Archive for 2006年1月12日


2005–女大学生爱情语录

  ① 我爱你,宝马。
    ——当一位女大学生将自己的求爱名片帖在宝马车上时,女大学生揭开了猎寻宝马,并渴望与宝马同居时代的序幕。
  
  ② 我的宿舍在几楼?
    ——一位大三的女大学生在其宿舍楼下俳回迷茫时,这样问别人。大学三年来,她在宿舍居住的时间不超过3个月。
  
  ③ 必须承认,这是一条捷径,因为我有天生的优势。
    ——一位参加全国模特大赛的女大学生在面对记者提问时,这样如实回答。据悉,女大学生放弃学业参加全国各地的选美和模特比赛蔚然成风,成为各高校和家长头痛的大事。
  
  ④ 身体滚烫,欲望像烧开的水在身体里沸腾。可是他仅仅是爱抚、亲吻,像在案板上精心对待每一根蔬菜,切割、清洗,却总也不肯下锅。
    ——一本言情小说中的描写。这句话成为2004年爱情语录字号。现在的情况是:对于初入校门的女大学生来说,下锅之前并不需要清洗和切割,一见钟情的情,大部分是“情欲”。
  
  ⑤ 没想到在这儿能遇到你。
    ——一位女大学生坐台时,得知对在的男士也是在校的大学生时,发出惊喜的叫声。女大学生误入三陪是因为经济贫穷,而男生光顾三陪女则是因为精神空虚。
  
  ⑥ 这帮王八蛋,连套子都要贪污。
    ——一位女大学生怀孕后,这样批判学校的自动售套机,认为是校方将劣质避孕套放入了售套机内而导致其怀孕。
  
  ⑦ 该死的不是我们,而是男人。
    ——女大学生因情自杀后,一女生咬牙切齿地说。
  
  ⑧ 进门扔钱,出门提裤子。
    ——一位女大学生用“上公厕”形容恋爱中的男人。
  
  ⑨ 人们想用钞票时,从不看它的发行日期。
    ——深圳一位年轻英俊的男子娶了一个大款老太太,面对人们的困惑,他自揭谜底。在杨振宁新婚后的大讨论中,这句话依然被女大学生广泛借用。
  
  ⑩ 爱情并不复杂,来来去去不过5个地方:酒吧,银行,商场,卧室,大街。5 句话:干杯,取钱,买单,要你,再见。
    ——张小娴的爱情观已经过时了。
  
  ★ 处女事小,处女膜事大。
    ——有女生感叹再造处女膜价格过于昂贵且质量得不到保障。
  
  ★ 男人骂芙蓉姐姐是虚伪,女人骂芙蓉姐姐是嫉忌。
    ——在针对芙蓉姐姐的大讨论中,一女生如实说。
  
  ★ 失去的是一堆赘肉,得到的是整个世界。
   ——今年的女大学生整容浪潮中,在面对世人的讨伐时,一女生如此形容整容的代价和报酬。
  
  ★ 中文系的女生幻想爱情,数学系的女生计算爱情,历史系的女生抨击爱情,外语系的女生出口爱情。
   ——找个洋人当老公逐渐成为女大学生的时髦追求。
  
  ★ 喜欢你并不一定爱你,爱你并不一定嫁给你,嫁给你并不一定要生孩子,生了孩子,孩子的父亲不一定是你。
   ——据说这是最令大学男生头疼的一句宣言。
  ★ 深邃而扑朔迷离的眼神,每个人都怪怪的,校园里充满了同性恋的味道。
   ——复旦大学将同性恋搬进课堂后,有学生这样描述周围的人们,并抗议“异性恋爱还没有弄清楚开什么同性恋课程”!
  
