运营商整合之后6家运营商变为3家
中国联通 含前中国网通固话和前中国联通的GSM网 客服号10010 3G号段为186 WCDMA 沃
中国移动 含前中国移动和前中国铁通固话 客服号10086 3G号段为188 TD-SCDMA G3
中国电信 含前中国电信固话和前中国联通的CDMA网 客服号10000 3G号段为189 CDMA2000 天翼

本文介绍windtear对中国联通3G的使用体会
186 沃 96元套餐含300M上网流量 240分钟通话 不分长话市话漫游 客服号10010
支持 wcdma 的手机较多 如目前比较火的 iphone Google G1/G3 nokia e72等

上网攻略：
接入点 *99#
用户名3gnet 密码3gnet
用户名uninet 密码uninet
用户名3gwap 密码3gwap
用户名uniwap 密码uniwap

3.5G HSDPA 上网 速度10.2Mbps 或者宣称的 7.2Mbps

套餐查话费攻略：
查话费网站 http://www.10010.com/
先获取服务密码 (选忘记密码 查看手机收到的短信中的4位数字 设置服务密码）
登录网站可以查详单 话费 网络流量 如：
帐单查询 - 手机上网流量 会列出已使用的收费流量
详单查询 - 通话详单 可以每次查询7天的详单
如果想知道剩余时长可以由详单去除被叫 去除拨打10010等免费电话 累加即为已使用的通话时长 240减去该数值得到剩余时长

获得通话剩余时长还可以通过短信的方式
发送短信 TCYL 到 1065580123 (注意： 本方法据说按返回的短信收费 据说需要1元钱)
由于要花钱 所以还是建议通过网站详单累加 或者通过手机自带的通话记录中-通话时间-已拨电话估算
windtear 建议通过 excel 处理网站数据 windtear 还建议通过编写程序自动处理10010网站数据
10010网站通话时长那一栏的数据格式为 xx秒 或 xx分xx秒 呼叫类型为主叫 被叫
中国移动提供了诸如 CXBX CXGFX CXGTC CXIP1000 等短信代码接口 中国联通不提供

本人亲身经历 实在气不过京东商城能如此无耻。 严重欺诈消费者的京东商城肯定会倒闭的！

摘要：
从京东商城买了一部nokia手机 无法开机 申请换货
京东商城15天后把手机发回来 说手机没问题 不给换货 事实上手机仍无法开机
发回来之前京东商城客服联系说如果我同意就把原手机送回来 如果我不同意就放在那 什么时候同意了再联系他们 然后让我随便找315 (这些都是客服原话)
手机送回来后去nokia官方客服 nokia官方检测结论需要返厂修

京东商城欺诈消费者的地方：
1. 手机明明有问题 说没问题 拖15天发回来 (详细时间附后)
这里面有两个可能
1.1. 京东商城根本没做检测 放了15天发回来
1.2. 检测了 也说有问题 15天后发回来 nokia也不给出检测报告了
2. 我申请的换货 京东商城系统里给我改成了返修
打客服电话 客服开始说可能我选错了 我说没选错 我有截图 然后客服又说那可能是系统问题 没人能改这个东西
3. 拖时间 申请换货期间打过几次客服电话 客服说12月3号就看到结果了 拖到12月10号过了15天才联系发给我

附详细时间：
京东:
订单跟踪
2009-11-25 14:45 配送员已经从站点出发,请您准备收货
返修跟踪
2009-11-25 15:10 (发现不能开机 直接申请换货) 提交申请成功
2009-11-26 18:51 >站点全单退货,原因：售后取货返回
2009-11-28 15:15 商品已经收到且登记检测完毕,请等待处理
2009-12-03 13:?? (客服说内部显示处理完毕 可开机)
2009-12-10 11:21 (客服联系说前面提到没问题的话 发回来) 返修已结束，希望我们的服务能令您满意！
2009-12-11 13:15 (拿到手)

nokia:
2009-12-12 15:17 开始nokia官方维修 结论：需要返厂修

结论：
京东商城严重欺诈消费者 京东商城缺乏最基本的商业道德 祝京东商城早日倒闭

感谢很多同事朋友在此期间给我的帮助和建议

2009年最新版个人所得税计算器2 (7月后有效 基数11178 失业0.2%)

