั่วโลก. ตัวเลือกในเครื่องระบุการพิสูจน์ตัวตน
รายละเอียดตามโดเมน (หรือที่ตั้ง) คำหลักสากลนำไปใช้กับทุกส่วนและพร็อกซี่ พวกเขา
ควรวางก่อนทุกส่วนแต่ไม่จำเป็น พวกเขาคือ: อนุญาต, ปฏิเสธ,
เกตเวย์, ฟัง, SOCKS5Proxy, SOCKS5User, NTLMToBasic, อุโมงค์
คำหลักที่มีอยู่ทั้งหมดแสดงอยู่ที่นี่ คำอธิบายทั้งหมดอยู่ในส่วน OPTIONS:
อนุญาต [/ ]
ACL อนุญาตกฎ ดู -A.
รับรองความถูกต้อง NTLMv2 | NTLM2SR | NT | NTLM | LM
เลือกชุดค่าผสมที่เป็นไปได้ของแฮช NTLM โดยใช้พารามิเตอร์เดียว
ปฏิเสธ [/ ]
ACL ปฏิเสธกฎ ดู -A.
โดเมน
โดเมนบัญชีพร็อกซี/ชื่อเวิร์กกรุ๊ป
ธง
แฟล็กการตรวจสอบสิทธิ์ NTLM ดู -F เพื่อดูรายละเอียด
ประตู ใช่|ไม่
โหมดเกตเวย์ ในไฟล์การกำหนดค่า ลำดับไม่สำคัญ ใช้โหมดเกตเวย์
เหมือนกันทุกอุโมงค์
ส่วนหัว <ชื่อส่วนหัว: ค่า>
การแทนที่ส่วนหัว ดู -r สำหรับรายละเอียดและจำไว้ว่าไม่มีการอ้างอิง
ISAScannerAgent
เปิดใช้งานไวด์การ์ด (*, ?, []) การจับคู่สตริง User-Agent ที่ไม่คำนึงถึงตัวพิมพ์เล็กและใหญ่สำหรับ
trans-isa-ปลั๊กอิน ถ้าคุณไม่นิยาม ISAScannerSize, มันถูกตั้งค่าภายในเป็น
อินฟินิตี้ เช่น ปิดการใช้งานปลั๊กอินสำหรับการดาวน์โหลดทั้งหมดยกเว้นที่ตรงกับตัวแทน
คน ดู -G.
ISAScannerSize
เปิดใช้งานปลั๊กอิน trans-isa-scan ดู -S สำหรับข้อมูลเพิ่มเติม
ฟัง [ :]
หมายเลขพอร์ตท้องถิ่นสำหรับ ควบคุมบริการพร็อกซี่ของ ดู -l สำหรับข้อมูลเพิ่มเติม
รหัสผ่าน
รหัสผ่านบัญชีพร็อกซี่ เช่นเดียวกับตัวเลือกอื่น ๆ ค่า (รหัสผ่าน) สามารถเป็น
อยู่ในเครื่องหมายคำพูดคู่ (") ในกรณีที่มีอักขระพิเศษเช่นช่องว่าง
ป้ายปอนด์ ฯลฯ
ผ่านNTLMv2, ผ่านเอ็นที, PassLM
แฮชของรหัสผ่านบัญชีพร็อกซี่ (ดู -H และ -a). เมื่อคุณต้องการใช้แฮช
ในการกำหนดค่า (แทนรหัสผ่านข้อความธรรมดา) แต่ละ รับรองความถูกต้อง การตั้งค่าต้องการ
ตัวเลือกต่างๆ:
การตั้งค่า | ต้องใช้
--------------+-----------------
รับรองความถูกต้อง NTLMv2 | ผ่านNTLMv2
รับรองความถูกต้อง NTLM2SR | PassNT
รับรองความถูกต้อง NT | PassNT
รับรองความถูกต้อง NTLM | PassNT + PassLM
รับรองความถูกต้อง LM | PassLM
หนังสือมอบฉันทะ
พรอกซีหลักซึ่งต้องมีการพิสูจน์ตัวตน เช่นเดียวกับพร็อกซีบนบรรทัดคำสั่ง
สามารถใช้มากกว่าหนึ่งครั้งเพื่อระบุจำนวนผู้รับมอบฉันทะโดยพลการ ควรหนึ่ง
พร็อกซี่ล้มเหลว ควบคุม ย้ายไปยังรายการถัดไปโดยอัตโนมัติ คำขอเชื่อมต่อล้มเหลว
เฉพาะในกรณีที่สแกนรายชื่อผู้รับมอบฉันทะทั้งหมดและ (สำหรับแต่ละคำขอ) และพบว่า
ไม่ถูกต้อง. บรรทัดคำสั่งมีความสำคัญเหนือไฟล์การกำหนดค่า
ไม่มีพรอกซี , , ...
หลีกเลี่ยงพรอกซีหลักสำหรับชื่อโฮสต์เหล่านี้ URL ที่ตรงกันทั้งหมดจะถูกพร็อกซี่
โดยตรง by ควบคุม เป็นพร็อกซีแบบสแตนด์อโลน ควบคุม รองรับการพิสูจน์ตัวตน WWW ในสิ่งนี้
โหมดจึงช่วยให้คุณเข้าถึงไซต์อินทราเน็ตในพื้นที่ด้วย NTLM . ขององค์กร
การรับรองความถูกต้อง หวังว่าคุณจะไม่ต้องการ MSIE เสมือนจริงอีกต่อไป :) ดู -N
สำหรับข้อมูลเพิ่มเติม
SOCKS5พร็อกซี [ :]
เปิดใช้งานพร็อกซี SOCKS5 ดู -O สำหรับข้อมูลเพิ่มเติม
SOCKS5ผู้ใช้ :
สร้างบัญชีพร็อกซี SOCKS5 ใหม่ ดู -R สำหรับข้อมูลเพิ่มเติม
NTLMToBasic ใช่|ไม่
เปิด/ปิดการพิสูจน์ตัวตน NTLM-to-basic ดู -B สำหรับข้อมูลเพิ่มเติม
อุโมงค์ [ :] : :
คำจำกัดความของอุโมงค์ ดู -L สำหรับข้อมูลเพิ่มเติม
ชื่อผู้ใช้
ชื่อบัญชีพร็อกซี่ โดยไม่สามารถใส่ชื่อโดเมนได้ (เครื่องหมาย 'at' is
ตีความตามตัวอักษร)
เวิร์คสเตชั่
ชื่อโฮสต์ของเวิร์กสเตชันของคุณ
ใช้ cntlm ออนไลน์โดยใช้บริการ onworks.net