|
|
有些lxc安装的op版本当主路由只能自己拨号上网,但是底下的设备没法上网,原因就是防火墙没有
正常的加载规则链,严格来说就是fw3 reload 的时候没有从/etc/config/firewall里加载规则链
重要的是其中的-A zone_wan_postrouting -m comment --comment "!fw3" -j MASQUERADE
op路由器能提供设备上网就是这条链子的作用,所以fw3 reload不正常的时候其它设备就无法上网了。
好吧先说解决方法:在网络-防火墙-自定义规则里加入
iptables -S >/dev/null 2>&1
iptables -S nat >/dev/null 2>&1
ip6tables -S >/dev/null 2>&1
这个方法是摸索实验出来的,但是一直搞不懂为啥执行了这几条命令就正常了呢?
然后有一天发现了strace的工具,它是打印一个命令执行时打印系统调用的,感绝它可以
提供些线索,说干就干:
在op刚启动的时候通过 strace fw3 reload > fw3_0.log
然后执行多执行几次分别重定向到不同文件里进行对比发现没啥区别,然后执行iptables -S
发现链表里都是空的,这时候再执行一次strace fw3 reload > fw3_1.log,再对比下log文件发现
不一样了,我把关键的贴下来:
不正常的:
open("/proc/net/ip_tables_names", O_RDONLY) = 7
read(7, "", 1024) = 0
close(7) = 0
open("/proc/net/ip_tables_names", O_RDONLY) = 7
read(7, "", 1024) = 0
close(7)
open("/proc/net/ip_tables_names", O_RDONLY) = 7
read(7, "nat\nfilter\n", 1024) = 11
lseek(7, -7, SEEK_CUR) = 4
close(7)
看出来了吧,就是iptables的两个表,这时候重新启动op,启动后第一时间cat /proc/net/ip_tables_names不出意料是空的
然后iptables -S再cat多了一行filter,再执行iptables -S nat再cat又加了一行nat,明白了吧。
虚拟机op启动后cat /proc/net/ip_tables_names是nat mangle filter三行内容。
所以又水了一篇
|
|
/1 
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