输入 税前工资 或 应付工资 其他自动算出来显示

税前工资：  *

应付工资：  * (等于税前工资减去三险一金)

公积金比例： 8% 10% 12%

所得税：   

税后工资：  (实际到手的净收入)

养老保险：  (每年4月份调整：按8%算 )

医疗保险：  (每年3月份调整：按2%算 包括3元互助)

公积金：    (每年7月份调整：按12%算 供参考 以前是10% 8%)

失业保险：  (每年4月份调整：按0.2%算)

税率：     

调节数：   



转载请注明出处 http://windtear.net/2009/10/personal_income_tax_calculator_2009v2.html

过去几年的个人所得税计算器：

2009年最新版个人所得税计算器1 (7月后有效 基数11178 失业0.2%)

2009年最新版个人所得税计算器1 (7月前有效 基数9966 失业0.2%)

2008年最新版个人所得税计算器3 (7月后有效 基数9966 公积金比例为12% 养老医保调整后)

2008年最新版个人所得税计算器2 (7月后有效 基数9966 公积金比例为12% 养老医保调整前)

2008年最新版个人所得税计算器1 (3月后有效 起征点调整为2000元后)

2007最新版个人所得税计算器2 (7月后有效 社保公积金调整后)

2007最新版个人所得税计算器1 (7月前有效 社保调整后 公积金调整前)

2006最新版个人所得税计算器

2005个人所得税计算器

2009年最新版个人所得税计算器1 (7月前有效 基数9966 失业0.2%)

输入 税前工资 或 应付工资 其他自动算出来显示

税前工资：  *

应付工资：  * (等于税前工资减去三险一金)

公积金比例： 8% 10% 12%

所得税：   

税后工资：  (实际到手的净收入)

养老保险：  (每年4月份调整：按8%算 )

医疗保险：  (每年3月份调整：按2%算 包括3元互助)

公积金：    (每年7月份调整：按12%算 供参考 以前是10% 8%)

失业保险：  (每年4月份调整：按0.2%算)

税率：     

调节数：   



转载请注明出处 http://windtear.net/2009/10/personal_income_tax_calculator_2009v1.html

过去几年的个人所得税计算器：

2009年最新版个人所得税计算器1 (7月后有效 基数11178 失业0.2%)

2009年最新版个人所得税计算器1 (7月前有效 基数9966 失业0.2%)

2008年最新版个人所得税计算器3 (7月后有效 基数9966 公积金比例为12% 养老医保调整后)

2008年最新版个人所得税计算器2 (7月后有效 基数9966 公积金比例为12% 养老医保调整前)

2008年最新版个人所得税计算器1 (3月后有效 起征点调整为2000元后)

2007最新版个人所得税计算器2 (7月后有效 社保公积金调整后)

2007最新版个人所得税计算器1 (7月前有效 社保调整后 公积金调整前)

2006最新版个人所得税计算器

2005个人所得税计算器

一个真实的例子 由于可能触发了什么东西 A到B的数据交互会被一个抢先的RST回应干扰
简单解决是忽略这种类型的全部 RST 包
iptables -I INPUT -p tcp --tcp-flags SYN,FIN,RST,URG,PSH RST -j DROP

 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x2F/0x04

顺便复习备忘下

1 SYN

	14+20+20+20(options)

eth	6+6+2 dstmac+srcmac+0800

ip	45+ds+2ip.len(60)+2ip.id+flags(DF 0x04).2frag_offset+ttl+proto tcp 06+2checksum+src+dst

tcp	2srcport+dstport+4seq+4+1hdr_len+1flags(0x02syn 04rst 10ack)+2window+2checksum+2+options

options	4mss+2sack(04 02)+10timestamp+1nop+7window_scale

seq=0 mss=1460	04c751df

2 SYN+ACK	

tcp	

seq=0 ack=1 len=0	0540780e 04c751e0

1flags(0x12 syn+ack)

