pve ，每天定时备份 openwrt 整机磁盘

流量绕远端 peer 的问题解决了

1 、wg 服务端启动时配置隧道允许的 ip

docker run -d \
--name=wireguard \
-e WG_HOST=home.example.com \
-e WG_PORT=54321 \
-e PASSWORD=yourPassword \
-e WG_DEFAULT_DNS=192.168.2.1 \
-e WG_DEFAULT_ADDRESS=10.13.100.x \
-e WG_ALLOWED_IPS=192.168.2.0/24
-e TZ=Asia/Shanghai \
-v /opt/wg-easy:/etc/wireguard \
-p 54321:51820/udp \
-p 51821:51821/tcp \
--cap-add=NET_ADMIN \
--cap-add=SYS_MODULE \
--sysctl="net.ipv4.conf.all.src_valid_mark=1" \
--sysctl="net.ipv4.ip_forward=1" \
--restart unless-stopped \
weejewel/wg-easy

关键是：WG_ALLOWED_IPS=192.168.2.0/24 ，如果没有这项默认是 0.0.0.0

2 、openwrt 路由器配置 wg 客户端时使用它

https://i.imgur.com/YoYC6Am.png


3 、检测本地网络是否会绕远端 peer

浏览器访问 https://www.ip138.com/

或

命令行执行：curl --location --request GET 'http://www.taobao.com/help/getip.php'

@xwit 确实是，今天解决了这个大问题，感谢。

不用默认 AllowedIPs=0.0.0.0 ，路由就不会默认走远端 peer ，而是优先使用本地网络，完美。

哈哈我们公司网管是配合的，主路由 dhcp 的时候限定范围，比如 2-200 ，还剩几十个给静态 ip 设备，大家互不干扰。

“大多数路由器都支持 ipv4 的 DDNS ，并不支持 IPV6 的 DDNS”

为什么得出这样的结论？

现在随便一个路由器固件都支持 docker 吧

一行命令跑 ipv6 的 ddns：

docker run -d --name=cf-ddns-v6-nas --restart=always -e DNS_SERVER=192.168.2.1 -e INTERFACE=ens18 -e RRTYPE=AAAA -e API_KEY=xxx -e ZONE=example.com -e SUBDOMAIN=nas-ipv6 --network host oznu/cloudflare-ddns

警告就不建议放重要数据，放一些无关痛痒的没问题。

当前值、最差值、临界值这三个数值都是硬盘厂家通过特定算法生成的数字，数字没有直接意义。一般看重点项目的当前值（最差值）和临界值之的差值，比如 01 读取错误率、04 启停次数、05 重新分配扇区数等项目，当前值和临界值差值越大越好。

运行一段时间持续监控，如果数值没变化说明稳定，放心用，如果持续恶化则准备报废心理。

为了缓解实体锁屏按键频繁使用造成磨损，我就用 greenify 实现锁屏，把屏幕底部 2 个边缘的上滑操作替换成 hibernate ，废掉原生 android 唤起智能助手。

滑动屏幕也比侧边找按钮再用力按更容易。

@ily433664

跟其他 app 比起来，拼夕夕那次是真的过分，利用 android 漏洞搜集信息、追踪用户、保活、不让卸载、操控用户手机，这种行为可以列入非法入侵计算机系统罪，在强大的公关后没被追责，且一些自媒体报道这事还被威胁恐吓删贴。

拼多多旗下的跨境电商平台 Temu 就不敢这么玩，在国外很老实。

网友评价：拼多多凭实力扭转我对它山寨便宜的印象，用深不可测的舆论管控能力，刷新我对它实力上限和道德下限的认知。

pdd 打响国际知名度
/t/929485

@Pandroid

其实有，从那以后 google 提示拼夕夕 app 是恶意软件我就卸了，现在只在微信小程序用。

@ixxdanny 这是微信垃圾，同理很多国产 app 都是这幅德行，除了相机这个系统自带应用耗资源其他大厂 app 分为国产、国外，主流国外 app 会比国产 app 流畅很多，也能保活，体验完全不一样，美队（克里斯埃文斯）去年 6 月才把他的 iphone6s 换了，在他们所处的环境用起来没这么多负担，也没有三五秒 app 开屏广告让人心累。

