756yang
756yang
> 麻煩把 ACL 部分的也加上,謝謝。 请问ACL的部分是指哪些?另外,我认为可以将目标非直连IP的ping请求重定向到wireguard网卡上面,这实现可能要改动多点。
@xiaorouji ACL的部分应该不需要修改吧。 我又加入了通过VPN网卡代理ICMP请求的功能,在我的环境测试这样的配置是没问题的,还没编译测试。 我还准备给 singbox.lua 的wireguard出站节点添加创建系统网卡的界面支持,这样两者配合。 唯一的缺陷是singbox的VPN网卡是禁止入站的,wireguard服务端不能访问singbox所在局域网。
编译後,有点小问题,它不是按我写的nftables生成的,流程不太对
> 编译後,有点小问题,它不是按我写的nftables生成的,流程不太对 已经改好了,目前没问题。load_acl现在在改
@xiaorouji 给 ICMP redirection 加上访问控制是多余的,load_acl 函数中 accept_icmp 仅仅是添加了一个无效规则(和默认规则一样,所以是多余的)。因此,这些提交不需要改动 load_acl 函数。 其他该修改的地方我都修改了,可以考虑合并吗?另外,VPN网卡要代理流量应该需要NAT或配置网关路由的,这不是passwall2应该做的,所以我没有添加这个规则。
@xiaorouji nftables的icmp acl流程有问题,我现在改好了
使用sing-box的wireguard创建系统网卡後,可以开启ICMP代理,不需额外为它配置NAT规则,已经自动加上了,目前测试没有问题
> 先把標題的問題解決吧 @xiaorouji 标题已修改,这些提交都是为了代理ICMP做的,我认为应该作为一个PR,目前,我已经编译并测试过了,正在使用中,没有遇到其他问题,另外,ICMP代理和原来就有的劫持ICMP不应该同时开启,防火墙会优先命中ICMP劫持导致ICMP代理不生效
@xiaorouji 已经拆分为三个提交了,这样应该比较好了
@xiaorouji 这个PR能否作为实验性功能合入?另外,gen_include脚本应该返回成功,我在末尾加了 `: set a success state return`,确保不会因为条件失败而返回失败(这是之前的BUG)。