[求助]padavan端口映射时防火墙应该如何设置[已解决]

nossr

在ago大佬的帮助下终于是解决了这个问题
总结一下，也方便给后来的人提供点帮助
我的使用场景是这样的，手里没有ipv4公网ip有动态的ipv6公网ip想通过公网访问路由器里的可道云等服务。
首先需要让公网的访问能够穿透防火墙，所以需要用类似ip6tables -A INPUT -p tcp --dport 88 -j ACCEPT 等命令设置防火墙。
可以通过ip6tables -nL查看防火墙允许通过的情况
之后需要看使用场景，好像这里的可道云只有ipv4的服务，所以即使是我把防火墙关掉了也是不能通过公网ipv6访问可道云
因此需要使用socat将原本ipv6的指令映射到ipv4上（注意，这两个端口不能相同！！！）
可以用netstat -an | grep LISTEN查看端口监听的情况
我用的命令如下，可以参考下：
1、安装socat
opkg update
opkg install socat

2、设置防火墙
ip6tables -A INPUT -p tcp --dport 88 -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 88 -j ACCEPT
ip6tables -A INPUT -p udp --dport 88 -j ACCEPT
ip6tables -A OUTPUT -p udp --dport 88 -j ACCEPT

3、（可选）设置ipv6到ipv4映射
nohup socat TCP6-LISTEN:8848,reuseaddr,fork TCP4:192.168.123.1:88 &
nohup socat UDP6-LISTEN:8848,reuseaddr,fork UDP4:192.168.123.1:88 &

4、查看防火墙及端口监听情况
ip6tables -nL
netstat -an | grep LISTEN


———————————————————————原问题———————————————————————————
目前有动态公网ipv6，使用ipv6测试有时提示大数据包传输测试不过，有时可以，打算是使用qcloud解析腾讯云的域名。
遇到问题是设置了端口转发不起作用，感觉上是防火墙的设置问题。
例如通过192.168.123.1:81和88分别访问默认主页和可道云是可以的，而使用[2409:*:*:*:*:*:*:*]:80，81：88访问路由器则是可以访问路由器管理页面，但是81访问默认主页，88访问可道云都提示拒绝了连接请求。
查看路由器防火墙设置发现里面允许外网访问的80，21ftp，和aira都可以通过公网ipv6的方式进行访问。
端口转发设置如下：

使用iptables --list查看结果如下：

各位帮忙看下应该怎么设置才能使得端口转发生效，从而能够从外网访问可道云呢？
搜帖子的时候看到有人说好像和版本有关，我还特地更新了下版本，目前的版本是3.4.3.9-099_9-9-23，还是没用

nossr

大佬们，是不是ipv6本来就不用端口转发的啊，我都把防火墙关了，还是不好使。。。
这个是日志，如果不是防火墙的锅那又是啥问题嘞
Oct 19 18:10:57 crond[28852]: crond (busybox 1.29.3) started, log level 8
Oct 19 18:11:35 RT-N56U_B1: Hardware NAT/Routing: Enabled, IPoE/PPPoE offload [WAN]<->[LAN/WLAN]
Oct 19 18:11:35 RT-N56U_B1: Hardware NAT/Routing: IPv4 UDP flow offload - ON
Oct 19 18:11:35 RT-N56U_B1: Hardware NAT/Routing: IPv6 routes offload - ON
Oct 19 18:11:35 【防火墙规则】: 脚本完成
Oct 19 18:11:35 【自定义脚本0】: 脚本完成
Oct 19 18:11:35 【WebUI】: UI 开关遍历状态监测
Oct 19 18:11:40 【opt】: opt 挂载正常：/dev/sda1
Oct 19 18:11:43 【SS】: 检测2:找不到 SS_SPEC 转发规则, 重新添加
Oct 19 18:11:43 【SS】: 设置 SS 的防火墙规则
Oct 19 18:11:44 【SS】: 出国模式
Oct 19 18:11:44 【SS】: 设置内网(LAN)访问控制
Oct 19 18:11:44 【SS】: udp53端口（DNS）地址重定向为 192.168.123.1 强制使用重定向地址的DNS
Oct 19 18:11:44 【SS】: DNS程序 0 模式: 0 【0走代理 1直连】
Oct 19 18:11:44 【SS】: 外网(WAN)访问控制，设置 WAN IP 转发或忽略代理中转
Oct 19 18:11:46 【SS】: 完成 SS 转发规则设置
Oct 19 18:11:47 【默认主页】: 默认服务网站允许远程访问, 允许 81 端口通过防火墙
Oct 19 18:11:47 【芒果云】: 允许远程访问, 允许 88 端口通过防火墙
Oct 19 18:11:47 crond[578]: crond (busybox 1.29.3) started, log level 8

nossr

我在日志里没有发现UPnP的提示，我在想是不是UPnP没开起来的问题，大佬们，正常防火墙规则后面是不是应该跟着UPnP啊

ago

内网的服务通过ipv6访问，需要穿透防火墙，否则外网也使用不了的。

采用ip6tables命令实现：
开放端口（需要执行两条命令）：
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 80 -j ACCEPT

ip6tables -A INPUT -p udp --dport 8080 -j ACCEPT
ip6tables -A OUTPUT -p udp --dport 8080 -j ACCEPT

#查看IPV6的端口开放情况：
ip6tables -nL

你应该会看到开放的tcp80和udp8080端口了。

删除端口映射：
ip6tables -A INPUT -p tcp --dport 80 -j DROP
ip6tables -A OUTPUT -p tcp --sport 80 -j DROP
ip6tables -A INPUT -p udp --dport 8080 -j DROP
ip6tables -A OUTPUT -p udp --sport 8080 -j DROP

