一些 zerotier 教程的防火墙规则是不是写错了?

117 天前
 sleepingdog
最近从 DDNS+ipv6 折腾到 zerotier ,看了不少教程。
如果是想外网直接连上,应该不难,
但如果既要又要——速度,稳定,安全。。。还有 free ,麻烦度就直线提升。

因为主路由是小米,刷不了 op ,它的 ipv6 防火墙虽然能关闭,但还是不放心内网的 nas 直接暴露出来,所以还是最终还是选择开启主路由的 ipv6 防火墙,使用 zerotier——在群晖上运行的 openwrt 旁路由,里面运行 zerotier ,外网使用数据流量,看监控速度能达到 1mb 多点


废话少说了,现在应该折腾完成,不过发现不少 zerotier 教程,在关于 openwrt 里面添加的防火墙规则,好几个都写错了(我更奇怪的是为什么没人指出来,所以也怕是自己的问题,问了 chatGPT ,也说第二行应该改成以下)

iptables -I FORWARD -i ztbpao3tej -j ACCEPT
iptables -I FORWARD -o ztbpao3tej -j ACCEPT
iptables -t nat -I POSTROUTING -o ztbpao3tej -j MASQUERADE

他们规则虽然写错,但也能访问,然而可能不安全?————毕竟这是防火墙规则啊。
所以发了这个帖子给各位围观看看。
当然,前人种树后人乘凉,感谢走在前面的各位~
3384 次点击
所在节点    NAS
29 条回复
sleepingdog
117 天前


这是其中看到的两个,也有不少是正确说的,比如这个
wheat0r
117 天前
因为实际上没有几个人真的做这个安全策略
adoal
117 天前
你是觉得在 zt 接口上不做开了两个 ACCEPT 不做更严格的策略不安全?可能想多了吧。
adoal
117 天前
呃,删掉第一个“不做”
sleepingdog
117 天前
@adoal #3
@wheat0r #2
你们 openwrt 开了 zerotier 之后,不设置关于 zerotier 的防火墙规则的?

我 nas 上还要开启 smbv1 之类的协议,所以比较担心安全
adoal
117 天前
首先要想明白,zerotier 是个 VPN ,里面的 P 是啥意思,private ,就是说 VPN 链路建立起来之后两端都是你自己可控的设备或网络,不是外部的公网,相当于你在自己放在外面的电脑和家里的路由器上各插了一块看不见的“网卡”并用看不见的“网线”连起来,外网根本摸不到,你要在上面做啥策略?
真要在 VPN 上做策略,那是类似公司不同分部之间的网段用 VPN 连通起来根据部门之间的访问限制需求来做的,前提是你要限制不可控的“别人”。
wheat0r
117 天前
@sleepingdog #5 在我的使用场景里,我根本不在路由器上装这东西,而是直接把客户端装进 server 里。
对于 zerotier 而言,如果你的管理权限失守了,攻击会从 zt 虚网卡进来 openwrt ,你的安全策略是放通的;如果你的管理权限没失守,你的 openwrt 压根不会暴露给攻击者。
如果 zerotier 有致命的漏洞,攻击也不会从物理网卡进来。
你是因为不放心 NAS 暴露才用了 zerotier ,这就意味着你认可 zerotier 并没有暴露你的 nas 。
sleepingdog
117 天前
@adoal #6 有个疑问,如果我在外网,用的是不信任的 wifi ,使用 zerotier 访问家里的设备,这时候需要走 https 协议么?
sleepingdog
117 天前
@wheat0r #7 就是说,如果是你的话,就直接安装 zerotier 到群晖上,而不是群晖的 openwrt 虚拟机?
adoal
117 天前
@sleepingdog 不需要,zerotier 相当于在你电脑上装了一个虚拟网卡,你访问家里的设备走的是这个虚拟网卡,而不是无线网卡
wheat0r
117 天前
@sleepingdog #9 是的,我还有 Windows 和 mac 的主机,都从一个主机上跳不是给自己找事么,而且 zerotier 给了/24 的子网,不就是让你都装上
snugness
117 天前
我看你的文章有点看不懂,所以确认一下。你用 zerotier 访问家里设备,速度是 1mb ?
kgcHQbTYyvcz2w3j
117 天前
巧了,最近刚从 zerotier 折腾到了 ddns+ipv6+wireguard

感觉 zerotier 的 ipv6 组网不稳定,我这边在两边都有 ipv6 的情况下不一定走 ipv6 直连,通过 zerotier-cli peers 能查看到每隔段时间会在 v6 和 v4 之间反复横跳,甚至在 v6 直连的情况下拷贝稍大点的文件或者看视频的时候拖进度条会直接断连

这段时间被搞得怀疑人生,一度以为是 ipv6 网络有问题。 换上 wireguard 后世界终于清净了
yanqiyu
117 天前
所以写错了指的是那个 -I 变成了 -|? 我猜就是某一个抄文章的用 OCR 翻车了然后大家抄来抄去带来的结果

置于两边都 Accept ,这得分情况,要是两边都是信任环境,这么做挺好。但是有一边不信任,一般做法是一边无条件 accept ,但是另一个方向只接受 established, related
allplay
117 天前
@sleepingdog smb v1 是好老的东西了,
Yzh361
117 天前
我一直在用… 我是按正确的代码…
LeeReamond
117 天前
@xyzmax 老哥 wireguard 涉及海外服务器会被墙吗
sleepingdog
117 天前
@wheat0r #11 当时想则群晖的防火墙设置没有 openwrt 的丰富,所以这么走。
@snugness #12 是。家里宽带用的移动,测试用的联通 4G ,
@xyzmax #13 学习了,稍微看了下这个方案似乎不错。需要关主路由器的 ipv6 防火墙么?
@yanqiyu #14 是的
@allplay #15 小米的摄像头和电视机还用这个(小米摄像头如果想保存 sd 里面的东西到本地,要走 smbv1 ,电视自带的播放器走 smbv1 ,不过可以用 kodi 之类解决)。
还有一个上古的安卓软件,快图也走的 smbV1 ,ES 浏览器如果不是最新版,好像也有这个问题。。。。
fish3125
116 天前
区域都设置在 lan ,只要动态伪装,前两条可以不要吧
Bingchunmoli
116 天前
因为一般禁用 iptables

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1008394

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX