cntlm - 云端在线

通过 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器在 OnWorks 免费托管服务提供商中运行 cntlm

这是命令 cntlm 可以在 OnWorks 免费托管服务提供商中使用我们的多个免费在线工作站之一运行，例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器

在 Ubuntu 中运行在 Fedora 中运行在 Windows Sim 中运行在 MACOS Sim 中运行

程序：

您的姓名

CNTM - 使用 TCP/IP 隧道和加速验证 HTTP(S) 代理

概要

CNTM [ -AaBcDdFfgHhILMPprSsTUuvw [ host1 端口1 | host1:端口1 ] ... 主机N 端口号

商品描述

控制是 NTLM/NTLM SR/NTLMv2 身份验证 HTTP 代理。它站在你之间
应用程序和公司代理，即时添加 NTLM 身份验证。你可以
指定几个“父”代理，Cntlm 将一个接一个地尝试，直到一个成功。全部
auth'd 连接被缓存和重用以实现高效率。只需指向您的应用程序
在 Cntlm 设置代理，填写 cntlm.conf (cntlm.ini) 就可以了。这是
在 Windows 上很有用，但对于非 Microsoft 操作系统必不可少。代理IP地址可以是
通过 CLI (主机 1：端口 1 至主机号：端口号) 或配置文件。

另一种选择是有 CNTM 在没有任何父级的情况下验证您的本地网络连接
代理。它可以在单机模式下工作，就像 Squid 或 ISA 一样。默认情况下，所有
请求被转发到父代理，但用户可以设置一个“NoProxy”列表，一个列表
URL 匹配通配符模式，即直接和转发模式之间的路由。控制能够
还可以识别您的所有公司代理何时不可用并切换到独立
自动模式（然后再次返回）。除了全球资讯网和代表委任验证， CNTM
提供了一个有用的功能，使用户能够在工作和家庭之间迁移他们的笔记本电脑
无需更改其应用程序中的代理设置（使用 CNTM 每时每刻）。控制
还集成了透明的 TCP/IP 端口转发（隧道）。每条隧道打开一个新的
侦听本地机器上的套接字并将所有连接转发到目标主机
在父代理后面。除了这些类似 SSH 的隧道，用户还可以选择有限的
SOCKS5 接口。

核心 CNTM 功能类似于晚期的 NTLMAPS，但今天， CNTM 进化的方式
超越任何其他此类应用程序所能提供的。下面的功能列表
为自己说话。控制具有许多安全/隐私功能，例如 NTLMv2 支持和
密码保护 - 可以替换密码哈希（可以从
运用 -H) 代替实际密码或以交互方式输入密码（在
启动或通过“基本”HTTP 身份验证转换）。如果使用明文密码，则为
在启动期间自动散列并从进程中删除它的所有痕迹
记忆。

除了尽量减少系统资源的使用， CNTM 实现更高的吞吐量
给定链接。通过缓存经过身份验证的连接，它充当 HTTP 加速器；这个
方式，每个连接的 5 路身份验证握手被透明地消除，提供
大多数时候可以立即访问。控制从不在内存中缓存请求/回复正文，在
事实上，在客户端 <->
服务器连接已完全协商。只有这样才会发生真正的数据传输。控制 is
用优化的 C 语言编写，轻松实现比其他产品快 XNUMX 倍的响应。

一个例子 CNTM 与 NTLMAPS 相比： CNTM 平均 76 kB/s，峰值 CPU 使用率
0.3% 而使用 NTLMAPS 时平均为 48 kB/s，峰值 CPU 为 98%（Pentium M 1.8 GHz）。这
资源使用的极端差异是笔记本电脑使用的众多重要优势之一。
峰值内存消耗（几个复杂站点，50 个并行连接/线程；值
以 KiB 为单位）：

VSZ RSS 命令
第3204章 1436./cntlm -f -c./cntlm.conf -P pid
411604 6264 /usr/share/ntlmaps/main.py -c /etc/ntlmaps/server.cfg

开发的固有部分是使用分析和内存管理筛选
瓦尔格林。源代码分发包含一个名为 valgrind.txt，在那里您可以看到
该报告确认零泄漏，无法访问未分配的内存，未使用
未初始化的数据 - 全部追溯到 Valgrind 虚拟中模拟的每条指令
在代理的典型生产生命周期内的 CPU。

配置

大多数选项可以在配置文件中预先设置。多次指定一个选项
不是错误，而是 CNTM 忽略除最后一次之外的所有出现。这不适用
像这样的选项 -L，每个都创建了某个特征的一个新实例。控制可
使用硬编码的配置文件（例如 /etc/cntlm.conf）构建，该文件始终加载，
如果可能的话。看 -c 关于如何覆盖其部分或全部设置的选项。

