tavimori 最近的时间轴更新 tavimori 最近的时间轴更新 |
tavimoriV2EX 第 148848 号会员,加入于 2015-11-27 10:02:29 +08:00今日活跃度排名 12515 |
tavimori 最近回复了
29 天前 回复了 cwcc 创建的主题 › 宽带症候群 › 如何让两台设备在不同的局域网内互相寻找到对方 |
如果并不是同一个二层网络,只是三层互通(即设备之间需要经过路由器)的话,相互发现没有什么好的办法。如果使用常见的点对点协议通常需要内网部署一台 STUN 服务器。最直接的办法就是查看其中一台设备的 IP 然后直接连接了。
48 天前 回复了 bestcondition 创建的主题 › 程序员 › 正向与反向代理如何保证 https 是安全的? |
常见的正向代理协议,包含 HTTP 代理和 SOCKS5 代理,根据相应的 RFC 标准,在代理 HTTPS 流量的时候,其实是作为 TCP 传输层代理使用的。
相关的 RFC:
SOCKS5: RFC1928
相关的 RFC:
SOCKS5: RFC1928
59 天前 回复了 Chenhe 创建的主题 › 信息安全 › 请教下 yubikey 原理 |
的确是 yubikey 自己算的。
实际上现代的大部分包括银行卡、公交卡在内的智能卡都是自己计算加密的。
实际上现代的大部分包括银行卡、公交卡在内的智能卡都是自己计算加密的。
108 天前 回复了 tavimori 创建的主题 › 宽带症候群 › 利用包括 WebRTC 在内的技术,是否可以在网页里直接检测本地的 NAT 环境? |
@haah 能否具体讲解下?我也是刚刚了解这个领域。
108 天前 回复了 tavimori 创建的主题 › 宽带症候群 › 利用包括 WebRTC 在内的技术,是否可以在网页里直接检测本地的 NAT 环境? |
110 天前 回复了 tavimori 创建的主题 › 宽带症候群 › 利用包括 WebRTC 在内的技术,是否可以在网页里直接检测本地的 NAT 环境? |
找到一个有相关的介绍,但是实现的非常初步的网站: https://webrtchacks.com/symmetric-nat/
网站给的 DEMO 在: https://jsfiddle.net/5ftsd5c2/17/
但是看起来没有配相应的后端服务。
感觉这类功能还是挺实用的,要是有一个用于 debug 还是不错的。
网站给的 DEMO 在: https://jsfiddle.net/5ftsd5c2/17/
但是看起来没有配相应的后端服务。
感觉这类功能还是挺实用的,要是有一个用于 debug 还是不错的。
112 天前 回复了 0o0O0o0O0o 创建的主题 › Linux › Wireguard 与端口转发 |
@0o0O0o0O0o
建议在客户端配置基于源地址的策略路由。即源地址为 10.0.0.2/32 的走 wg ,源地址为其他地址 ip 的走系统原来的默认路由。
(以下假设 linux )例如在客户端的[Interface]下增加以下内容:
PostUp = ip route add default dev %i table 10086 src 10.0.0.2
PostUp = ip rule add from 10.0.0.2 table 10086
PreDown = ip rule delete from 10.0.0.2 table 10086
PreDown = ip route delete default dev %i table 10086 src 10.0.0.2
建议在客户端配置基于源地址的策略路由。即源地址为 10.0.0.2/32 的走 wg ,源地址为其他地址 ip 的走系统原来的默认路由。
(以下假设 linux )例如在客户端的[Interface]下增加以下内容:
PostUp = ip route add default dev %i table 10086 src 10.0.0.2
PostUp = ip rule add from 10.0.0.2 table 10086
PreDown = ip rule delete from 10.0.0.2 table 10086
PreDown = ip route delete default dev %i table 10086 src 10.0.0.2
112 天前 回复了 0o0O0o0O0o 创建的主题 › Linux › Wireguard 与端口转发 |
@0o0O0o0O0o
如果客户端收到的 TCP 请求是来自源 IP (我理解你说的源 IP 应该是 1.2.3.4 ?)的话,那么就必须确保客户端将发回该源 IP 的数据包路由经过 wireguard 。如果你想避免将 wireguard 配置成默认路由( Table = off ),那么就必须针对性的添加路由。
(以下假设 linux )例如在客户端的[Interface]下增加以下内容
PostUp = ip route add 1.2.3.4/32 dev %i
PreDown = ip route delete 1.2.3.4/32 dev %i
如果客户端收到的 TCP 请求是来自源 IP (我理解你说的源 IP 应该是 1.2.3.4 ?)的话,那么就必须确保客户端将发回该源 IP 的数据包路由经过 wireguard 。如果你想避免将 wireguard 配置成默认路由( Table = off ),那么就必须针对性的添加路由。
(以下假设 linux )例如在客户端的[Interface]下增加以下内容
PostUp = ip route add 1.2.3.4/32 dev %i
PreDown = ip route delete 1.2.3.4/32 dev %i
112 天前 回复了 0o0O0o0O0o 创建的主题 › Linux › Wireguard 与端口转发 |
如果 Table = off 的话 wg-quick 并不会自动配置回程路由,即客户端不会将目标为 10.0.0.1 的包路由通过 wireguard 传回服务器。
三种修改建议(任选其一即可):
1. 将客户端 Address 字段前缀改为 /24 即:
Address = 10.0.0.2/24
2. 在客户端增加 post up 脚本设置 10.0.0.0/24 走 wireguard 路由
3. 如果 wg 只需要支持这一个应用,在服务端使用 NAT 后,客户端 AllowedIPs 里可以去掉 0.0.0.0/0 , 并启用 Table = auto ,这样只会建立 10.0.0.0/24 的路由。
三种修改建议(任选其一即可):
1. 将客户端 Address 字段前缀改为 /24 即:
Address = 10.0.0.2/24
2. 在客户端增加 post up 脚本设置 10.0.0.0/24 走 wireguard 路由
3. 如果 wg 只需要支持这一个应用,在服务端使用 NAT 后,客户端 AllowedIPs 里可以去掉 0.0.0.0/0 , 并启用 Table = auto ,这样只会建立 10.0.0.0/24 的路由。
112 天前 回复了 0o0O0o0O0o 创建的主题 › Linux › Wireguard 与端口转发 |
把 SNAT 部分的 IP 改成 10.0.0.1 应该就可以?
```
iptables -t nat -A PREROUTING -p tcp -m tcp -d 1.2.3.4 --dport 8888 -j DNAT --to-destination 10.0.0.2:8888
iptables -t nat -A POSTROUTING -p tcp -m tcp -d 10.0.0.2 --dport 8888 -j SNAT --to-source 10.0.0.1
iptables -t nat -A PREROUTING -p udp -m udp -d 1.2.3.4 --dport 8888 -j DNAT --to-destination 10.0.0.2:8888
iptables -t nat -A POSTROUTING -p udp -m udp -d 10.0.0.2 --dport 8888 -j SNAT --to-source 10.0.0.1
```
```
iptables -t nat -A PREROUTING -p tcp -m tcp -d 1.2.3.4 --dport 8888 -j DNAT --to-destination 10.0.0.2:8888
iptables -t nat -A POSTROUTING -p tcp -m tcp -d 10.0.0.2 --dport 8888 -j SNAT --to-source 10.0.0.1
iptables -t nat -A PREROUTING -p udp -m udp -d 1.2.3.4 --dport 8888 -j DNAT --to-destination 10.0.0.2:8888
iptables -t nat -A POSTROUTING -p udp -m udp -d 10.0.0.2 --dport 8888 -j SNAT --to-source 10.0.0.1
```
Select Language