FaiChou 最近的时间轴更新
FaiChou

FaiChou

V2EX 第 254353 号会员,加入于 2017-09-14 14:46:36 +08:00
今日活跃度排名 1186
根据 FaiChou 的设置,主题列表只有在你登录之后才可查看
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
FaiChou 最近回复了
4 小时 2 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@FaiChou #24 数据包是这样走的,数据包来到网口 1 后,经过 forward 链,然后第一条是自建的`forwarding_rule`(我也不知道谁建的这条 rule ),这个 rule 表示,如果是从 `pppoe` 开头的网口,那么数据包会 RETURN ,RETURN 代表向下一条规则过滤,也就是走到 ACCEPT 这一条,这一条后面是 `ctstate RELATED,ESTABLISHED`,代表如果是出站过的流量,那么返回的响应是正常接收的。

然后就是下面这些 OpenWrt 自定义的规则了。能够看到数据包也小,数据量都是在 forwarding_rule 上,估计使用 tailscale 连接是被这条链捕获记录。
4 小时 7 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@zbinlin 我现在更倾向于我这 OpenWrt 的问题,昨天防火墙的 FORWARD 默认是 DROP ,经过开一个 server 测试,确实是这样的。但是 tailscale 能用 v6 直连。但今天再测,就不能用 v6 直连了,而且我现在把 FORWARD 规则改成默认 ACCEPT 也不行。

由于是办公室的网络环境,不太方便 flush 掉所有规则做测试,具体是这样的:


$ ip6tables -L FORWARD -vn
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
257K 161M forwarding_rule all * * ::/0 ::/0 /* !fw3: Custom forwarding rule chain */
226K 153M ACCEPT all * * ::/0 ::/0 ctstate RELATED,ESTABLISHED /* !fw3 */
16675 2716K zone_lan_forward all br-lan * ::/0 ::/0 /* !fw3 */
14322 5367K zone_wan_forward all pppoe-ppp * ::/0 ::/0 /* !fw3 */
0 0 zone_docker_forward all docker0 * ::/0 ::/0 /* !fw3 */
0 0 zone_ipsecserver_forward all ipsec0 * ::/0 ::/0 /* !fw3 */
0 0 reject all * * ::/0 ::/0 /* !fw3 */

# root @ OpenWrt in ~ [20:32:49]
$ iptables -L forwarding_rule -v -n
Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source destination
1314K 1142M RETURN all -- pppoe+ * 0.0.0.0/0 0.0.0.0/0
886K 333M RETURN all -- * pppoe+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ppp+ * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
0 0 ACCEPT all -- * ppp+ 0.0.0.0/0 0.0.0.0/0 ctstate NEW
4 小时 19 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@lovelylain 对的,不管是 v4 还是 v6 ,防火墙默认是有 "iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT"这样一条的。从内部发出去的包,如果收到响应,默认是接收的。
4 小时 27 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@COW #20 可能网络拓扑结构我没讲清楚。发送给 B 电脑的数据包,先是到达 B 的上级 OpenWrt ,OpenWrt 有两个网口,一个公网,一个内网,数据包先到达公网,然后转发给内网。对于 OpenWrt 来讲,什么虚拟网卡都不知道,数据包不是发给 OpenWrt 自己的,就不会再一层层解包处理,会根据路由表转发给内网,数据到达 B 电脑后,才会将数据转发到虚拟网卡来处理。
6 小时 44 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@Ipsum v4 v6 默认都 drop 。
6 小时 45 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@COW 加密知识数据包内容而已,但对于 tcpip 模型来讲,数据包肯定有目标地址和端口的。要不然互联网上数据包怎么一级级转发。
6 小时 47 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@Ipsum op 后面接了个路由器,路由器开的 AP (有线中继),只起到 Wi-Fi 作用。
6 小时 48 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@dalaoshu25 wan 口转发到其他网口默认 drop 。
@peacelove
@tangping

啊 确实,竟然还有 10w 限额这一限制。是我之前转账刚好 9 万,剩下刚好 1 万,所以误以为是 1 万单日限额呢。🤡竟然是我。

帖子下沉了。
18 小时 41 分钟前
回复了 FaiChou 创建的主题 程序员 有了 ipv6 地址就可以直连了吗?
@goodryb 你说得这个我理解,电脑先连接一下 derp 服务器,比如使用 1234 端口和 derp 服务器进行了连接,这样自己的 1234 端口就打开了,然后其他的设备就可以使用 1234 端口和这台电脑交流。如果 ipv4 中是严格的(Symmetric) NAT ,那么其他的设备无法直连它,因为源地址不同,NAT 会拒绝这些来源请求。如果是 Full Cone NAT 的话可以直接 p2p 连接,NAT 不会限制来源 ip 。

但这是 ipv6 就没有 NAT 的事了。数据包总是先到达 OpenWRT 的网口 1 ,然后转发到网口 2 。这里的转发就应该有防火墙的限制。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5562 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 11ms · UTC 06:50 · PVG 14:50 · LAX 22:50 · JFK 01:50
Developed with CodeLauncher
♥ Do have faith in what you're doing.