使用 -h 查看带有简短说明的可用选项。

-A IP/掩码 （允许）
允许 ACL 规则。和...一起 -D (Deny) 它们是 ACL 中允许的两条规则
政策。在配置文件中包含它更常见，但是控制如下
前提是您可以在命令行上执行与使用相同的操作
配置文件。什么时候控制收到连接请求，决定是否允许
或否认。所有 ACL 规则都按照指定的顺序存储在一个列表中。
控制然后遍历列表和第一个 IP/掩码匹配请求的规则
应用源地址。这面膜可以是 0 到 32 之间的任何数字，其中 32 是
默认（即完全 IP 匹配）。这种表示法也称为 CIDR。如果你想
匹配一切，使用 0/0 或星号。命令行上的 ACL 需要
优先于配置文件中的那些。在这种情况下，您将看到有关
在日志中（在未使用的选项列表中）。在那里你还可以看到警告
关于可能不正确的子网规范，那就是 IP 部分的位数比
你声明面膜（例如 10.20.30.40/24 应该是 10.20.30.0/24）。

-a NTLMv2 | NTLM2SR | NT | NTLM | LM （授权）
认证类型。 NTLM(v2) 包含一个或两个散列响应，NT 和 LM
或 NTLM2SR 或 NTv2 和 LMv2，它们是根据密码哈希计算的。每个
响应使用不同的散列算法；随着新的响应类型的发明，
使用了更强的算法。第一次安装时 CNTM，找到最强的
这对你有用（最好使用 -M）。上面它们从最强到
最弱。非常旧的服务器或专用硬件代理可能无法处理
除了 LM 什么都没有。如果这些都不起作用，请参阅兼容性标志选项 -F 或提交
支持请求。

重要信息： 虽然 NTLMv2 没有被广泛采用（即强制执行），但它是受支持的
在 NT 4.0 SP4 之后的所有 Windows 上。那是为了 a 非常长次！我强烈建议
您可以使用它来在线保护您的凭据。您还应该替换纯文本
密码带有散列的选项 通过[NTLMv2|NT|LM] 等价物。 NTLMv2 是最
可能是 NTLM 系列的唯一安全身份验证。

-B (NTLMToBasic)
此选项启用“NTLM-to-basic”，它允许您使用一个 CNTM 对于多个
用户。请注意，这样会丢失 NTLM 的所有安全性。基本身份验证仅使用
一种简单的编码算法来“隐藏”您的凭据，并且相当容易
闻它们。

重要提示：HTTP 协议显然有办法在之前协商授权
让你通过，但 TCP/IP 没有（即开放端口是开放端口）。如果你使用
NTLM-to-basic 并且不要在配置文件中指定一些用户名/密码，
你肯定会松散隧道功能，因为 CNTM 一个人不会知道你的
证书。

因为 NTLM 标识至少有三部分（用户名、密码、域）
并且基本身份验证仅提供两个字段（用户名、密码），您
必须在某处走私域部分。您可以设置域名配置/命令行
参数，然后将用于所有未将其域指定为的用户
用户名的一部分。要做到这一点并覆盖全局域设置，请使用此
而不是密码对话框中的普通用户名：“域\用户名”。

-c
配置文件。命令行选项（如果使用）覆盖其单个选项或
添加在列表顶部的多选项（隧道、父代理等）
除了完全覆盖的 ACL。用的/ dev / null的至
禁用任何配置文件。

-D IP/掩码 （否定）
拒绝 ACL 规则。查看选项 -A 以上。

-d （领域）
代理帐户的域或工作组。该值也可以指定为
用户名的一部分 -u.

-F （旗帜）
NTLM 身份验证标志。这个选项比较微妙，我不建议
除非父代理身份验证没有成功，否则更改默认的内置值
并尝试了神奇的自动检测（-M) 和所有可能的值 AUTH 选项
(-a）。请记住，每个 NT/LM 哈希组合需要不同的标志。这个
选项是一种完整的“手动覆盖”，您必须处理它
你自己。

-f 在控制台中作为前台作业运行，不要分叉到后台。在这种模式下，所有
syslog 消息将被回显到控制台（在支持 syslog 的平台上
LOG_PERROR 选项）。尽管 CNTM 主要设计为经典的 UNIX 守护进程
使用 syslogd 日志记录，它提供详细的详细模式，而无需脱离
控制终端；看 -v. 在任何情况下，所有错误和诊断消息都是
总是发送到系统记录器。