3 ACK

tcp	20+12(1nop+1nop+10timestamp)

1flags(0x10 ack)

seq=1 ack=1	04c751e0 	0540780f

4 PSH+ACK

ip	ip.len=169

tcp	len=117

seq=1(next118 169-20-32=117) 04c751e0 0540780f

1flags(0x18 psh+ack)	tcp segment data=117

5 RST

ip	2ip.len(52)	flags(DF 0x00)

tcp

seq=1	0540780f ack(04c75255)

flags(0x04 RST ack not set)

6 ACK

tcp

seq=1 ack=118

1flags(0x10 ack)

7 RST

ip	2ip.len(40)	flags(DF 0x04)

tcp	seq=118	04c75255 ack(00000000)

flags(0x04 RST)



1 2 3 syn syn+ack ack

4 PSH+ACK (GET ...)

6 ACK

由于5 抢先 RESET 只好 7 RESET



解决：

忽略异常RESET包  (不包括端口未开放的RST+ACK)

iptables -I INPUT -p tcp --tcp-flags SYN,FIN,RST,URG,PSH RST -j DROP

 pkts bytes target     prot opt in     out     source               destination         

    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x2F/0x04

ipcn 提供 pac 代理服务 需要认证
然后发现来自"WinHttp-Autoproxy-Service/5.1" 请求 .pac 特别多 也不含压缩头

Google 了下发现
http://code.google.com/p/chromium/issues/detail?id=1684
http://msdn.microsoft.com/en-us/library/aa383153(VS.85).aspx
说是调用WinHttpGetProxyForUrl时把fAutoLogonIfChallenged设成false就没事了
WinHTTP AutoProxy 由于设的是 true 所以每次都去请求:(

然后又观察了 IE Firefox Chrome 等处理 pac 的情况
IE GET pac 不带压缩头 带原始的 User-Agent：
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Win32)
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32)
还有 Accept: */* 和 Cookie 之前如果已cache的话 还会带上 If-Modified-Since

Firefox 带的头很全 包括压缩头 Accept-Encoding: gzip,deflate 和 no-cache

Google Chrome 比较懒 不带压缩头 连 User-Agent 头都没有

pac 代理脚本这块可以用一些小技巧 比如
function FindProxyForURL(url, host)
if - else if - else
var lchost = host.toLowerCase();
var lcurl = url.toLowerCase();
(url.substring(0, 4) != "http")
isPlainHostName(host)
dnsDomainIs(host,".cn")
!isResolvable(host)
rip = dnsResolve(host);
isInNet(rip,"192.168.0.0","255.255.0.0")
(shExpMatch(host, "*sixxs.org"))
return "PROXY test.proxy.ipcn.org:3128; DIRECT";
详见 Netscape 的帮助 proxy-live.html
关于 MIME type 推荐的是 application/x-ns-proxy-autoconfig 不过 text/plain 也都干活

遇到的问题有：
如果pac下载不全 每次调用 isInNet(host, ...) 都会发起dns查询 改成rip就好了
Vista Win2003 的 WinHTTP AutoProxy 服务会每个请求都去刷 pac
Web Proxy Auto-Discovery (WPAD) protocol： (/wpad.dat)
DHCP option 252
option wpad code 252 = text;
option wpad "http://192.168.1.1/proxy.pac";

Redirect /wpad.dat http://192.168.1.1/proxy.pac

代理过程：
需认证的话 第一次返回 407(ERR_CACHE_ACCESS_DENIED)
给出 Proxy-Authenticate: Basic realm="ipcn proxy server"
认证通过后 如果不允许返回 403(ERR_ACCESS_DENIED)
如果允许则以后带上 Proxy-Authorization: Basic ... 头正常使用代理

2008年最新版个人所得税计算器3 (7月后有效 基数9966 公积金比例为12% 养老医保调整后)