随机启动，需要在自定义脚本里面，添加上述添加端口映射的命令，否则重启就没有了。

亲测可用，我现在就这么用着。

nossr

ago 发表于 2019-10-19 19:28
内网的服务通过ipv6访问，需要穿透防火墙，否则外网也使用不了的。

采用ip6tables命令实现：

感谢大佬回复，我试着添加了81端口的input output的tcp和udp命令，使用ip6tables -nL也看到新加的端口了然而还是不能访问。。论坛里有说使用socat可以把ipv6端口映射到内网ipv4端口上，这个也不行。。甚至直接把防火墙整个关了都不成，感觉整个人都不好了

ago

noS-S R 发表于 2019-10-19 19:40
感谢大佬回复，我试着添加了81端口的input output的tcp和udp命令，使用ip6tables -nL也看到新加的端口 ...

netstat -an | grep LISTEN
用这个命令看一下端口开放情况。

ip6tables命令是把内网的服务端口穿透防火墙，开放给外网。
socat是让外网通过ipv6访问内网的某个端口服务。
我把内网的iptv服务放给外网用，是这样弄的。

先用socat转发ipv6给内网的ipv4服务端口。
nohup socat TCP6-LISTEN:40088,reuseaddr,fork TCP4:192.168.123.1:88 &
nohup socat UDP6-LISTEN:40088,reuseaddr,fork UDP4:192.168.123.1:88 &

然后用ip6tables命令，把40088端口穿透防火墙。
然后外网通过ipv6+40088端口就可以访问192.168.123.1:88的服务了。

目前我的IPTV服务就这么干的。
你的81,88端口用不了，应该是查看端口监听里面，192.168.123.1的81,88服务是开启了的。
用上面的方法试试。


我的理解是这样的，内网如果仅是提供ipv4的端口服务，就需要用socat把ipv4端口服务转到ipv6监听去供外网访问。（如果不能访问，就把这个ipv6端口穿透防火墙）
如果内网提供ipv6的服务，只需要将ipv6的端口穿透防火墙即可。

nossr

ago 发表于 2019-10-19 19:54
netstat -an | grep LISTEN
用这个命令看一下端口开放情况。

哦哦 明白了，ip6tables是用来让访问能够穿透防火墙的，socat是用来把ipv6映射到ipv4上的
我用netstat -an | grep LISTEN命令看了下，发现81端口压根没监听啊，只有80 6800 1：53号端口，难怪之前测试的时候网页能打开，aria2也能连上，ftp也能用。
您觉得为啥端口会没开放呢

ago

noS-S R 发表于 2019-10-19 20:08
哦哦 明白了，ip6tables是用来让访问能够穿透防火墙的，socat是用来把ipv6映射到ipv4上的
我用netstat - ...

81,88那些端口的服务软件好像仅提供ipv4的服务，我也不知道为什么有些服务ipv4和ipv6服务都有，有些服务就没有。
反正我研究的方法就能解决这个问题。

就想做个S-S R的服务，因为没有公网ipv4地址，只能用ipv6来做服务，做出来的服务不穿透防火墙，就用不了。
我的经验是，ipv6端口的服务需要用ip6tables命令穿透防火墙，否则外网用不了。

nossr

ago 发表于 2019-10-19 20:17
81,88那些端口的服务软件好像仅提供ipv4的服务，我也不知道为什么有些服务ipv4和ipv6服务都有，有些服务 ...

我目前使用socat 命令之后netstat -an | grep LISTEN发现还是没有监听ipv6的88端口。。这个是socat命令出问题了吗，不知道还有没别的映射的办法
我的命令是这样的：ip6tables -A INPUT -p tcp --dport 88 -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 88 -j ACCEPT
ip6tables -A INPUT -p udp --dport 88 -j ACCEPT
ip6tables -A OUTPUT -p udp --dport 88 -j ACCEPT
nohup socat TCP6-LISTEN:88,reuseaddr,fork TCP4:192.168.123.1:88 &
nohup socat UDP6-LISTEN:88,reuseaddr,fork UDP4:192.168.123.1:88 &

ago

nossr 发表于 2019-10-19 20:47
我目前使用socat 命令之后netstat -an | grep LISTEN发现还是没有监听ipv6的88端口。。这个是socat命令出 ...

不能都用88端口，ipv4是88端口，那么ipv6端口换其他数字就行了，比如30088即可。
以后外网通过30088端口访问内网的88服务就行了。

nossr

ago 发表于 2019-10-19 20:57
不能都用88端口，ipv4是88端口，那么ipv6端口换其他数字就行了，比如30088即可。
以后外网通过30088端口 ...

大佬您太强了，没您的帮助我这还不知道要搞多久呢
终于能够愉快地上网冲浪了
太感谢您了

ago

nossr 发表于 2019-10-19 21:02
大佬您太强了，没您的帮助我这还不知道要搞多久呢
终于能够愉快地上网冲浪了
太感谢您了

搞定了？？？？

nossr

ago 发表于 2019-10-19 21:10
搞定了？？？？

嗯嗯，可以用我的域名访问可道云了，开心

ago

nossr 发表于 2019-10-19 21:15
嗯嗯，可以用我的域名访问可道云了，开心

嗯，我也是自己摸索了很久才学会这一招的。

spycolin

受益匪浅， 请问楼主重启后规则消失怎么办呢？