-G （ISA 扫描仪代理）
用于 trans-isa-scan 插件的用户代理匹配（不区分大小写）（请参阅 -S
解释）。正匹配标识请求（应用程序）
应该在不考虑下载大小的情况下启用插件（请参阅 -S）。你
可以使用shell通配符，即“*”、“?” 和 ”[]”。如果没有使用 -S or
ISAS扫描仪尺寸是，最大大小（以 kb 为单位）内部设置为无穷大，因此插件
将仅对选定的用户代理有效，无论下载大小如何。

-g (网关)
网关模式， CNTM 侦听所有网络接口。默认是只绑定
环回。这样，只有本地进程可以连接到 CNTM. 在网关模式
虽然， CNTM 侦听所有接口并且可以被其他机器访问
网络。请注意，使用此选项时，命令行顺序很重要
指定代理或隧道本地（侦听）端口。那些定位在它之前的
仅绑定环回；之后的将公开。
重要提示：以上所有内容仅适用于您没有使用的本地端口
指定任何源地址。如果你这样做了 CNTM 尝试仅绑定给定的端口
指定的接口（或更确切地说是 IP 地址）。

-H 使用此选项可获取无密码配置的哈希值。在这种模式下， CNTM
打印结果并退出。您可以直接复制并粘贴到配置文件中。
你应该明确地使用这个选项 -u 和 -d，因为一些哈希包括
计算中的用户名和域名。看 -a 为了安全
建议。

-h 显示帮助（带有简短描述的可用选项）并退出。

-I 交互式密码提示。来自命令行或配置的任何密码设置
文件被忽略并发出密码提示。仅在 shell 中使用此选项。

-L [ :] ：： （隧道）
隧道定义。语法与 OpenSSH 的本地转发（-L),
带有新的可选前缀，萨德尔 - 要绑定的源 IP 地址端口至。
控制将侦听本地端口上的传入连接端口, 转发
每个通过父代理的新连接到主机:报告（验证
去）。此选项可以多次使用以实现无限数量的隧道，
有或没有萨德尔选项。看 -g 有关当地港口的详细信息
绑定时萨德尔未使用。

请注意，许多公司代理不允许连接到其他端口
比 443 (https)，但是如果你在这个端口上运行你的目标服务，你应该
安全的。 “始终”允许连接到 HTTPS，否则没有人能够
浏览 https:// 网站。不管怎样，先试试能不能建立连接
穿过隧道，在你依赖它之前。此功能与工具的作用相同
喜欢 螺旋形的(1)，但不是通过终端进行通信， CNTM 保留它
TCP / IP。

-l [ :] （听）
本地端口 CNTM 代理服务。使用您在此处选择的号码和
正在运行的机器的主机名 CNTM （可能是本地主机）作为代理设置
您的浏览器和/或环境。大多数应用程序（包括控制台）支持
代理连接到其他主机的概念。在 POSIX 上，设置以下内容
要使用的变量，例如 wget的(1) 没有任何问题（填写实际地址
CNTM):

$导出ftp_proxy=http://localhost：3128
$导出http_proxy=$ftp_proxy
$导出 https_proxy=$ftp_proxy

您可以选择在多个端口上运行代理服务，在这种情况下只需
根据需要多次使用此选项。但与隧道定义不同的是， CNTM
如果无法绑定所有代理服务端口，则无法启动。代理服务端口
也可以选择性绑定。用萨德尔选择源IP地址来绑定
端口到。例如，这允许您在不同的端口上运行服务
子网 A 和 B 并使其对子网 C 不可见。参见 -g 详情
关于本地端口绑定时萨德尔未使用。

-M
运行神奇的 NTLM 方言检测。在这种模式下， CNTM 尝试一些已知的工作
针对您的代理预设。探测请求是针对指定的测试网址,
最强的哈希先行。完成后，设置为最安全
打印设置。虽然检测会告诉你使用哪个以及如何使用 AUTH,
旗和密码哈希选项，您必须至少配置您的凭据
和代理地址。您可以使用 -I 以交互方式输入密码。

-N [, （无代理）
避免使用这些主机名的父代理。所有匹配的 URL 都将被代理
直接 by CNTM 作为独立代理。控制在此支持 WWW 身份验证
模式，从而允许您使用企业 NTLM 访问本地 Intranet 站点
验证。希望您不再需要那个虚拟化的 MSIE。 :)