大陆无法访问 chatgpt 接口，同理反代 openai 可以这样：

addEventListener(
"fetch", event => {
const url = new URL(event.request.url);
url.protocol = "https";
url.hostname = "api.openai.com";
url.port = '443';
const request = new Request(url, event.request);
event.respondWith(fetch(request));
}
)

上面代码有问题，要改成这样才能支持 websocket 反代：

addEventListener(
"fetch", event => {
const url = new URL(event.request.url);
url.protocol = "https";
url.hostname = "ipv6.example.com";
url.port = '8443';
const request = new Request(url, event.request);
event.respondWith(fetch(request));
}
)

@goodryb 是的改端口没啥用，关键是要缩小暴露范围，frp + stcp 或 vpn 都是这个目的。

这样还有个好处，家宽没公网 ipv4 又想映射服务出去就只能考虑 ipv6 + 非标端口 443 ，比如 8443 、2053 、2083 ，访问时就得带上端口号，worker 反代正好隐藏端口号，还能提升安全性。

还有一种方案，用 cloudflare worker 反代

1 、创建一个 worker ，把域名改成自己的

https://i.imgur.com/3FlXPYV.png



2 、添加一条路由

https://i.imgur.com/NW3rNSj.png


3 、设置 subdomain.example.com 域名代理

https://imgur.com/a/WisnzQP


访问 https://subdomain.example.com 就会经过 worker 处理，worker 反代去 https://ipv6.example.com:8443 拉取数据，ipv6.example.com 就是只有 ipv6 网络的服务。

我中过勒索病毒，我有发言权[doge]

1 、首先 rdp 需要帐号密码一起登录，帐号别用 Administrator ，用这个相当于破解成功了一半，用自定义名称加大难度。

2 、抵御暴力破解，linux 下有个工具叫 fail2ban 可以很方便防御暴力破解，windows 也有类似的： https://github.com/DigitalRuby/IPBan ，但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽，如果是内网穿透暴露到公网则无效，所以 IPBan 只能用在公网 ip 端口转发场景下（既然都端口转发了顺便把入站端口改成高位端口，别用默认 3389 ），而内网穿透可以做到更安全，比如 frp 的 tcp 模式是穿透到互联网完全暴露，stcp 模式只穿透到公网上的某个局域网，安全很多很多。

比较这 3 种方案，frp + tcp 安全性最差，公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解，frp + stcp 不会，在需要访问的本机启动 visitor 客户端，则只有自己能访问远程 rdp ，安全性很接近 vpn ，不管本机是 linux 还是 windows 都可以设置 visitor 开机自启，用起来很方便，linux 用 docker ，windows 用 winsw 写入服务。

3 、验证效果，打开 windows 事件查看器，搜索 4625 可以看到被暴力破解次数，过去 7 天 32897 次：

https://i.imgur.com/xpq42vR.png


4 、最安全还是 vpn ，暴露的攻击面小很多，比如 wireguard 只暴露一个 udp 端口，即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ，不过传输带宽依赖于 vps ，实测 1M 也可以 rdp 。

我发现也有弊端，vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈，这是我所不希望的。



总结起来，frp + stcp 和 vpn 这 2 种方案不会被暴力破解，4625 失败登录次数会是 0 。

@ccctttwww

我是昨天在 web 端白嫖 4.0 版本，发起一个 4.0 会话，手机在历史记录中继续使用这个会话聊天，就多了一个语音通话按钮，现在漏洞封堵回退 3.5 版本语音按钮还在，可以继续使用。

我现在还能用 android 语音，不过版本是 3.5

https://i.imgur.com/9WcDKNJ.png

https://i.imgur.com/4NiTe0H.png

@nikola11

oracle vps + cloudflare warp

https://github.com/P3TERX/warp.sh