  ★ 自然界的青蛙越来越少,网上的青蛙越来越多。
   —— 一女学生在无数次聊天视频后,发出这样的感叹。
  
  ★ 你献爱心,我献爱情。
   ——一位受资助的女大学生在毕业后义无反顾地嫁给了资助者,并非常自豪地说。
  
  ★ 会有男人救我妈,也会有男人拿砖头把你砸入水底。
   ——当有男人问女友“当我和你妈妈同时落水,你会救哪一个”时,女友神秘而骄傲地回答他。
  
  ★ 为什么女情人称为二奶,因为有钱的男人都是大爷。
   ——有女生认为“二奶”一词本身就是对女人的歧视。
  
  ★ 我比所有的男人都高一个头,因为他们只能看到我的胸部以下。
   ——一位自称校花的女生这样评价自己。
  
  :
  PIX Version 6.3(1)
  interface ethernet0 auto 设定端口0 速率为自动
  interface ethernet1 100full 设定端口1 速率为100兆全双工
  interface ethernet2 auto 设定端口2 速率为自动
  nameif ethernet0 outside security0 设定端口0 名称为 outside 安全级别为0
  nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100
  nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50
  enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码
  passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码
  hostname hhyy 设定防火墙名称
  fixup protocol ftp 21
  fixup protocol h323 h225 1720
  fixup protocol h323 ras 1718-1719
  fixup protocol http 80
  fixup protocol ils 389
  fixup protocol rsh 514
  fixup protocol rtsp 554
  fixup protocol sip 5060
  fixup protocol sip udp 5060
  no fixup protocol skinny 2000
  fixup protocol smtp 25
  fixup protocol sqlnet 1521

  允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙,防火墙默认启用了一些常见的端口,但对于ORACLE等专有端口,需要专门启用。

  names
  access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.170.0 255.255.255.0
  access-list 101 permit ip 192.168.12.0 255.255.255.0 192.168.180.0 255.255.255.0
  access-list 101 permit ip 192.168.23.0 255.255.255.0 192.168.180.0 255.255.255.0
  access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

  建立访问列表,允许特定网段的地址访问某些网段

  access-list 120 deny icmp 192.168.2.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.3.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.4.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.5.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.6.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.7.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.8.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.9.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.10.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.11.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.12.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.13.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.14.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.15.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.16.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.17.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.18.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.19.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.20.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.21.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.22.0 255.255.255.0 any
  access-list 120 deny udp any any eq netbios-ns
  access-list 120 deny udp any any eq netbios-dgm
  access-list 120 deny udp any any eq 4444
  access-list 120 deny udp any any eq 1205
  access-list 120 deny udp any any eq 1209
  access-list 120 deny tcp any any eq 445
  access-list 120 deny tcp any any range 135 netbios-ssn
  access-list 120 permit ip any any

  建立访问列表120防止各个不同网段之间的ICMP发包及拒绝135、137等端口之间的通信(主要防止冲击波病毒)

  access-list 110 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

  pager lines 24
  logging on
  logging monitor debugging
  logging buffered debugging
  logging trap notifications
  mtu outside 1500
  mtu inside 1500
  mtu dmz 1500
  ip address outside 10.1.1.4 255.255.255.224 设定外端口地址
  ip address inside 192.168.1.254 255.255.255.0 设定内端口地址
  ip address dmz 192.168.19.1 255.255.255.0 设定DMZ端口地址
  ip audit info action alarm
  ip audit attack action alarm
  ip local pool hhyy 192.168.170.1-192.168.170.254

  建立名称为hhyy的地址池,起始地址段为:192.168.170.1-192.168.170.254

  ip local pool yy 192.168.180.1-192.168.180.254

  建立名称为yy 的地址池,起始地址段为:192.168.180.1-192.168.180.254

  no failover
  failover timeout 0:00:00
  failover poll 15
  no failover ip address outside
  no failover ip address inside
  no failover ip address dmz
  no pdm history enable
  arp timeout 14400

  不支持故障切换

  global (outside) 1 10.1.1.13-10.1.1.28
  global (outside) 1 10.1.1.7-10.1.1.9
  global (outside) 1 10.1.1.10

  定义内部网络地址将要翻译成的全局地址或地址范围

  nat (inside) 0 access-list 101

  使得符合访问列表为101地址不通过翻译,对外部网络是可见的

  nat (inside) 1 192.168.0.0 255.255.0.0 0 0

  内部网络地址翻译成外部地址

  nat (dmz) 1 192.168.0.0 255.255.0.0 0 0

  DMZ区网络地址翻译成外部地址

  static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0
  static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0
  static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0

  设定固定主机与外网固定IP之间的一对一静态转换

  static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0

  设定DMZ区固定主机与外网固定IP之间的一对一静态转换

  static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0

  设定内网固定主机与DMZ IP之间的一对一静态转换

  static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0

  设定DMZ区固定主机与外网固定IP之间的一对一静态转换

  access-group 120 in interface outside
  access-group 120 in interface inside
  access-group 120 in interface dmz

