ipv6下旁路由如何实现从外网SSH到旁路由？ #3151

elfzweik · 2024-03-17T16:10:49Z

elfzweik
Mar 17, 2024

@chika0801 你的这个解答-所以只需加上 iptables -t mangle -I XRAY_SELF -s 192.168.0.0/16 -p tcp --sport 22 -j RETURN 即可-在ipv4上没有问题，我的旁路由一直运行得很好。最近搬家换了移动ISP，没有ipv4公网地址了，因此需要通过ipv6公网地址访问我的旁路由。其实我在旁路由上部署了ddns服务后，没有改iptables，公网是能够ssh到我的旁路由的。但是在旁路由环境下我的rustdesk一直显示“未就绪，请检查网路连接”，观察自建服务器的log，update的ipv6地址是错误的。我就怀疑是不是透明代理只代理了ipv4，没有代理ipv6所造成的，增加了如下的iptables规则：

# 代理局域网设备 v6
ip6tables -t mangle -N XRAY6
ip6tables -t mangle -A XRAY6 -d ::1/128 -j RETURN
ip6tables -t mangle -A XRAY6 -d fe80::/10 -j RETURN
ip6tables -t mangle -A XRAY6 -d fd00::/8 -p tcp -j RETURN
ip6tables -t mangle -A XRAY6 -d fd00::/8 -p udp ! --dport 53 -j RETURN
ip6tables -t mangle -A XRAY6 -j RETURN -m mark --mark 0xff
ip6tables -t mangle -A XRAY6 -p udp -j TPROXY --on-ip ::1 --on-port 12345 --tproxy-mark 1
ip6tables -t mangle -A XRAY6 -p tcp -j TPROXY --on-ip ::1 --on-port 12345 --tproxy-mark 1
ip6tables -t mangle -A PREROUTING -j XRAY6

# 代理网关本机 v6
ip6tables -t mangle -N XRAY6_MASK
ip6tables -t mangle -A XRAY6_MASK -d fe80::/10 -j RETURN
ip6tables -t mangle -A XRAY6_MASK -d fd00::/8 -p tcp -j RETURN
ip6tables -t mangle -A XRAY6_MASK -d fd00::/8 -p udp ! --dport 53 -j RETURN
ip6tables -t mangle -A XRAY6_MASK -j RETURN -m mark --mark 0x2
ip6tables -t mangle -A XRAY6_MASK -p udp -j MARK --set-mark 1
ip6tables -t mangle -A XRAY6_MASK -p tcp -j MARK --set-mark 1
ip6tables -t mangle -A OUTPUT -j XRAY6_MASK

此时反而不能ssh到旁路由了。依照你的这条语句，我试了ip6tables -t mangle -I XRAY_MASK -s fd00::/8 -p tcp --sport 22 -j RETURN，无效。又想到是不是ipv6是通过公网地址通讯的，添加了ip6tables -t mangle -I XRAY_MASK -s IPV6前缀/60 -p tcp --sport 22 -j RETURN，仍然无效。
学习了好几天，我的理解是，原先iptables没有管理ipv6，ssh直连到旁路由的ipv6地址上，返回的流量也是ipv6直接发出的，所以可以连接。加了这些规则后，由于ipv6受到管理，导致的不能ssh。不知这个理解正确吗？正确的规则应该如何写呢？

你提的这几个问题中的大多数我也曾疑惑过，而且这四个问题几乎覆盖了整个流程，我按照 4312 的顺序进行讲解。

首先，SSH 流量从外网进到主路由中，被转发到旁路由的 prerouting 链中，此时，目标地址大概率的已被改为内网的旁路由 IP 地址，根据已有的规则，SSH 被直连，被 OpenSSH 监听的端口接收到。之后，流量从本机发出，经过 output 链时，由于目标地址为外网中 SSH 客户端，所以会进入 Xray，此时就无法正常建立连接了。所以只需加上 iptables -t mangle -I XRAY_SELF -s 192.168.0.0/16 -p tcp --sport 22 -j RETURN 即可。如果仍不能用，很有可能是端口映射时目标 IP 仍为公网 IP，那么就需要在 prerouting 链上让目标地址为公网 IP 且目标端口为 22 的流量 return，问题在于公网 IP 为动态，那么就只过滤端口，但这会导致 Xray 无法代理 22 端口。

Originally posted by @elfzweik in #688 (reply in thread)

elfzweik · 2024-03-31T08:45:12Z

elfzweik
Mar 31, 2024
Author

好像是我理解错了，不做ip6tables转发，在旁路由上看ipv6地址，已经代理到国外了。但是连接旁路由的客户端电脑还是本地ipv6。想了一下，ipv6是每台设备一个公网地址，不做nat，要代理客户端电脑的ipv6地址，还是要把代理开在本机上，旁路由解决不了这个问题。不知道理解对不对。
我说的代理ipv6是指要把ipv6改为国外ip，因为有的网站是检查ipv6地址的位置的。youtube之类的被屏蔽网站访问是没有问题的。

0 replies

chise0713 · 2024-04-04T12:01:31Z

chise0713
Apr 4, 2024

试试看把 source 不是自己的，使用 -m state ESTABLISHED,RELATED -j RETURN，这样？这样回源就不会进到代理

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

ipv6下旁路由如何实现从外网SSH到旁路由？ #3151

Uh oh!

{{title}}

Uh oh!

Replies: 2 comments

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{title}}

Uh oh!

Select a reply

Uh oh!

ipv6下旁路由如何实现从外网SSH到旁路由？ #3151

Uh oh!

elfzweik Mar 17, 2024

Replies: 2 comments

Uh oh!

elfzweik Mar 31, 2024 Author

Uh oh!

chise0713 Apr 4, 2024

elfzweik
Mar 17, 2024

elfzweik
Mar 31, 2024
Author

chise0713
Apr 4, 2024