输入 税前工资 或 应付工资 其他自动算出来显示

税前工资：  *

应付工资：  * (等于税前工资减去三险一金)

公积金比例： 8% 10% 12%

所得税：   

税后工资：  (实际到手的净收入)

养老保险：  (每年4月份调整：按8%算 )

医疗保险：  (每年3月份调整：按2%算 包括3元互助)

公积金：    (每年7月份调整：按12%算 供参考 以前是10% 8%)

失业保险：  (每年4月份调整：按0.5%算)

税率：     

调节数：   



转载请注明出处 http://windtear.net/2008/08/personal_income_tax_calculator_2008v2.html

过去几年的个人所得税计算器：

2008年最新版个人所得税计算器3 (7月后有效 基数9966 公积金比例为12% 养老医保调整后)

2008年最新版个人所得税计算器2 (7月后有效 基数9966 公积金比例为12% 养老医保调整前)

2008年最新版个人所得税计算器1 (3月后有效 起征点调整为2000元后)

2007最新版个人所得税计算器2 (7月后有效 社保公积金调整后)

2007最新版个人所得税计算器1 (7月前有效 社保调整后 公积金调整前)

2006最新版个人所得税计算器

2005个人所得税计算器

2008年最新版个人所得税计算器2 (7月后有效 基数9966 公积金比例为12% 养老医保调整前)

输入 税前工资 或 应付工资 其他自动算出来显示

税前工资：  *

应付工资：  * (等于税前工资减去三险一金)

公积金比例： 8% 10% 12%

所得税：   

税后工资：  (实际到手的净收入)

养老保险：  (每年4月份调整：按8%算 )

医疗保险：  (每年3月份调整：按2%算 包括3元互助)

公积金：    (每年7月份调整：按12%算 供参考 以前是10% 8%)

失业保险：  (每年4月份调整：按0.5%算)

税率：     

调节数：   



转载请注明出处 http://windtear.net/2008/08/personal_income_tax_calculator_2008v2.html

过去几年的个人所得税计算器：

2008年最新版个人所得税计算器3 (7月后有效 基数9966 公积金比例为12% 养老医保调整后)

2008年最新版个人所得税计算器2 (7月后有效 基数9966 公积金比例为12% 养老医保调整前)

2008年最新版个人所得税计算器1 (3月后有效 起征点调整为2000元后)

2007最新版个人所得税计算器2 (7月后有效 社保公积金调整后)

2007最新版个人所得税计算器1 (7月前有效 社保调整后 公积金调整前)

2006最新版个人所得税计算器

2005个人所得税计算器

看awstats分析报表 很多请求不带User-Agent头
Unknown robot (identified by empty user agent string)
于是就封禁了 加两行squid配置
acl has_ua browser .+
http_access notfound !has_ua

其中notfound 可以用deny 这里是改过的 status = HTTP_NOT_FOUND
page_id = ERR_INVALID_URL ERR_INVALID_URL 也是改过的
<TITLE>404 Not Found</TITLE>

昨天第一次在自己电脑上搞迅雷 (不是安装迅雷)
下载 Thunder5.8.3.556.exe 解压
按照install_script.iss改了{app}\下几个目录名
(Components下一个不改 Program\Ad 改成只读文件)
然后运行 Thunder.exe 很干净 还能干活

第一次在自己电脑上搞迅雷 首战告捷:)

今天看apache主页
发现gzip压缩版的 ETag 最后加个 -gzip "329c25-21a3-44f8c636dd240"-gzip
不知道从哪个版本开始的 看 ChangeLog 没看出来

1. 不带 Accept-Encoding: gzip, deflate 头
HTTP/1.1 200 OK
Date: Sun, 13 Jul 2008 11:43:19 GMT
Server: Apache/2.2.9 (Unix)
Last-Modified: Fri, 13 Jun 2008 13:38:09 GMT
ETag: "329c25-21a3-44f8c636dd240"
Accept-Ranges: bytes
Content-Length: 8611
Vary: Accept-Encoding
Content-Type: text/html
X-Pad: avoid browser bug