  将访问列表应用于端口

  conduit permit tcp host 10.1.1.2 any
  conduit permit tcp host 10.1.1.3 any
  conduit permit tcp host 10.1.1.12 any
  conduit permit tcp host 10.1.1.29 any

  设置管道:允许任何地址对全局地址进行TCP协议的访问

  conduit permit icmp 192.168.99.0 255.255.255.0 any

  设置管道:允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试

  rip outside passive version 2
  rip inside passive version 2
  route outside 0.0.0.0 0.0.0.0 10.1.1.1

  设定默认路由到电信端

  route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.4.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.5.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.6.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.7.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.8.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.9.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.11.0 255.255.255.0 192.168.1.1 1

  设定路由回指到内部的子网

  timeout xlate 3:00:00
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
  1:00:00
  timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
  timeout uauth 0:05:00 absolute
  aaa-server TACACS+ protocol tacacs+
  aaa-server RADIUS protocol radius
  aaa-server LOCAL protocol local
  no snmp-server location
  no snmp-server contact
  snmp-server community public
  no snmp-server enable traps
  floodguard enable
  sysopt connection permit-ipsec
  sysopt connection permit-pptp
  service resetinbound
  service resetoutside
  crypto ipsec transform-set myset esp-des esp-md5-hmac

  定义一个名称为myset的交换集

  crypto dynamic-map dynmap 10 set transform-set myset

  根据myset交换集产生名称为dynmap的动态加密图集(可选)

  crypto map vpn 10 ipsec-isakmp dynamic dynmap

  将dynmap动态加密图集应用为IPSEC的策略模板(可选)

  crypto map vpn 20 ipsec-isakmp

  用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流

  crypto map vpn 20 match address 110

  为加密图指定列表110作为可匹配的列表

  crypto map vpn 20 set peer 10.1.1.41

  在加密图条目中指定IPSEC对等体

  crypto map vpn 20 set transform-set myset

  指定myset交换集可以被用于加密条目

  crypto map vpn client configuration address initiate

  指示PIX防火墙试图为每个对等体设置IP地址

  crypto map vpn client configuration address respond

  指示PIX防火墙接受来自任何请求对等体的IP地址请求

  crypto map vpn interface outside

  将加密图应用到外部接口

  isakmp enable outside

  在外部接口启用IKE协商

  isakmp key ******** address 10.1.1.41 netmask 255.255.255.255

  指定预共享密钥和远端对等体的地址

  isakmp identity address

  IKE身份设置成接口的IP地址

  isakmp client configuration address-pool local yy outside
  isakmp policy 10 authentication pre-share

  指定预共享密钥作为认证手段

  isakmp policy 10 encryption des

  指定56位DES作为将被用于IKE策略的加密算法

  isakmp policy 10 hash md5

  指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法

  isakmp policy 10 group 2

  指定1024比特Diffie-Hellman组将被用于IKE策略

  isakmp policy 10 lifetime 86400

  每个安全关联的生存周期为86400秒(一天)

  vpngroup cisco idle-time 1800
  vpngroup pix_vpn address-pool yy
  vpngroup pix_vpn idle-time 1800
  vpngroup pix_vpn password ********
  vpngroup 123 address-pool yy
  vpngroup 123 idle-time 1800
  vpngroup 123 password ********
  vpngroup 456 address-pool yy
  vpngroup 456 idle-time 1800
  vpngroup 456 password ********
  telnet 192.168.88.144 255.255.255.255 inside
  telnet 192.168.88.154 255.255.255.255 inside
  telnet timeout 5
  ssh timeout 5
  console timeout 0
  vpdn group 1 accept dialin pptp
  vpdn group 1 ppp authentication pap
  vpdn group 1 ppp authentication chap
  vpdn group 1 ppp authentication mschap
  vpdn group 1 ppp encryption mppe 40
  vpdn group 1 client configuration address local hhyy
  vpdn group 1 pptp echo 60
  vpdn group 1 client authentication local
  vpdn username cisco password *********
  vpdn enable outside
  username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2
  vpnclient vpngroup cisco_vpn password ********
  vpnclient username pix password ********
  terminal width 80
  Cryptochecksum:9524a589b608c79d50f7c302b81bdfa4b

