@wheat0r v6 确实没 nat ，但有时候 ts 就是不能用 v6 直连，即使 v6 可用也不行。现实网络环境太复杂了。

借楼问下 5 楼的截（绘）图工具，在 macOS 有相似的吗？

抽：卷

@adoal 是 squashfs 。现在考虑的是直接新建一个大一点的分区给系统用，然后将 overlay 指向这个大一点的分区。剩下的空间作为数据分区。这应该是比较友好的，不会影响到系统。

@tool2dx 什么插件导致内存泄露，还记得吗？

@churchmice
@shyrock

破案了：

$ df -T /var
Filesystem Type 1K-blocks Used Available Use% Mounted on
tmpfs tmpfs 1962076 22996 1939080 1% /tmp

分母！+1

@phenixc #27 你说的这种是打洞的原理。但实际上会复杂很多，如果是 v4 ，大部分网络环境都会限制来源 ip, derp 服务器的 ip 和别的 ip 不一样，防火墙也是给过滤掉的。也就是说，中转的数据包如果是一来一回的建立了连接，这种防火墙是准许的。也就是我在 25 楼讲的 ctstate RELATED,ESTABLISHED 行为。

@zbinlin #26 能 ping 通，有 icmp 和 icmpv6 相关的防火墙配置。这是 OpenWrt 默认的。

@FaiChou #24 数据包是这样走的，数据包来到网口 1 后，经过 forward 链，然后第一条是自建的`forwarding_rule`（我也不知道谁建的这条 rule ），这个 rule 表示，如果是从 `pppoe` 开头的网口，那么数据包会 RETURN ，RETURN 代表向下一条规则过滤，也就是走到 ACCEPT 这一条，这一条后面是 `ctstate RELATED,ESTABLISHED`，代表如果是出站过的流量，那么返回的响应是正常接收的。

然后就是下面这些 OpenWrt 自定义的规则了。能够看到数据包也小，数据量都是在 forwarding_rule 上，估计使用 tailscale 连接是被这条链捕获记录。

@zbinlin 我现在更倾向于我这 OpenWrt 的问题，昨天防火墙的 FORWARD 默认是 DROP ，经过开一个 server 测试，确实是这样的。但是 tailscale 能用 v6 直连。但今天再测，就不能用 v6 直连了，而且我现在把 FORWARD 规则改成默认 ACCEPT 也不行。

由于是办公室的网络环境，不太方便 flush 掉所有规则做测试，具体是这样的:


$ ip6tables -L FORWARD -vn
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
257K 161M forwarding_rule all * * ::/0 ::/0 /* !fw3: Custom forwarding rule chain */
226K 153M ACCEPT all * * ::/0 ::/0 ctstate RELATED,ESTABLISHED /* !fw3 */
16675 2716K zone_lan_forward all br-lan * ::/0 ::/0 /* !fw3 */
14322 5367K zone_wan_forward all pppoe-ppp * ::/0 ::/0 /* !fw3 */
0 0 zone_docker_forward all docker0 * ::/0 ::/0 /* !fw3 */
0 0 zone_ipsecserver_forward all ipsec0 * ::/0 ::/0 /* !fw3 */
0 0 reject all * * ::/0 ::/0 /* !fw3 */

# root @ OpenWrt in ~ [20:32:49]
$ iptables -L forwarding_rule -v -n
Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source destination
1314K 1142M RETURN all -- pppoe+ * 0.0.0.0/0 0.0.0.0/0
886K 333M RETURN all -- * pppoe+ 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ppp+ * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
0 0 ACCEPT all -- * ppp+ 0.0.0.0/0 0.0.0.0/0 ctstate NEW

@lovelylain 对的，不管是 v4 还是 v6 ，防火墙默认是有 "iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT"这样一条的。从内部发出去的包，如果收到响应，默认是接收的。

@COW #20 可能网络拓扑结构我没讲清楚。发送给 B 电脑的数据包，先是到达 B 的上级 OpenWrt ，OpenWrt 有两个网口，一个公网，一个内网，数据包先到达公网，然后转发给内网。对于 OpenWrt 来讲，什么虚拟网卡都不知道，数据包不是发给 OpenWrt 自己的，就不会再一层层解包处理，会根据路由表转发给内网，数据到达 B 电脑后，才会将数据转发到虚拟网卡来处理。

@Ipsum v4 v6 默认都 drop 。

@COW 加密知识数据包内容而已，但对于 tcpip 模型来讲，数据包肯定有目标地址和端口的。要不然互联网上数据包怎么一级级转发。

@Ipsum op 后面接了个路由器，路由器开的 AP （有线中继），只起到 Wi-Fi 作用。

@dalaoshu25 wan 口转发到其他网口默认 drop 。

@peacelove
@tangping

啊 确实，竟然还有 10w 限额这一限制。是我之前转账刚好 9 万，剩下刚好 1 万，所以误以为是 1 万单日限额呢。🤡竟然是我。

帖子下沉了。