yellowsavant

你还是装一下ipset吧，这个在依赖说明上是必装的东西

> > 因为dnsmasq本身不完全支持nftset只能用ipset，作者已经在页面上提示必装ipset，装上就是 > > ...不是让你回啊🤣🤣🤣 哈哈，看错啦 新年快乐！

passwall先关掉吧，iptables里都是它的遗迹.....

> > passwall先关掉吧，iptables里都是它的遗迹..... > > 我在发现clash无法使用hy2协议后中间使用了passwall一天左右的时间，后来我在issue里搜索时发现clash更新dev分支内核后，就把passwall给关闭了，然后使用dev分支的内核，但这次你说和passwall有关，基于我确实使用它了，就查看它，主开关是关闭状态。也就是没有使用它。我该如何安全清理iptables或者passwall？ 我对passwall不是很熟，仅仅是看到你的iptables有passwall相关的命令行，一般科学插件之间没有兼容性，同时间只能有一款科学插件运行，在你关闭passwall后，不妨重启下设备让环境复位下 如果不重启机器，可以简单重启防火墙复位下防火墙规则，应该也能清掉多余的iptables规则（或者说尸体，遗迹） 你可以在ssh命令行里下这个命令：service firewall restart，也可以检查下 /etc/config/firewall 把一些非必要的规则先注解掉 另外据我的经验，openwrt的内核不需要太新，新的内核常常会有一些不可名状的bug，向下兼容性也不好 上面的兄弟说的有道理，太频繁的连线检查会触发机场阻断攻击保护，你可以先关掉相关的选项再行测试 如果再次无法连接，可以ping一下机场IP以确定是否为网络连线问题，抑或是触发机场保护机制，好确定是谁的问题 若你想移除passwall，可以使用命令行的opkg remove命令或是web介面里的系统==》软件，的移除功能 要是你的机场常有连线问题（一些不靠谱的机场是会有这个问题）要么换机场，要么可以做一个round-robin节点组把状态较好的节点扔到这个节点组（记得需要改规则匹配）也能避免机场保护机制触发 暂时先想到这些，Good luck！

> 你可能把我说的误会成防ddos这类的机制了 > > 真事啊。我之前一个机场，恰逢m核延迟存储有bug，m核那边issue都在，虽然不是这个号发的。我查日志平均2秒一次健康检查，基本前一次都没全部完成新的一次就开始了，体感就是你这情况，节点状态红白来回变，我赶紧换的p核用了一段时间等bug修了。之后向机场老板自爆才问出来的，按老板的意思是防负载均衡，有人拿机场搞跳板。 > > 现在机场基本都是国内服务器不同端口号做中转，老板就搞了个ip每a秒以内连接b个端口c次，就禁止新请求响应，a就十秒以内，b和c设个上百，用户正常用根本触发不了。然后一搞这种健康检查，比如10秒连了10个节点，第11个就不让用了显示超时，然后第1个测速完成，断开了，第12个又可以连了。。。这就是一会儿白一会儿红。 然后urltest比如连的第4个，然后第16个测时第4个正好没数据，第4个就被断开了，urltest连4，无法连通，第12个刚才有数据，切过去，同时发起新的健康检查，然后12比如为了30又断了。。。 > > 这么说能理解不，正常如果设置几秒内上百个，真就只有极端情况才能触发，你换个软件同时用最多也只会感觉网卡，因为没过几毫秒就有端口被释放，你的软件就趁机连接上了，然后再断，再连。。。 > > 所以切非自动组，不触发健康检查，等这些已触发的批量健康检查完成就好了 > > 另外，多嘴一句，我看你的用词，好像把dev核搞错了。。。 openclash的dev确实是好的，但内核可不是。正好你在找能用hy2的内核，所以要是没啥特殊想法的话换m核吧，还能把dns代理上，减少dns类错误。 不不，我不是说ddos，况且ddos一般是大量不同来源发起SYN服务器触发，和他这个问题不太一样 可能我语法表达上有问题，其实就是connetion burst之类的session audit规则 但是除非一直create new connection，（所以有些机场会封p2p之类的流量）不然一般不会触发这个东西， 机场把这个搞得太死，也会赶跑用户，之前我用过几个机场就是搞得太死，让我直接弃用 况且client端用点load-balance，应该不算过分才是，毕竟那么多节点（ports）放着也是放着，唯一的缺点就是节点切换时会有lag产生 我也跟你讲个真事，我曾经用过的一个机场会在每个端口的一段时间内count你的流量，结果就是浏览某些不可描述的网站或是下载大量content遭到限制，解决的办法就是轮换节点或是换个机场，我个人觉得换机场比较快啦，省得折腾

> > 不不，我不是说ddos，况且ddos一般是大量不同来源发起SYN服务器触发，和他这个问题不太一样 可能我语法表达上有问题，其实就是connetion burst之类的session audit规则 但是除非一直create new connection，（所以有些机场会封p2p之类的流量）不然一般不会触发这个东西， 机场把这个搞得太死，也会赶跑用户，之前我用过几个机场就是搞得太死，让我直接弃用 况且client端用点load-balance，应该不算过分才是，毕竟那么多节点（ports）放着也是放着，唯一的缺点就是节点切换时会有lag产生 我也跟你讲个真事，我曾经用过的一个机场会在每个端口的一段时间内count你的流量，结果就是浏览某些不可描述的网站或是下载大量content遭到限制，解决的办法就是轮换节点或是换个机场，我个人觉得换机场比较快啦，省得折腾 > > 咱俩类似，但我可能更极端一点，我直接关注了个机场花名册，不定时发新机场，我就挑一个搞一个月，新机场刚开人也少所以节点不会太差，一到期我就换。 缺点嘛，就是个人信息泄露比较严重，不过邮箱支付方式全是特意折腾的小小小号，有能力定位到我的也不会通过小小小号查 哈哈必须的，不是吗？至于信息泄露，对于一个喜欢折腾的人来说是不存在的！ by the way，你这个转节点组还挺有意思的，这个我倒没试过，改天玩玩，先谢啦！

旁路由如果路由路径没搞好，会有非对称路由返回的问题，如果真要搞旁路由的话，建议在旁路由上开NAT，可以减少很多问题，但是会有一点性能损失（主路由与旁路由皆开启NAT）网络环境没那么复杂的话，还是在主路由上折腾就行 你这问题大概率是主路由直接把返回包发给以旁路由为网关的客户端，客户端又把下一个包发给旁路由，然后就GG了...

> 方便请教一下吗 我电脑只能设置HTTP 如何用socks5 > > 网上说填http填ip socks填socks=ip就行 但我尝试失败 就算是7893端口 可以用http 但没法用sock > > p.s.我看了您的日志 建议启动OpenClash后走本机流量可以正常访问（即静态IP填op） 再切换到SOCKS5/HTTP(S)代理连接https://test-ipv6.com/ （还有微软等服务）的同时生成日志 未启动状态没有连接信息 看你电脑什么软件设置，如果是浏览器的话，直接在浏览器把对应的IP+端口号填入即可，并确保calsh的socks5端口号已经开启 其它软件应该也有相应的设置选项或页面，应该不难

> 119版本，问题解决了，谢谢开发者。 老铁你们都哪来的新版本呀？明明版上目前是112还beta

> > > 119版本，问题解决了，谢谢开发者。 > > > > > > 老铁你们都哪来的新版本呀？明明版上目前是112还beta > > 更新分支切换到 Developer  好的非常感谢！