  步骤#1: 阅读所有的文档 – Oracle文档通常并不是很容易阅读的。无数次,你翻阅文档只是为了要弄清整件事情。假如文档是最好的东西,那么那些站在你的书架里的Oracle书籍就不会有市场。但是文档确实包含了一些无法在任何其他地方找到的信息。例如,你无法找到每一个专门的INIT.ORA参数或V$视图的详细说明。书本上也许会涉及一部分,但是Oracle文档却包含它们所有。我遇到过一个非常厉害的高级DBA,他没有从头至尾的阅读过Oracle文档。这不是偶然的。Oracle文档是必须阅读的。也许到现在为止你已经读过Oracle概念指导十二遍了。但是当Oracle 10i发布了,你还要再次阅读。任何有关10i的新概念将在文档里记录。假如你真的想更上一层,那么,去阅读那些文档。不要逃避它。

  步骤#2: 成为一名专家 – Oracle数据库是一个非常复杂的东西。为了更上一层,你必须精通产品的许多组成部分。以备份与恢复开始。成为一名备份与恢复的专家。故意的破坏数据库然后察看如何恢复它。尝试以任何可能的方式破坏数据库然后查看还有没有可能恢复。你将彻底的理解备份与恢复的概念。在你成为了备份与恢复的专家以后,再去成为其他领域的专家。你会有无穷无尽的题目要去掌握。在你整个职业生涯中都保持如此。但是请记住,无论你有多么专业,在某些领域,某些人会在某些方面知道的比你多。不要带个人情绪。只是尽可能多的从那个人那里学到知识。

  步骤#3: 积极参加新闻组,论坛和用户组 – 在前面,我提过为什么不同的新闻组和论坛是学习新知识的很好的地方。现在轮到你进行下一步并且去回答任何你能够回答的问题。你将会惊讶于在这过程中你能学到那么多!

  步骤#4: 写白皮书并且展示它们 – 这与前面提到的方法类似。首先,共享你拥有的知识是很重要的。假如你的职业生涯已经走到这一步,那么从某种意义上讲,是离不开他人的贡献的。所以,现在是你为他人奉献的时候了。第二,当你企图共享你的信息的时候会有令人惊异的事情发生。在你要用清楚的,简练的语言表述问题以便其他人能够使用时,那些信息在你的头脑里经过了一个令人瞠目的过程。这个过程使你巩固了知识,这是无法通过其它方法进行的。所以在白皮书中共享那些信息,讨论会,以及新闻组和论坛都是你学习和使你的能力更上一层的非常好的方法。顺着这条路,你应该作两件事。第一,认识到你将会犯错误。其他人将会很高兴的指出那些错误,有时在某种意义上那并不是很好。不要企图掩藏你的错误。承认它们并从它们那里学习。第二,学会说你不知道答案而不是企图以欺骗的方式通过。人们早晚会知道你在企图蒙蔽他们。简单的告诉他们现在你对答案并不肯定,但你会在查到答案后回来告诉他们。假如你时刻谨记这两件事,你就不会违背你的诚实而且你将成长为一名职业的IT人。

  步骤#5: 成为解决Oracle问题的专家- 高级DBA通常都是被看作是解决复杂的Oracle问题的人。你将会用到你所有的技术来解决许多问题,这些技术都是你的职业生涯中积累下来的。我前面提到的任何事都将会在解决问题的过程中用到;文档,书籍,新闻组,测试案例,和其它DBA都将辅助你解决问题。

  步骤#6: 成为性能调优的专家- 高级DBA通常都是被看作是调整数据库和应用程序性能的人。假如你是高级DBA但是你却不能分析性能瓶颈,那么你的公司将会到别处寻找这些服务。

  步骤#7: 成为承载能力计划的专家- 高级DBA通常都是被看作是根据数据增长量和交易增长来计划数据库承载能力的人。高级DBA需要在影响应用程序性能以前发现系统瓶颈。例如,DBA应该知道在数据库将可用的磁盘空间用完以前预置更多的磁盘空间。不密切关注承载能力计划将会导致生产数据库宕机。

  步骤#8: 密切关注新的技术- 高级DBA应该对IT界的关数据库技术的未来有好的建议。有什么可用的技术可以帮助数据库?例如,学习存储领域网的优缺点以及如何把它们应用到数据库系统。有什么技术在不远的将来可以用,哪些能够帮助我们?例如,写这篇文章的时候,linux操作系统正在变得越来越流行。Lunix会给你的数据库操作系统平台带来些什么?它能为你的公司工作么?

