十月 « 2009 « 爱看电影,爱做梦

2009年10月22日

唐骏是个好学生，盛大是个好大学(zz)

类归于：绝对八卦新闻 — kermit @ 21:00

http://home.donews.com/donews/article/1/124279.html

中国的传统文化中，四是个神秘的数字。《易经》里面是这么曰的：易有太极，是生两仪，两仪生四象，四象生八卦以生万物。东南西北，四季更替，生命总是跟四有着莫大的联系。中国文化里很多事情都和四有牵连，比如文房有“四宝”、天地有“四方”、一年有“四季”、岁寒有“四友”：梅、兰、竹、菊。

不光中国认偏爱四，老外也觉得这是个神秘的数字。在英国出生的美国新墨西哥州圣菲研究所的杰弗里·韦斯特博士就认为：“4是生命界中一个神奇的数字。”他认为这个“4”实际上是“3+1”：“3”是我们生活在其中的空间的维度，“1”则表示那种复杂性成倍增加。

所以，奥运会四年轮回一届，世界杯四年举办一期，美国总统任期四年，中国的大学一读也是四年。

从唐骏在一片怀疑声中就任盛大总裁，到今天漂亮的离去。其间，也正好是四年。四年之中，在一个相对狭小的世界里唐骏开始体味人生。人们当初之所以持怀疑态度，根本在于“水土不服”这个词几乎成为跨国公司里成长起来的职业经理人的谶语。一直以来，跨国公司的中国区兢兢业业的为国内企业高层培养了一茬又一茬的职业经理人，这些优良的资本主义赚钱机器里生产出来的管理者，也顶着一轮令人晕眩的光环。然而，盛名之下，其实往往因为各种原因难符。

可以想象，唐骏带着紧张和兴奋踏入一个全然陌生的地方，四年中遍尝人生的酸甜苦辣与悲欢离合，如今的他似已沧桑。四年的经历渐渐沉淀，记忆化作岩石，轻抚其斑驳纹路，隐约还能阅读当时悲喜。

总统为何要一任就是四年？想来是因为四年是一个不长不短的时期，该出政绩也就出了，出不了政绩也就出不了啦。大学要读四年想来也是这样。

四年的时间，证明了唐骏是个好总统，盛大是个好国家；四年的时间，证明了唐骏是个好学生，盛大是个好大学。

毫无疑问，唐骏在盛大的四年是成功的。其中固然有唐骏本身的因素，但也说明，盛大是个职业经理人生长的土壤。通常来说，职业经理人都有这么几怕：一怕空降兵水土不服，二怕和老板处不好关系，三怕不能好聚好散。盛大成功上市，说明了二者互相融合的很快；对于唐骏的使用，证明了陈天桥的用人之道；双方友好的分手，看上去一切都很美。

四年，对于中国的职业经理人来说，已经是个比较漫长的时期，尤其对于IT行业，对于互联网行业。

一个新生企业——盛大，一个职业经理人——唐骏，他们用四年的男耕女织、琴瑟合鸣，相互证明了对方：唐骏是个优秀的职业经理人，盛大有着适合职业经理人生长的土壤。这是职业经理人的幸事，也是中国互联网行业的幸事。只有出产越来越多的优秀职业经理人，才能证明这个行业的成熟。光靠创始人打拼的公司或者行业，都不是一个完全成熟的公司或者行业。

唐骏已经表态，还会在职业经理人的道路上越走越远；盛大则需要更多的职业经理人，虽然他们也一直在培养内部人才，比如新任的总裁和COO，都是盛大创业元老。尝到了职业经理人甜头的盛大，估计也会在这条道路上越走越远。

唐骏是个好学生，盛大是个好大学。在中国的IT行业，衷心的希望这样的好学生越来越多，这样的好大学也越来越多。这样，我们所有人的希望才越来越大。（作者：刘兴亮）

openbsd和netscreen做VPN

类归于： Linux/bsd,防火墙相关 — kermit @ 03:14

今天终于搞定.回头写文档 哈哈...