-O [ :] （SOCKS5代理）
启用 SOCKS5 代理并使其侦听本地端口端口号（源 IP 规范是
也可以，与所有选项一样）。默认情况下，不会有任何限制
谁可以使用此服务。有些客户端甚至不支持 SOCKS5 身份验证
（例如几乎所有浏览器）。如果您希望强制执行身份验证，请使用 -R 或其
等效选项， SOCKS5用户. 与端口隧道一样，这取决于父代理
是否允许连接到任何请求的主机：端口。这个功能可以
与使用 袜子(1) 使大多数 TCP/IP 应用程序通过代理而不是
直接（显然，只有传出连接才能工作）。使应用程序工作
没有 DNS 服务器，重要的是它们不要自行解析，而是使用
袜子。例如，Firefox 可以通过 URI“about:config”、键名获得此选项
网络.proxy.socks_remote_dns，必须设置为 true. 代理不知道
袜子化的应用程序，必须使用 IP 地址进行配置以防止它们
从 DNS 解析。

-P
创建PID文件 pid文件启动时。如果指定的文件存在，则为
被截断和覆盖。此选项旨在与 起停-
守护(8) 和其他服务机制。请注意PID文件的创建
在进程放弃其特权和分叉之后。当守护进程干净地完成时，
文件被删除。

-p （密码， 通行证， ...）
代理帐户密码。控制从内存中删除密码，使其成为
看不见 / proc中或使用检查工具，例如 ps(1)，但更可取的方式
设置密码是配置文件。为此，您可以使用密码
选项（对于纯文本，人类可读的格式），或通过“加密”您的密码 -H
然后使用 通过NTLMv2, 通行证 和 通行证.

-R ： (SOCKS5用户)
如果启用了 SOCKS5 代理，则此选项可以使其仅对以下人员访问
已被授权。它可以多次使用，以创建一个完整的列表
帐户（允许的用户：通行证组合）。

-S （ISA 扫描仪大小）
启用插件以透明处理可怕的 ISA AV 扫描仪，它
返回一个交互式 HTTP 页面（显示扫描进度）而不是
您请求的文件/数据，每次都感觉像是扫描内容。这个
放肆的行为破坏了每个自动下载器、更新器和基本上
每个依赖下载的应用程序（例如 wget、apt-get）。

参数最大大小（以 kb 为单位）允许您选择您希望的最大下载大小
由插件处理（请参阅下文您可能想要的原因）。如果文件大小为
比这个大 CNTM 向您转发交互式页面，有效地禁用
该下载的插件。零意味着没有限制。用 -G/ISAS扫描代理 至
确定应用程序最大大小（以 kb 为单位）应该被忽略（强制
插入）。它通过匹配 User-Agent 标头来工作，并且对于例如 wget 是必需的，
apt-get 和 yum，如果响应是某个 HTTP 页面而不是
请求的数据。

工作原理：客户端请求一个文件， CNTM 检测 ISA 的废话反应和
等待到 ISA 缓存的秘密链接
ISA 下载并扫描。只有这样才能 CNTM 提出第二个请求
真实文件并将其连同正确的标题一起转发给客户端。客户端
等待时不会超时，b/c CNTM 定期发送额外的
“keepalive”标题，但用户可能会因为看不到进度条而感到紧张
移动。当然是纯粹心理没关系，如果没有区别 CNTM or
您的浏览器请求扫描文件 - 您必须等待 ISA 完成它的工作并且
那就下载吧您只是希望看到一些进度指示器移动，仅此而已
ISA 的页面做什么：它显示 HTML 倒计时。

如果插件由于某种原因无法解析交互式页面（未知
格式等），它会退出并将页面转发给您 - 它永远不会“丢失”。

keepalive 标头称为 ISA-Scanner 并显示 ISA 的进度，例如：

HTTP / 1.1 200的确定
ISA 扫描仪：1000 个，共 10000 个
ISA 扫描仪：2000 个，共 10000 个
...

-r ” ： ” （标题）
标题替换。每个客户端的请求都将被处理和任何标头
定义使用 -r 或者在配置文件中将其添加进去。万一
header 已经存在，它的值将被替换。

-s 通过不使用代理的并发线程来序列化所有请求（隧道仍然
并行工作）。这对性能有可怕的影响，并且仅可用
用于调试目的。当与 -v，它产生了很好的顺序调试日志，
请求轮流的地方。

-T
结合使用 -v 将调试输出保存到跟踪文件中。这应该
作为命令行的第一个参数。为了防止数据丢失，它
从不覆盖现有文件。您必须选择一个唯一的名称或手动
删除旧文件。

-U
以 root 身份执行时，执行需要此类权限的操作（读取配置、绑定
端口等），然后立即删除权限并更改为的uid。这个参数
可以是号码或系统用户名。如果使用数字，则 uid 和 gid
进程将被设置为这个值；如果您指定用户名，uid 和 gid 将
根据该用户的 uid 和主要 gid 进行设置，如定义 / etc / passwd文件。您
应该使用后者，可能使用专用 CNTM 帐户。与任何
守护进程，你是非常建议跑步 CNTM 在非特权帐户下。

-u [@ ] （用户名）
代理帐户/用户名。也可以输入域。

-v 打印调试信息。自动启用 (-f).