2. 带 Accept-Encoding: gzip, deflate 头
HTTP/1.1 200 OK
Date: Sun, 13 Jul 2008 11:46:45 GMT
Server: Apache/2.2.9 (Unix)
Last-Modified: Fri, 13 Jun 2008 13:38:09 GMT
ETag: "329c25-21a3-44f8c636dd240"-gzip
Accept-Ranges: bytes
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 2303
Content-Type: text/html

以前 apache 不管压缩不压缩返回的 ETag 都一样
squid 2.6 针对此还特意做了个选项
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

解决的是 IE Firefox 搜索引擎spider 的 Accept-Encoding 不一致造成的多份缓存问题
MSIE 的 Accept-Encoding 是 gzip, deflate
Firefox Googlebot 的是 gzip,deflate (之间没有空格)
多份缓存说明穿透的风险 还是有些危险的

--- squid-2.6.STABLE21.orig/src/http.c	2008-04-02 09:03:47.000000000 +0800

+++ squid-2.6.STABLE21/src/http.c	2008-07-10 21:17:26.000000000 +0800

@@ -387,14 +387,20 @@

 	}

 	strListAdd(&vstr, name, ',');

 	hdr = httpHeaderGetByName(&request->header, name);

-	safe_free(name);

 	value = strBuf(hdr);

 	if (value) {

+	    if (strcmp(name, "accept-encoding") != 0) {

 	    value = rfc1738_escape_part(value);

 	    stringAppend(&vstr, "=\"", 2);

 	    stringAppend(&vstr, value, strlen(value));

 	    stringAppend(&vstr, "\"", 1);

+	    } else {

+		if(strstr(value,"gzip") != NULL || strstr(value,"deflate") != NULL) {

+	    		stringAppend(&vstr, "=\"gzip,\%20deflate\"", 18);

+		}

+	    }

 	}

+	safe_free(name);

 	stringClean(&hdr);

     }

     safe_free(request->vary_hdr); 

这里不考虑 gzip deflate 的大写问题

由于一些"安全隐患"原因 暂时需要关闭 IPCN 代理服务 祝各位老师同学假期愉快
过一段将在合适的时候想办法再次开放

一. 关于 ipcn.org 的代理服务存在安全隐患

ipcn.org 是我在校时课外做的网站 主要提供一些有益的帮助服务 不收取任何费用
主要包括Norton 诺顿病毒库、FTP 搜索引擎、免费二级域名、IP 地理位置、
Firefox 镜像下载、教育网出国代理等服务
其中出国代理是自己购买的商业带宽，然后分享给大家使用。
这些服务为全校师生的科研、学习提供了一些有益的帮助作用 得到了广泛认可

2004年我拿ipcn.org参加了清华大学第二十二届“挑战杯” 获得了一等奖
毕业后 考虑到这些东西还有用 我就坚持继续做了下去 机器放在了实验室
(现在网站已不在实验室)

关于代理服务 我从技术上做了很多限制:
只允许清华/教育网用户使用
只能访问教育网免费地址之外的地址(web端口80/443) 不能用来访问学校内的资源
不能用来访问学校购买的商业数据库 能直接访问的地方都不能通过ipcn代理访问
为防止被滥用、乱用 做了密码限制 并每两小时更换
代理做了使用限制 不能下载大文件 不能多线程 最高使用带宽在 1.x Mb/s(100多KB/s)
代理本身是购买的商业IDC线路 是合法使用
(关于这些 我在主页 FAQ 做了一些说明)
http://proxy.ipcn.org/ipcn_proxy_usage.html#faq

根据这六年的运行情况(从2002年开始) 从我的角度看 应该是没有安全隐患的
比如大家不能用来在学校随便发表帖子和不当言论等

二. 关于 ipcn.org 有商业广告

关于商业广告 大体是这样的一个情况
ipcn.org不放商业广告 我也没精力去搞这些
后来放了一些 Google AdSense, 包括推广 Firefox 等
从google的技术实现看 大体是一些和网站内容相关的推广
后来看不影响网站内容和风格就放了
这个我现在放在了公网 也可以删掉

atppp写Google Reader 里看新浪博客图片提到Firefox的RefControl插件
就想到了盗链、反盗链、反反盗链、反反反盗链这个题目

先简单解释一下意思：
盗链：我的图片音乐视频等资源被别人的网页用了 算盗链
反盗链：基于带宽成本考虑等原因 不想让别人用我的图片 只允许我自己用 想法限制
反反盗链：利用我限制方法的漏洞 想法用我不想让用的图片
反反反盗链：完善限制方法 别人想法用也不让用
......

简单说就是反盗链一件事
很有意思很具普遍性的一个课题 以前折腾过不少 写写思路

1. 如何盗链：
基本的html知识 如img嵌套一个图片 href链接一个文件下载等

2. 如何反盗链
简单的常用的方法是判断Referer头是不是自己的域名
apache可以通过匹配Referer进行 env 设置 然后Allow Deny
squid 可以通过匹配Referer进行 acl 设置 然后http_access alow deny
有一个细节就是不带Referer的请求(空Referer)允不允许 一般都允许 严格的话可以限制
(apache判断 ^$ squid可以通过对有内容取反设置 .+)

3. 如何反反盗链
反反盗链就是绕过前面反盗链的设置
下载软件的思路：一般是加上Referer等
浏览器的思路：一般是改设置不发Referer 或发反盗链不限制的Referer
Firefox的基本设置是 network.http.sendRefererHeader (about:config) 默认是2全发送
改成0 不发送Referer 改成1点链接发送 嵌套图片等不发送Referer头
Firefox 的 RefControl 插件可以基于站点设定Referer策略 或者指定Referer
对付判断Referer为自身或为空等都能反反盗链成功

另外也可以使用代理 代理一层根据需求过滤 Referer

4. 如何反反反盗链
简单的不行了 只能出大招了
比如加上User-Agent等别的头判断(当然也能绕) 正确的是 加上Cookie判断等 记录比对来过的IP
比如根据应用的架构 访问页面时设置session 访问图片等时判断是否来过
或者访问页面时把ip写到内存库 ip库可以放本地内存或远程(提供tcp/udp接口 注意效率)
访问图片时判断来源ip是否在这个ip库再返回正常数据或者404 object not found
技术上还可以更完美更变态一些...

当然并不是都限制"盗链" 比如有些网站资源丰富 或者给图片打上小标签打自己知名度等
限制的话能能节省带宽成本 防止被滥用等
限不限都有道理 反正大家都不容易 可以理解
这些是产品或管理方面的考量了 技术上大体就是上面说的

PXE网络安装、网络升级是我喜欢的 (4年前开始玩)
简单写几句

1. dhcpd 只需注意两点
一是指定 next-server: tftpboot server
二是指定文件名 /pxelinux.0 (syslinux的)
如果追求完美 就是部署ddns 根据iLO DRAC ELOM主机名动态控制

2. tftpd 注意安全问题: 路径、文件权限
in.tftpd -l -s /tftpboot/ 默认nobody权限 别被恶意覆盖文件就行
如果追求完美 可以在default前写C0A801 0A0200等文件 ks指定可以远程按需动态生成
改改msg 还可以再转换splash图片等

3. httpd (性能好)
mount iso (创建yum仓库 这里不必需 只是网络升级用)
如果追求完美 可以考虑绑定ip 限制来源 认证等
然后环境就搭好了

注意事项是：
考虑别影响现有dhcp环境
结合vlan或默认选项防止造成灾难重装
再有就是：
多vlan得配802.1q
只维护一个dhcp server 做dhcp relay ks按需动态生成就近取源等
log 归档

基本原理是：(dhcp/bootp的功能)
客户端PXE启动 广播dhcp请求
dhcp server回应ip信息 tftp信息
客户端抓取然后启动
输入选择调用对应的ks(kickstart) ks里面指定url源
其他是都在ks里面做了

从完美的角度 细节还是有一些 不过基本上算很简单