openbsd4.6发布了,准备用这个和netscreen 25做基于策略的VPN

1.先配置netscreen

netscreen25的untrust ip 192.168.2.3/24  dmz 172.16.31.2/24

set interface "ethernet1" zone "Trust"
set interface "ethernet2" zone "DMZ"
set interface "ethernet3" zone "Untrust"
unset interface vlan1 ip
set interface ethernet2 ip 172.16.31.2/24
set interface ethernet2 nat
set interface ethernet3 ip 192.168.2.3/24
set interface ethernet3 route

set ike gateway "openbsd" address 192.168.2.95 Main outgoing-interface "ethernet3"  \

preshare "JnQiywTGNRRsyjsNepC+xjw31VnlFxVwcOJNKuaizhP93Opy3Q0wtpE=" proposal "pre-g2-3des-sha"

set vpn "openbsd" gateway "openbsd" replay tunnel idletime 0 proposal "g2-esp-3des-sha"
set vpn "openbsd" monitor

set policy id 6 from "DMZ" to "Untrust"  "172.16.31.0/24" "172.16.2.0/24" "ANY" tunnel vpn "openbsd" id 3 pair-policy 5 log
set policy id 6
exit
set policy id 5 from "Untrust" to "DMZ"  "172.16.2.0/24" "172.16.31.0/24" "ANY" tunnel vpn "openbsd" id 3 pair-policy 6 log
set policy id 5
exit

2.配置openbsd

开启虚拟机准备环境   openbsd 外网  192.168.2.3/24  内网 172.16.2.2/24 ,windows 172.16.16.2.3/24  网关172.16.2.2

2.1系统配置:

# cat /etc/hostname.em0                                                                                                           
inet 172.16.2.2 255.255.255.0
# cat /etc/hostname.em1
inet 192.168.2.95 255.255.255.0
# cat /etc/mygate      
192.168.2.254

in /etc/sysctl.conf.  these should be enabled:
net.inet.esp.enable    Enable the ESP IPsec protoc ol
net.inet.ah.enable     Enable the AH IPsec protocol
net.inet.ip.forwarding
net.inet6.ip6.forwarding

2.2准备好openbsd的pf配置：

set skip on lo
ext_if="em1"
int_if="em0"
set skip on lo0

nat on $ext_if from $int_if:network to any -> ($ext_if)
pass out on $int_if proto tcp from 172.16.2.0/24 to any   modulate state flags S/SA
pass out on $int_if proto { udp, icmp } from 172.16.2.0/24 to any   keep state

pass  in on ext_if proto udp from 192.168.2.3 to 192.168.2.95  port {500, 4500}
pass out on ext_if proto udp from 192.168.2.95 to 192.168.2.3  port {500, 4500}

pass  in on ext_if proto esp from 192.168.2.3 to 192.168.2.95
pass out on ext_if proto esp from 192.168.2.95 to 192.168.2.3

pass  in on int_if proto ipencap from 192.168.2.3 to 192.168.2.95 keep state (if-bound)
pass out on int_if proto ipencap from 192.168.2.95 to 192.168.2.3 keep state (if-bound)
pass  in on int_if from 172.16.31.0/24 to 172.16.2.0/24 keep state (if-bound)
pass out on int_if from 172.16.2.0/24 to 172.16.31.0/24 keep state (if-bound)

3.学习ipsec.conf

http://www.openbsd.org/cgi-bin/man.cgi?query=ipsec.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html

只要仔细看了文档 想不会都困难。先说几个关键点：

3.1需要启动isakmpd

The keying daemon, isakmpd(8), can be enabled to run at boot time via the
     isakmpd_flags variable in rc.conf.local(8).  Note that it will probably
     need to be run with at least the -K option, to avoid keynote(4) policy
     checking.

3.2 ipsec.conf的配置

cat /etc/ipsec.conf

ike active esp tunnel from 172.16.2.0/24 to 172.16.31.0/24 \
            peer 192.168.2.3  main auth  hmac-sha1 enc 3des group  modp1024 \
     quick auth hmac-sha1 enc 3des  group  modp1024   psk openbsdtonetscreen

3.3 启动openbsd的VPN

isakmpd -Kd &

ipsecctl -f /etc/ipsec.conf

4. 测试

从172.16.2.3 ping 172.16.31.2 通... 访问 172.16.31.0/24内的windows机器各项服务均正常。

防火墙上的日志




2009-10-21 19:10:39
info
IKE<192.168.2.95> Phase 2 msg ID <a7b0b0e3>: Completed negotiations with SPI <0a388e6e>, tunnel ID <3>, and lifetime <1200> seconds/<0> KB.


2009-10-21 19:10:39
info
IKE<192.168.2.95> Phase 2 msg ID <a7b0b0e3>: Responded to the peer's first message.


2009-10-21 19:01:46
info
IKE<192.168.2.95> Phase 1: Completed Main mode negotiations with a <28800>-second lifetime.


2009-10-21 19:01:46
info
IKE<192.168.2.95> Phase 1: Responder starts MAIN mode negotiations.


2009-10-21 18:51:44
info
IKE<192.168.2.95> Phase 2 msg ID <5181666e>: Completed negotiations with SPI <0a388e6d>, tunnel ID <3>, and lifetime <1200> seconds/<0> KB.


