SWRT固件ipv6防火墙问题,求解。(已解决)
本帖最后由 superzjg 于 2023-6-17 21:38 编辑解决办法找到,可能是固件设定的问题(SWRT 388_B5.2.2固件),当在一般设置关闭防火墙(我理解为关闭ipv4防火墙),但单独开启ipv6防火墙时(即我之前的状态),ip6tables规则会缺失下列条目:
上述第一条,缺失了,就会发生我遇到的问题,他的功能大概是“对外建立的连接经过INPUT不拦截”。
针对此情况,解决方法:
1:把防火墙全部关闭。
2:若要开启ipv6防火墙,建议同时开启ipv4防火墙,这样不会丢失ip6tables的这些规则。
3:若要开启ipv6防火墙,且关闭ipv4防火墙,在系统nat变化,或防火墙重载时,使用脚本自动补全规则:
例如上面那条对应:
ip6tables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
或者相同含义的:
ip6tables -I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
其他的应该也有不同作用,比如最后四条,字面意思对应固件自带的WireGuard和OpenV.P.N,建议都补上。
上述修复代码已整合到我的自改插件。
-------------------------------发现的问题:
老家的路由器(SWRT 388_B5.2.2),关闭ipv4防火墙,开启ipv6防火墙以后,路由器本身无法连接外面的ipv6,但可以从外面访问路由器(通过打开端口)。
比如:下方蓝色部分,我打开了一个5656端口,我从外面可以正常访问路由器的5656端口的服务。
但是默认的情况下,无法从路由器连接外面的ipv6服务,感觉少了什么东西。
我只要关闭防火墙,或者通过命令删除下面红色部分的默认规则,路由器才能连接外面的ipv6。
admin@RT-AX56U-E6C0:/tmp/home/root# ip6tables -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp anywhere anywhere tcp dpt:5656
ACCEPT ipv6-nonxt anywhere anywhere length 40
ACCEPT all anywhere anywhere
ACCEPT all anywhere anywhere
ACCEPT udp anywhere anywhere udp spt:547 dpt:546
ICMP_V6_LOCALipv6-icmp anywhere anywhere
ICMP_V6 ipv6-icmp anywhere anywhere
DROP all anywhere anywhere
经测试跟FORWARD,OUTPUT规则没有关系,只跟INPUT有关。
我现在不在老家,远程访问路由器ssh测试,访问另一台路由器搭建的alist,默认情况下,可以ping通,但是wget命令无法下载文件:
admin@RT-AX56U-E6C0:/tmp/home/root# wget --no-check-certificate https://xxxxxxxx.v6.rocks:5244/d ... %E6%96%99/fdisk.txt
--2023-05-26 15:13:15--https://xxxxxxxx.v6.rocks:5244/d ... %E6%96%99/fdisk.txt
Resolving xxxxxxxx.v6.rocks... 240e:380:403:ee61:f90a:39d2:5d26:f509
Connecting to xxxxxxxx.v6.rocks|240e:380:403:ee61:f90a:39d2:5d26:f509|:5244... failed: Connection timed out.
Retrying.
用路由器的其他插件,比如frpc插件用ipv6连接远端frps也是同样情况。不知道这个情况如何解决。
页:
[1]