SWRT固件ipv6防火墙问题，求解。（已解决）

superzjg

解决办法找到，可能是固件设定的问题（SWRT 388_B5.2.2固件），当在一般设置关闭防火墙（我理解为关闭ipv4防火墙），但单独开启ipv6防火墙时（即我之前的状态），ip6tables规则会缺失下列条目：

上述第一条，缺失了，就会发生我遇到的问题，他的功能大概是“对外建立的连接经过INPUT不拦截”。
针对此情况，解决方法：
1：把防火墙全部关闭。
2：若要开启ipv6防火墙，建议同时开启ipv4防火墙，这样不会丢失ip6tables的这些规则。
3：若要开启ipv6防火墙，且关闭ipv4防火墙，在系统nat变化，或防火墙重载时，使用脚本自动补全规则：
例如上面那条对应：
ip6tables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
或者相同含义的：
ip6tables -I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
其他的应该也有不同作用，比如最后四条，字面意思对应固件自带的WireGuard和OpenV.P.N,建议都补上。

上述修复代码已整合到我的自改插件。


-------------------------------发现的问题：

老家的路由器（SWRT 388_B5.2.2），关闭ipv4防火墙，开启ipv6防火墙以后，路由器本身无法连接外面的ipv6，但可以从外面访问路由器（通过打开端口）。
比如：下方蓝色部分，我打开了一个5656端口，我从外面可以正常访问路由器的5656端口的服务。
但是默认的情况下，无法从路由器连接外面的ipv6服务，感觉少了什么东西。
我只要关闭防火墙，或者通过命令删除下面红色部分的默认规则，路由器才能连接外面的ipv6。

admin@RT-AX56U-E6C0:/tmp/home/root# ip6tables -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp      anywhere             anywhere             tcp dpt:5656
ACCEPT     ipv6-nonxt    anywhere             anywhere             length 40
ACCEPT     all      anywhere             anywhere
ACCEPT     all      anywhere             anywhere
ACCEPT     udp      anywhere             anywhere             udp spt:547 dpt:546
ICMP_V6_LOCAL  ipv6-icmp    anywhere             anywhere
ICMP_V6    ipv6-icmp    anywhere             anywhere
DROP       all      anywhere             anywhere


经测试跟FORWARD，OUTPUT规则没有关系，只跟INPUT有关。

我现在不在老家，远程访问路由器ssh测试，访问另一台路由器搭建的alist，默认情况下，可以ping通，但是wget命令无法下载文件：

admin@RT-AX56U-E6C0:/tmp/home/root# wget --no-check-certificate https://xxxxxxxx.v6.rocks:5244/d ... %E6%96%99/fdisk.txt
--2023-05-26 15:13:15--  https://xxxxxxxx.v6.rocks:5244/d ... %E6%96%99/fdisk.txt
Resolving xxxxxxxx.v6.rocks... 240e:380:403:ee61:f90a:39d2:5d26:f509
Connecting to xxxxxxxx.v6.rocks|240e:380:403:ee61:f90a:39d2:5d26:f509|:5244... failed: Connection timed out.
Retrying.

用路由器的其他插件，比如frpc插件用ipv6连接远端frps也是同样情况。不知道这个情况如何解决。

project_box

前辈，要过滤出udp的上层payload前4个字节为0x010000，且dport为N的的数据包，nftables怎么写？这么个需求：wireguard开放在公网上，怕有非法接入或穷举，想把所有的wireguard握手包都记录于日志中

superzjg

project_box 发表于 2024-10-2 15:16
前辈，要过滤出udp的上层payload前4个字节为0x010000，且dport为N的的数据包，nftables怎么写？这么个需求 ...

不懂这个，尤其是 nftables，
v.p.n一般是安全的，不要怕这怕那，wireguard 最怕的是运营商QOS udp，为此我选择支持 udp/tcp的 softether。

project_box

superzjg 发表于 2024-10-2 15:20
不懂这个，尤其是 nftables，
v.p.n一般是安全的，不要怕这怕那，wireguard 最怕的是运营商QOS udp，为此 ...

qos的问题已经解决了，套了udp2raw，可以把udp包伪装成tcp的

superzjg

project_box 发表于 2024-10-2 15:22
qos的问题已经解决了，套了udp2raw，可以把udp包伪装成tcp的

哦，udp2raw损失性能吗？

project_box

互访比较慢，不一定是udp2raw引起的，原因没查出来。改用ssh端口转发的方式也是非常慢，直接用公网地址iperf可以跑满带宽。不知道是否受限于路由器性能

superzjg

project_box 发表于 2024-10-2 15:34
互访比较慢，不一定是udp2raw引起的，原因没查出来。改用ssh端口转发的方式也是非常慢，直接用公网地址iper ...

看大流量时cpu占用率大不大，那个1,5,15mins负载

project_box

superzjg 发表于 2024-10-2 15:38
看大流量时cpu占用率大不大，那个1,5,15mins负载

不大，1.x