有很多人喜歡用Blocking UA的方法，但很幸運的是，如果你使用了CF的CDN服務，那麼Cloudflare為我們提供了防火牆功能。

當你把你的網站放在CF的CDN後面，有許多增強的安全設置可以為我們所使用，其中一個就是根據UA來進行處置，Block或者Challenge，使用Challenge選項時，會首先到達一個驗證碼頁面，這個頁面，在大陸由百度雲加速提供，除大陸地區，由CF自己提供，這個Challenge頁面非常類似於常用的抗DOS設備的跳轉頁面，需要輸入驗證碼，或是使用js檢測瀏覽器完整性後，才會將用戶側瀏覽器傳遞到目的url。

但是，很多時候，一些非正式的bot，使用了各種千奇百怪的UA，比如華為和阿里巴巴，你們又沒有搜索引擎，抓來抓去抓什麼呢？這種時候，我覺得UA非常煩擾，於是我通常會將16位的B類地址段直接設置為需要Challenge，通常來講，既然它是bot，它就不可能完成Challenge。當然，還有一些俄羅斯和法國的惡意bots，通常也會加到Challenge的範圍，由於俄羅斯的實在是太多，乾脆就直接把Russia加進去。

通過以上的一些設置，整個服務器的負荷就小了很多，訪問量變成高峰期的三分之二左右。

大陸A股一瀉千里，我已經浮虧二十萬，好刺激，但還沒到我浮虧最多的時候，最多的時候曾經浮虧三十萬。

你看吧，我說要開始扣屎盆子了吧，趙立堅剛把屎盆子試圖扣在美國頭上，川普就直呼Chinese virus，不過這也許是學習俄羅斯的網軍，用各種陰謀論搞亂信息來達到目的。

一個星期買一次蔬菜，每天在家洗菜煮飯燒水，我發現這個淨水器的廢水丟掉有點浪費，於是把他們收集起來，放到魚缸的儲水桶，爆氣兩天之後再給魚缸換水，好像還蠻不錯，我發現這個洗米水似乎有點營養過剩，倒在戶外水草缸裡面沒兩天居然臭了，水草也開始腐爛，趕緊下了一些硝化細菌和光合細菌，也許是天氣比較寒冷凍死了水草，總之就是臭了，在戶外水草缸裡面種植菠菜也宣告失敗，應該是太冷的緣故，還有根鬚都被菜農摘掉，很難存活。

雖然天氣並不是很熱，也不是很冷，戶外的水草缸裡面已經開始有蚊子或是蒼蠅下蛋了，水裏遊動著小蟲子，我就把餓了很多天的虎皮魚丟進去，吃得差不多再撈回室內的魚缸。

我原本想用策略路由，把出國流量直接丟到旁路網關去，但是我發現這樣做的話，過個一兩天就會產生防火牆CPU負荷滿載的問題（雖然滿載並沒有什麼影響），似乎是奈飛的流量導致，我還沒搞清楚這個問題所在。

set vrouter “trust-vr”
set match-group name goto-vpn
set match-group goto-vpn ext-acl 10 match-entry 1
set action-group name act-goto-vpn
set action-group act-goto-vpn next-hop 172.16.254.254 action-entry 10
set pbr policy name po-goto-vpn
set pbr policy po-goto-vpn match-group goto-vpn action-group act-goto-vpn 10

set access-list extended 10 src-ip 172.16.254.0/24 dst-ip 72.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any

Juniper ScreenOS 6.2

如果在主路由上使用策略路由，那麼理論上來說，第一跳到旁路網關適用於主要流量為出國流量的環境，第一跳到主路由適用於主要流量為國內流量的環境，否則就會產生大部分流量需要兩跳的結果，我想了想，改回了第一跳到旁路網關。

最近一段時間糾結於看奈飛的問題，因為服務提供商很不穩定。

現在的方案是，一台美國VPS，再購買一個解鎖服務，一個月的成本大概是5美金加上15元人民幣，總計一個月支出50元人民幣.

如果辦理一張亞太電信的4G吃到飽，一個月199台幣，大約是46元人民幣，但是，就需要額外的配置，大約需要一台4G路由器，一台VPN路由器，一台可以運行代理的Server，恰好這些東西我手裡都有。

拓撲圖如下所示，位於台北的4G路由器，提供網絡接入，NS5GT防火牆通過VPN連結到我位於拉斯維加斯的服務器，這一條VPN是固定的，主要用於遠程調試在台北的這台防火牆。

為什麼？

因為通過4G網路上網時，並不會分配公網IP地址，那麼位於台北的防火牆只能發起主動連結到拉斯維加斯，透過拉斯維加斯的服務器，我們現在增加一條VPN，從台北到上海的服務器，這一條VPN，由於大陸地區的不穩定性，可能會更換不同的服務器，所以才會有拉斯維加斯的那條VPN來進行保障性連結。

當台北到上海的VPN連結成功建立後，我再從本地防火牆，建立一條到上海的VPN，在上海的這台服務器上，運行了相關代理和轉發，將互聯網請求通過VPN轉發到位於台北的Mini Proxy Server，完成觀看奈飛的任務。

這個方案其實有很多隱性成本，例如，拉斯維加斯的服務器，上海的服務器，這都是我手裡現有的資源，一般人不太適用。

如果使用類似於花生殼之類的內網穿透服務，可以免去拉斯維加斯服務器的這個角色，因為透過花生殼就可以直接對位於台北的防火牆配置進行修改。

如果這個方案中，4G上網修改為寬頻上網，方案就會變得更簡單一些，因為台灣目前主要的寬頻服務都提供有免費的固定IP地址，可以免去上海的中轉服務器，和拉斯維加斯的調測服務器，從本地直接發起連結到台北就可以。但是，台灣的寬頻上網價格實在是，60M/20M的寬頻一個月至少要800台幣，比起大陸來還真是有點貴。