-w （工作站）
工作站 NetBIOS 名称。不要在此处使用完全限定域名 (FQDN)。只是
第一部分。如果没有指定， CNTM 尝试获取系统主机名，如果
失败，使用“cntlm” - 这是因为某些代理要求此字段非空。

配置

配置文件基本上是一个 INI 文件，除了键和键之间没有“=”
值。它由空格分隔的关键字和值对组成。除此之外，
也有部分，它们具有通常的“[section_name]”语法。评论开始
带有散列“#”或分号“;” 并且可以位于文件中的任何位置。之后的一切
标记直到 EOL 是评论。值可以包含任何字符，包括空格。
完全能够在值周围使用双引号来设置包含特殊字符的字符串
像空格、井号等。引用的字符串中不允许使用转义序列。

有两种类型的关键字，本地和全球化. 本地选项指定身份验证
每个域（或位置）的详细信息。全局关键字适用于所有部分和代理。他们
应该放在所有部分之前，但这不是必需的。它们是：允许、拒绝、
网关、监听、SOCKS5Proxy、SOCKS5User、NTLMToBasic、隧道。

此处列出了所有可用关键字，完整说明在 OPTIONS 部分：

让 [/ ]
ACL 允许规则，请参阅 -A.

AUTH NTLMv2 | NTLM2SR | NT | NTLM | LM
使用单个参数选择任何可能的 NTLM 哈希组合。

否认 [/ ]
ACL 拒绝规则，请参阅 -A.

域名
代理帐户域/工作组名称。

旗
NTLM 身份验证标志。看 -F 了解详情。

网关 是|否
网关模式。在配置文件中，顺序无关紧要。适用网关模式
所有隧道都一样。

标题 <标题名称： 值>
标题替换。看 -r 详情请记住，不引用。

ISAS扫描代理
启用通配符的 (*, ?, []) 不区分大小写的 User-Agent 字符串匹配
trans-isa-插件。如果你没有定义 ISAS扫描仪尺寸, 它在内部设置为
无穷大，即禁用所有下载的插件，除了那些与代理匹配的
那些。看 -G.

ISAS扫描仪尺寸
启用 trans-isa-scan 插件。看 -S 了解更多信息。

试听 [ :]
本地端口号 CNTM的代理服务。看 -l 了解更多信息。

密码
代理帐户密码。与任何其他选项一样，值（密码）可以是
用双引号 (") 括起来，以防它包含空格等特殊字符，
英镑符号等

通过NTLMv2， 通行证， 通行证
代理帐户密码的哈希值（请参阅 -H 和 -a）。当你想使用哈希时
在配置（而不是明文密码）中，每个 AUTH 设置需要
不同的选择：

设置 | 需要
-------------+------
验证 NTLMv2 | 通过NTLMv2
验证 NTLM2SR | 通行证
验证 NT | 通行证
验证 NTLM | PassNT + PassLM
授权LM | 通行证

代理
父代理，需要身份验证。与命令行中的代理相同，
可以多次使用来指定任意数量的代理。应该一
代理失败， CNTM 自动进入下一个。连接请求失败
只有当整个代理列表被扫描并且（对于每个请求）并且发现是
无效的。命令行优先于配置文件。

无代理 , , ...
避免使用这些主机名的父代理。所有匹配的 URL 都将被代理
直接 by CNTM 作为独立代理。控制在此支持 WWW 身份验证
模式，从而允许您使用企业 NTLM 访问本地 Intranet 站点
验证。希望您不再需要那个虚拟化的 MSIE。：）看 -N
了解更多信息。

SOCKS5代理 [ :]
启用 SOCKS5 代理。看 -O 了解更多信息。

SOCKS5用户 ：
创建一个新的 SOCKS5 代理帐户。看 -R 了解更多信息。

NTLM基础 是|否
启用/禁用 NTLM 到基本身份验证。看 -B 了解更多信息。

隧道 [ :] ：：
隧道定义。看 -L 了解更多信息。

用户名
代理帐户名，不能包含域名（'at' 符号是
字面解释）。

打标工作站
工作站的主机名。

使用 onworks.net 服务在线使用 cntlm