  药价为啥这么贵?谜底其实很简单,因为有太多的成本被加在药品中。

  假如某种处方药的定价为每盒100元,那么给医生的回扣大约40元;花在药品推销员身上的成本——包括底薪和提成,最低10元;中间商——医药公司要赚10元;医药招标中的花费约为15元。75元就这样用掉了。而生产商——医药企业的纳税约14元,原材料、生产成本、企业管理费用、销售成本、工人工资一共才11元。

  于宗河(卫生部医政司原司长):在目前的药价中,很大一部分被用作了营销成本,最初医药代表正常的推销方式已经被整个利益链条扭曲了。在很长时间里,药厂的药品推销员抱怨医生,医院和医生是受责备的。医患的矛盾加深,接着形成了一个怪圈。这是一个系统性的问题,不是针对某一个人某一件事采取措施就能解决的,必须从体制上来解决。

  先说回扣,我们称之为“临床费”。给医生的红包一般是1000元到20000元不等,这要看具体情况。一般来讲,30000元能摆平一个三甲医院。

  今天的“临床费”不仅表现在现金上。有些医药代表是帮医生发论文。大夫需要评职称,所以我们把“临床费”送给了报社、杂志社。有些是给医生的亲人提供出国方便。医药代表还会培养一些胆子大的“枪手”医生,药品说明书上规定一天只能用一支的,“枪手”可以用5支;有些不需要用的,“枪手”也可以用。

  杨先生(外科医生):这老兄的说法有点夸张,回扣一般不超过药价的20%。他说的40%的回扣实际上还包括了医院销售药品的利润。我工作后是到第二年才拿到提成的。这部分钱是科里发放的,和奖金归在一起。如果你不拿,那无疑违背了潜规则。

  汪先生(杭州某医院药房医生):回扣确实是有,但产生的原因在医护人员工资不合理性。现在医生的学历都很高,基本是硕士毕业,博士也不少,但价值得不到体现。以我为例,医科大学本科,在药房工作5年,一个月可支配的收入只有1700元。这种心理不平衡在医护人员中很普遍,只好通过灰色收入来弥补。

  于宗河:医生拿这么多回扣我不信。

  过去我做医生时,都是劝病人少做检查,用便宜的药,从来没有想到过回扣的问题,什么药能治好什么病才是我们考虑的。那时我们没有陷入利益驱动,就能做医生该做的东西。而现在一般公立医院,财政拨款只占医院总支出费用的2%-5%,只有少数大医院能获得10%,还有一些公立医院完全没有拨款。于是,医院作为福利机构的一面被日渐淡化,作为营利部门的一面被强化。药品的整个利益链也因此产生和被拉动起来。

  尽管拿了回扣,但许多医生其实并不满意。因为这种收入不被社会认可。他们其实更想心安理得,以自己的医术获取合理的薪酬。奖金又是和医生能开多大数额的医药费挂钩的,这就导致医生们想方设法给病人开出高昂的医药,过度医疗的现象四处蔓延。

  我认为,医生职业作为一个带有福利性质、救死扶伤的特殊职业,在工资上不应该搞市场化。公立医院的医生工资应由政府定价,浮动的奖金部分不应过大。我过去在考察英国、加拿大等国的公立医院时,发现他们的公立医院的医生工资是相对固定的。

#!/bin/bash

IP0=<ip of your eth0>
IP1=<ip of your eth1>
GW0=<gateway of your first net>
GW1=<gateway of your second net>
NET0=<network address of your first net: network address/netmask>
NET1=<same as above, the second net>
DEV0=eth0
DEV1=eth1

# comment the next two line after first run this script.
echo 200 cernet >>/etc/iproute2/rt_tables
echo 210 chinanet >>/etc/iproute2/rt_tables

ip route add ${NET0} dev ${DEV0} src ${IP0} table cernet
ip route add default via ${GW0} table cernet
ip route add ${NET1} dev ${DEV1} src ${IP1} table chinanet
ip route add default via ${GW1} table chinanet
ip route add ${NET0} dev ${DEV0} src ${IP0}
ip route add ${NET1} dev ${DEV1} src ${IP1}

# delete old rule
ip rule del from ${IP0}
ip rule del from ${IP1}
# setup new rule
ip rule add from ${IP0} table cernet
ip rule add from ${IP1} table chinanet

自己管理的几个服务器需要双网接入,就参照 http://lartc.org 的文档写了这个脚本,不是很智能,但凑合着能用。
计算机启动之后运行即可,如果重新启动网络,也需要重新运行一次。