一些 zerotier 教程的防火墙规则是不是写错了?

309 天前
 sleepingdog
最近从 DDNS+ipv6 折腾到 zerotier ,看了不少教程。
如果是想外网直接连上,应该不难,
但如果既要又要——速度,稳定,安全。。。还有 free ,麻烦度就直线提升。

因为主路由是小米,刷不了 op ,它的 ipv6 防火墙虽然能关闭,但还是不放心内网的 nas 直接暴露出来,所以还是最终还是选择开启主路由的 ipv6 防火墙,使用 zerotier——在群晖上运行的 openwrt 旁路由,里面运行 zerotier ,外网使用数据流量,看监控速度能达到 1mb 多点


废话少说了,现在应该折腾完成,不过发现不少 zerotier 教程,在关于 openwrt 里面添加的防火墙规则,好几个都写错了(我更奇怪的是为什么没人指出来,所以也怕是自己的问题,问了 chatGPT ,也说第二行应该改成以下)

iptables -I FORWARD -i ztbpao3tej -j ACCEPT
iptables -I FORWARD -o ztbpao3tej -j ACCEPT
iptables -t nat -I POSTROUTING -o ztbpao3tej -j MASQUERADE

他们规则虽然写错,但也能访问,然而可能不安全?————毕竟这是防火墙规则啊。
所以发了这个帖子给各位围观看看。
当然,前人种树后人乘凉,感谢走在前面的各位~
4091 次点击
所在节点    NAS
29 条回复
juglans
308 天前
先得指定一下网卡名字吧
jackge0323
308 天前
ubuntu 昨天刚被这个规则坑了,第三条 nat 需要写实际的物理网卡名。
snugness
308 天前
@sleepingdog 兄弟,那速度很低啊。宽带上行带宽只有 1mbps 吗?用 cloudflare tunnel 套 CDN 最少都有 10mpbs 啊,宽带是电信,上行带宽是 30mpbs 。
kgcHQbTYyvcz2w3j
308 天前
@LeeReamond #17 翻墙最好不要用这个吧。 代理规则就是个问题啊

@sleepingdog #18 要啊,一般的路由器的 ipv6 防火墙要么开要么关; 或者你主路由如果是软路由,配置好规则,开着防火墙也没问题。 我是直接关防火墙,安全问题我觉得不用担心吧,ipv6 那么长怕啥
sleepingdog
308 天前
@snugness #23 抱歉,可能我没说清单位造成误解。我联通这边下载速度是 1MB ,也就是移动上行应该至少有 10mbps 左右,我的移动宽带应该 300M 还是 500M ,反正游戏更新的时候最快有 50mb 左右,手机 ping 了下延时大概 80 ~ 100ms 。
其实上行速度感觉够用,有空我跑个测速看看。
zerotier 是不是两个设备连上之后,就是 P2P 了?

@xyzmax #24 等不够用了再继续折腾下。家里的路由器刷不了 op ,防火墙没那么多东西设置,所以还是有点担心。另外今天刚刷到这个帖子 https://www.v2ex.com/t/1008385#reply2 ,感觉开了 ipv6 防火墙有时候会方便别人 CDN ,被做好事都留不了名的那种。。。
chocolateyk11
307 天前
不需要加这几条规则也可以正常使用
snugness
306 天前
@sleepingdog zerotier 应该是用 P2P ,不过握手好像要先经过服务器,当初看见要连接得快要自建 moon ,所以就没搞了。原来是用端口转发加 cdn ,发现真实 IP 会有记录,后来就用 tunnel 了。之前还用过一段时间 tailscale 也很快,私密度很高,就是每次都要开一个 app 。现在都是直连 443 端口,改用了 quic 之后,连接会更稳定一些。
lovelylain
305 天前
@sleepingdog 忽略那个 I 写成|明显手误或 ocr 识别错误的问题,没看出你说的正确规则和错误规则区别在哪里,如果只是这个错误,不至于要发帖讨论吧。
openwrt 预置了防火墙策略,入站接受,出站接受,转发接受,IP 动态伪装启用,MSS 钳制不启用,创建 vpn 接口的时候关联防火墙策略选这个就行。可以看到这个默认策略是给予了 VPN 类似局域网的最大信任度的,一旦 VPN 被攻破就能随便访问内网了,你也可以根据实际需要调整,总之就是每一项都对应一些 iptables 规则,你贴的那 3 条对应的是转发和 IP 动态伪装。不嫌麻烦也可以先拒绝再单独情况添加规则。
sleepingdog
305 天前
@lovelylain #28 感谢。
我奇怪的是没人指出问题。
发这个帖子也让从不同的角度看问题,比如上面的朋友指出我在旁路由上跑这个不太好,可以选择在群晖上直接跑 zerotier (顺便问下如果在群晖跑的话是不是也复制下这三条规则过去好点?)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1008394

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX