1
sleepingdog OP |
2
wheat0r 313 天前
因为实际上没有几个人真的做这个安全策略
|
3
adoal 313 天前
你是觉得在 zt 接口上不做开了两个 ACCEPT 不做更严格的策略不安全?可能想多了吧。
|
4
adoal 313 天前
呃,删掉第一个“不做”
|
5
sleepingdog OP |
6
adoal 313 天前
首先要想明白,zerotier 是个 VPN ,里面的 P 是啥意思,private ,就是说 VPN 链路建立起来之后两端都是你自己可控的设备或网络,不是外部的公网,相当于你在自己放在外面的电脑和家里的路由器上各插了一块看不见的“网卡”并用看不见的“网线”连起来,外网根本摸不到,你要在上面做啥策略?
真要在 VPN 上做策略,那是类似公司不同分部之间的网段用 VPN 连通起来根据部门之间的访问限制需求来做的,前提是你要限制不可控的“别人”。 |
7
wheat0r 313 天前
@sleepingdog #5 在我的使用场景里,我根本不在路由器上装这东西,而是直接把客户端装进 server 里。
对于 zerotier 而言,如果你的管理权限失守了,攻击会从 zt 虚网卡进来 openwrt ,你的安全策略是放通的;如果你的管理权限没失守,你的 openwrt 压根不会暴露给攻击者。 如果 zerotier 有致命的漏洞,攻击也不会从物理网卡进来。 你是因为不放心 NAS 暴露才用了 zerotier ,这就意味着你认可 zerotier 并没有暴露你的 nas 。 |
8
sleepingdog OP @adoal #6 有个疑问,如果我在外网,用的是不信任的 wifi ,使用 zerotier 访问家里的设备,这时候需要走 https 协议么?
|
9
sleepingdog OP @wheat0r #7 就是说,如果是你的话,就直接安装 zerotier 到群晖上,而不是群晖的 openwrt 虚拟机?
|
10
adoal 313 天前
@sleepingdog 不需要,zerotier 相当于在你电脑上装了一个虚拟网卡,你访问家里的设备走的是这个虚拟网卡,而不是无线网卡
|
11
wheat0r 313 天前
@sleepingdog #9 是的,我还有 Windows 和 mac 的主机,都从一个主机上跳不是给自己找事么,而且 zerotier 给了/24 的子网,不就是让你都装上
|
12
snugness 312 天前 via Android
我看你的文章有点看不懂,所以确认一下。你用 zerotier 访问家里设备,速度是 1mb ?
|
13
kgcHQbTYyvcz2w3j 312 天前
巧了,最近刚从 zerotier 折腾到了 ddns+ipv6+wireguard
感觉 zerotier 的 ipv6 组网不稳定,我这边在两边都有 ipv6 的情况下不一定走 ipv6 直连,通过 zerotier-cli peers 能查看到每隔段时间会在 v6 和 v4 之间反复横跳,甚至在 v6 直连的情况下拷贝稍大点的文件或者看视频的时候拖进度条会直接断连 这段时间被搞得怀疑人生,一度以为是 ipv6 网络有问题。 换上 wireguard 后世界终于清净了 |
14
yanqiyu 312 天前
所以写错了指的是那个 -I 变成了 -|? 我猜就是某一个抄文章的用 OCR 翻车了然后大家抄来抄去带来的结果
置于两边都 Accept ,这得分情况,要是两边都是信任环境,这么做挺好。但是有一边不信任,一般做法是一边无条件 accept ,但是另一个方向只接受 established, related |
15
allplay 312 天前 via Android
@sleepingdog smb v1 是好老的东西了,
|
16
Yzh361 312 天前 via Android
我一直在用… 我是按正确的代码…
|
17
LeeReamond 312 天前
@xyzmax 老哥 wireguard 涉及海外服务器会被墙吗
|
18
sleepingdog OP |
19
fish3125 312 天前 via iPhone
区域都设置在 lan ,只要动态伪装,前两条可以不要吧
|
20
Bingchunmoli 312 天前 via Android
因为一般禁用 iptables
|
21
juglans 312 天前
先得指定一下网卡名字吧
|
22
jackge0323 312 天前
ubuntu 昨天刚被这个规则坑了,第三条 nat 需要写实际的物理网卡名。
|
23
snugness 312 天前
@sleepingdog 兄弟,那速度很低啊。宽带上行带宽只有 1mbps 吗?用 cloudflare tunnel 套 CDN 最少都有 10mpbs 啊,宽带是电信,上行带宽是 30mpbs 。
|
24
kgcHQbTYyvcz2w3j 312 天前
@LeeReamond #17 翻墙最好不要用这个吧。 代理规则就是个问题啊
@sleepingdog #18 要啊,一般的路由器的 ipv6 防火墙要么开要么关; 或者你主路由如果是软路由,配置好规则,开着防火墙也没问题。 我是直接关防火墙,安全问题我觉得不用担心吧,ipv6 那么长怕啥 |
25
sleepingdog OP @snugness #23 抱歉,可能我没说清单位造成误解。我联通这边下载速度是 1MB ,也就是移动上行应该至少有 10mbps 左右,我的移动宽带应该 300M 还是 500M ,反正游戏更新的时候最快有 50mb 左右,手机 ping 了下延时大概 80 ~ 100ms 。
其实上行速度感觉够用,有空我跑个测速看看。 zerotier 是不是两个设备连上之后,就是 P2P 了? @xyzmax #24 等不够用了再继续折腾下。家里的路由器刷不了 op ,防火墙没那么多东西设置,所以还是有点担心。另外今天刚刷到这个帖子 https://www.v2ex.com/t/1008385#reply2 ,感觉开了 ipv6 防火墙有时候会方便别人 CDN ,被做好事都留不了名的那种。。。 |
26
chocolateyk11 311 天前 via Android
不需要加这几条规则也可以正常使用
|
27
snugness 310 天前
@sleepingdog zerotier 应该是用 P2P ,不过握手好像要先经过服务器,当初看见要连接得快要自建 moon ,所以就没搞了。原来是用端口转发加 cdn ,发现真实 IP 会有记录,后来就用 tunnel 了。之前还用过一段时间 tailscale 也很快,私密度很高,就是每次都要开一个 app 。现在都是直连 443 端口,改用了 quic 之后,连接会更稳定一些。
|
28
lovelylain 309 天前 via Android
@sleepingdog 忽略那个 I 写成|明显手误或 ocr 识别错误的问题,没看出你说的正确规则和错误规则区别在哪里,如果只是这个错误,不至于要发帖讨论吧。
openwrt 预置了防火墙策略,入站接受,出站接受,转发接受,IP 动态伪装启用,MSS 钳制不启用,创建 vpn 接口的时候关联防火墙策略选这个就行。可以看到这个默认策略是给予了 VPN 类似局域网的最大信任度的,一旦 VPN 被攻破就能随便访问内网了,你也可以根据实际需要调整,总之就是每一项都对应一些 iptables 规则,你贴的那 3 条对应的是转发和 IP 动态伪装。不嫌麻烦也可以先拒绝再单独情况添加规则。 |
29
sleepingdog OP @lovelylain #28 感谢。
我奇怪的是没人指出问题。 发这个帖子也让从不同的角度看问题,比如上面的朋友指出我在旁路由上跑这个不太好,可以选择在群晖上直接跑 zerotier (顺便问下如果在群晖跑的话是不是也复制下这三条规则过去好点?) |