2009-10-21 18:51:44
info
IKE<192.168.2.95> Phase 2 msg ID <5181666e>: Responded to the peer's first message.

5.遗留问题

vpn协商时间是 lifetime <1200>  文档上没有提到协商时间的问题 需要修改为3600 或者 2880

openbsd支持防火墙双机模式,同时注意到文档中提到:

-S      This option is used for setups using sasyncd(8) and carp(4) to
             provide redundancy.  isakmpd starts in passive mode and will not
             initiate any connections or process any incoming traffic until
             sasyncd has determined that the host is the carp master.  Addi-
             tionally, isakmpd will not delete SAs on shutdown by sending
             delete messages to all peers.

2009年10月17日

路过btv

类归于：电影与梦想 — admin @ 03:27

今天下午4点左右路过btv，记者采访了我，很有礼貌的问我：“假如你买彩票中了一亿元，你会做什么？”面对摄像机我不好意思拒绝回答，就很严肃的说：“钱肯定是先存在银行里，匿名的形式去帮助一些人。我们中国的古圣贤孟子曾经说过：穷则独善其身，达则兼善天下。我首先做的肯定是帮助弱势群体。谢谢！”然后我就走了，我走了很远了，才感觉到自己的紧张和激动，我居然忘了问记者是哪个频道的，哪个节目组的，什么时间播出，会有我么？

回家的路上，我还想起了从小就有的梦想，我希望可以帮助每个生病了的人，包括心理和生理的病人，帮助他们减轻痛苦，提高生活的质量，小小的帮助可以加强病人的信心，使他们的内心更加强大。我觉得这是上天赋予我的使命。

在家长的安排下我学了会计，刚学会计的时候，我并不喜欢，可是学着做着，就越来越喜欢这个职业，很长一段时间我钻研着各种会计手段，变换着各种会计报表，从对某一领导负责，到对某股东负责，我对特定的人忠诚，为特定的人效力，有时候我很享受这种感觉。可是有的时候，我就觉得我今生的使命是做一名中医，因为我太爷爷就是一名中医。家里很多他留下的书，我从小就很喜欢看，我觉得我应该去帮助痛苦中的人，虽然我能做到在商言商，但我的本质不应该是很商业性质的人。

我曾经有过多次的徘徊。

2009年10月8日

好兄弟，讲义气

类归于：电影与梦想 — admin @ 23:22

老公放假了，有时间可以陪我，再看看收藏的经典电影。你丫闭嘴东北话版，功夫，赌城大亨1新哥传奇2至尊无敌，教父，幸福来敲门。

很喜欢东北话版的你丫闭嘴，东北话音比较幽默，还容易传达出义气的感觉。这个傻傻的钢蛋，大家常说他“彪子”，卢比最初也经常叫他“彪子”。但是钢蛋认为卢比是他的朋友，他对卢比说：“我梦见我们一起开了一个酒馆，叫两个朋友之家”“你不是杀手，你不要杀人，那样不好”。钢蛋是促使卢比发生转变的关键人物。

功夫里的周星驰，一开始是个做小恶的小混混，他有个跟班小弟肥仔聪，这样一个好朋友也是他彻底转变的关键人物。

赌城大亨中的阿新阿南是好朋友，阿南说做什么都是随着阿新，他们一起度过了很多生死关头。

中国人都相信团结就是力量，在中国真有一个人和你一条心，你就已经很强大了。

教父是麦克靠自己的领导来摆脱黑帮的威胁，麦克看人很准，他能看到事物的关键点，表达很有杀伤力，幸福来敲门时will smith靠自己的努力摆脱了贫穷的不安定生活。

2009-10-21 19:10:39	info	IKE<192.168.2.95> Phase 2 msg ID <a7b0b0e3>: Completed negotiations with SPI <0a388e6e>, tunnel ID <3>, and lifetime <1200> seconds/<0> KB.
2009-10-21 19:10:39	info	IKE<192.168.2.95> Phase 2 msg ID <a7b0b0e3>: Responded to the peer's first message.
2009-10-21 19:01:46	info	IKE<192.168.2.95> Phase 1: Completed Main mode negotiations with a <28800>-second lifetime.
2009-10-21 19:01:46	info	IKE<192.168.2.95> Phase 1: Responder starts MAIN mode negotiations.
2009-10-21 18:51:44	info	IKE<192.168.2.95> Phase 2 msg ID <5181666e>: Completed negotiations with SPI <0a388e6d>, tunnel ID <3>, and lifetime <1200> seconds/<0> KB.
2009-10-21 18:51:44	info	IKE<192.168.2.95> Phase 2 msg ID <5181666e>: Responded to the peer's first message.

爱看电影,爱做梦