FaiChou 最近的时间轴更新 FaiChou 最近的时间轴更新 |
FaiChouV2EX 第 254353 号会员,加入于 2017-09-14 14:46:36 +08:00今日活跃度排名 1568 |
FaiChou_zh
FaiChou
FaiChou
FaiChou 最近回复了
1 小时 53 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@phenixc #27 你说的这种是打洞的原理。但实际上会复杂很多,如果是 v4 ,大部分网络环境都会限制来源 ip, derp 服务器的 ip 和别的 ip 不一样,防火墙也是给过滤掉的。也就是说,中转的数据包如果是一来一回的建立了连接,这种防火墙是准许的。也就是我在 25 楼讲的 ctstate RELATED,ESTABLISHED 行为。
1 小时 56 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@zbinlin #26 能 ping 通,有 icmp 和 icmpv6 相关的防火墙配置。这是 OpenWrt 默认的。
7 小时 15 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@FaiChou #24 数据包是这样走的,数据包来到网口 1 后,经过 forward 链,然后第一条是自建的`forwarding_rule`(我也不知道谁建的这条 rule ),这个 rule 表示,如果是从 `pppoe` 开头的网口,那么数据包会 RETURN ,RETURN 代表向下一条规则过滤,也就是走到 ACCEPT 这一条,这一条后面是 `ctstate RELATED,ESTABLISHED`,代表如果是出站过的流量,那么返回的响应是正常接收的。
然后就是下面这些 OpenWrt 自定义的规则了。能够看到数据包也小,数据量都是在 forwarding_rule 上,估计使用 tailscale 连接是被这条链捕获记录。
然后就是下面这些 OpenWrt 自定义的规则了。能够看到数据包也小,数据量都是在 forwarding_rule 上,估计使用 tailscale 连接是被这条链捕获记录。
7 小时 20 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@zbinlin 我现在更倾向于我这 OpenWrt 的问题,昨天防火墙的 FORWARD 默认是 DROP ,经过开一个 server 测试,确实是这样的。但是 tailscale 能用 v6 直连。但今天再测,就不能用 v6 直连了,而且我现在把 FORWARD 规则改成默认 ACCEPT 也不行。
由于是办公室的网络环境,不太方便 flush 掉所有规则做测试,具体是这样的:
$ ip6tables -L FORWARD -vn
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
257K 161M forwarding_rule all * * ::/0 ::/0 /* !fw3: Custom forwarding rule chain */
226K 153M ACCEPT all * * ::/0 ::/0 ctstate RELATED,ESTABLISHED /* !fw3 */
16675 2716K zone_lan_forward all br-lan * ::/0 ::/0 /* !fw3 */
14322 5367K zone_wan_forward all pppoe-ppp * ::/0 ::/0 /* !fw3 */
0 0 zone_docker_forward all docker0 * ::/0 ::/0 /* !fw3 */
0 0 zone_ipsecserver_forward all ipsec0 * ::/0 ::/0 /* !fw3 */
0 0 reject all * * ::/0 ::/0 /* !fw3 */
# root @ OpenWrt in ~ [20:32:49]
$ iptables -L forwarding_rule -v -n
Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source destination
1314K 1142M RETURN all -- pppoe+ * 0.0.0.0/0 0.0.0.0/0
886K 333M RETURN all -- * pppoe+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ppp+ * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
0 0 ACCEPT all -- * ppp+ 0.0.0.0/0 0.0.0.0/0 ctstate NEW
由于是办公室的网络环境,不太方便 flush 掉所有规则做测试,具体是这样的:
$ ip6tables -L FORWARD -vn
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
257K 161M forwarding_rule all * * ::/0 ::/0 /* !fw3: Custom forwarding rule chain */
226K 153M ACCEPT all * * ::/0 ::/0 ctstate RELATED,ESTABLISHED /* !fw3 */
16675 2716K zone_lan_forward all br-lan * ::/0 ::/0 /* !fw3 */
14322 5367K zone_wan_forward all pppoe-ppp * ::/0 ::/0 /* !fw3 */
0 0 zone_docker_forward all docker0 * ::/0 ::/0 /* !fw3 */
0 0 zone_ipsecserver_forward all ipsec0 * ::/0 ::/0 /* !fw3 */
0 0 reject all * * ::/0 ::/0 /* !fw3 */
# root @ OpenWrt in ~ [20:32:49]
$ iptables -L forwarding_rule -v -n
Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source destination
1314K 1142M RETURN all -- pppoe+ * 0.0.0.0/0 0.0.0.0/0
886K 333M RETURN all -- * pppoe+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ppp+ * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
0 0 ACCEPT all -- * ppp+ 0.0.0.0/0 0.0.0.0/0 ctstate NEW
7 小时 31 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@lovelylain 对的,不管是 v4 还是 v6 ,防火墙默认是有 "iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT"这样一条的。从内部发出去的包,如果收到响应,默认是接收的。
7 小时 40 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@COW #20 可能网络拓扑结构我没讲清楚。发送给 B 电脑的数据包,先是到达 B 的上级 OpenWrt ,OpenWrt 有两个网口,一个公网,一个内网,数据包先到达公网,然后转发给内网。对于 OpenWrt 来讲,什么虚拟网卡都不知道,数据包不是发给 OpenWrt 自己的,就不会再一层层解包处理,会根据路由表转发给内网,数据到达 B 电脑后,才会将数据转发到虚拟网卡来处理。
9 小时 57 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@Ipsum v4 v6 默认都 drop 。
9 小时 58 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@COW 加密知识数据包内容而已,但对于 tcpip 模型来讲,数据包肯定有目标地址和端口的。要不然互联网上数据包怎么一级级转发。
9 小时 59 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@Ipsum op 后面接了个路由器,路由器开的 AP (有线中继),只起到 Wi-Fi 作用。
10 小时 1 分钟前 回复了 FaiChou 创建的主题 › 程序员 › 有了 ipv6 地址就可以直连了吗? |
@dalaoshu25 wan 口转发到其他网口默认 drop 。
Select Language