V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
isler
V2EX  ›  问与答

添加防火墙规则后无法访问个别网站

  •  
  •   isler · 2016-09-11 21:57:23 +08:00 · 2169 次点击
    这是一个创建于 3024 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在学校里在 openwrt 用 ss+ipv6 免流,但是有些网站需要学校 IP 登陆,比如知网, IEEE , ACM 等等,所以用 ipset+iptables 让这些网站直连,其余走 ss

    但是,知网( cnki.net )在设置规则后会超时无法访问,其他几个网站都没问题

    而且,知网的个别子域名可以访问,只有主域名和下载等少数几个子域名会超时

    知网的所有域名都能 ping 通, tracert 也没问题

    尝试 telnet cnki.net 80 ,发现在路由器上可以通,但是在路由器后面连接的所有设备上都会超时,其他几个网站无此问题

    尝试过修改 MTU ,直接放行知网的 IP 段(同时在 dnsmasq 设置中取消给知网添加 set 的规则),但仍然超时,而且在访问知网时创建的 set 里能正确添加知网 IP ,所以应该和 ipset 无关

    求教如何解决这个问题

    附相关的规则:

    ipset -N ss iphash
    iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 -m set --match-set ss dst -j RETURN
    iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 -j REDIRECT --to-ports 1234

    server=/.cnki.net/8.8.4.4#53
    ipset=/.cnki.net/ss
    第 1 条附言  ·  2016-09-11 23:04:13 +08:00
    除了 ss 外,编译固件时添加的包:
    luci luci-i18n-base-zh-cn miniupnpd luci-app-upnp dnsmasq-full -dnsmasq wget curl vim luci-i18n-samba-zh-cn luci-i18n-firewall-zh-cn vsftpd openssh-sftp-server ip ipset iptables-mod-nat-extra libopenssl iptables-mod-tproxy
    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3009 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 00:10 · PVG 08:10 · LAX 16:10 · JFK 19:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.