nft启动问题

[wi11iamzhao]

最新版本启动后未启用nftables，仍然在使用iptables
固件版本：immortalwrt 24.10.4（从源码编译），手动增加了luci-app-mosdns，更新了部分packages的版本并降级了gn。
使用的版本：2046a79
关联issue：#1802
问题描述：
在/luci/admin/status/nftables/iptables/中仍然能看到SS_SPEC_WAN_AC和SS_SPEC_WAN_FW，
个人认为在问题再/luci-app-ssr-plus/root/usr/bin/ssr-rules的detect_firewall()：

detect_firewall() {
	if command -v nft >/dev/null 2>&1 && \
		[ -n "$(uci get firewall.@defaults[0].syn_flood 2>/dev/null)" ] && \
		! grep -q "fw3" /etc/init.d/firewall 2>/dev/null; then
			USE_NFT=1  
			NFT="nft"
			FWI=$(uci get firewall.shadowsocksr.path 2>/dev/null) # firewall include file
	else
		USE_NFT=0
		IPT="iptables -t nat"                                 # alias of iptables
		FWI=$(uci get firewall.shadowsocksr.path 2>/dev/null) # firewall include file
	fi
}

command -v nft的输出是/usr/sbin/nft
uci get firewall.@defaults[0].syn_flood的输出是uci: Entry not found，/etc/config/firewall中的内容是：

config defaults
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'
	option flow_offloading '1'
	option flow_offloading_hw '1'
	option fullcone '1'
	option drop_invalid '1'
	option synflood_protect '1'

并不存在syn_flood

[wi11iamzhao]

经过了一些简单的尝试，发现了一些问。
如果修改/luci-app-ssr-plus/root/usr/bin/ssr-rules的detect_firewall()：

detect_firewall() {
	if command -v nft >/dev/null 2>&1 && \
		[ -n "$(uci get firewall.@defaults[0].synflood_protect 2>/dev/null)" ] && \
		! grep -q "fw3" /etc/init.d/firewall 2>/dev/null; then
			USE_NFT=1  
			NFT="nft"
			FWI=$(uci get firewall.shadowsocksr.path 2>/dev/null) # firewall include file
	else
		USE_NFT=0
		IPT="iptables -t nat"                                 # alias of iptables
		FWI=$(uci get firewall.shadowsocksr.path 2>/dev/null) # firewall include file
	fi
}

会发现启动后iptebles的相关规则消失，但是在nftables中未出现新规则，导致无法使用。
未修改detect_firewall()后编译的固件：https://drive.google.com/file/d/12qQ5Y2fxrR7H5vYDD47BdX6fxFvMul1b/view?usp=sharing
修改detect_firewall()后编译的固件：https://drive.google.com/file/d/13Q9jSVS4p_clseNxbMcIDlz_Hb3BIbGO/view?usp=sharing

[zxlhhyccc]

@wi11iamzhao 因为本人一直用的是ipt，所以修改暂时修改了detect_firewall，所以请确定一下未修改detect_firewall前在nftables中有没有出现规则？
另外syn_flood可以修复使用检测判断，这个是小事情咱不要纠结，关键是要确认规则是否生成，主要解决的是规则问题。

[wi11iamzhao]

@wi11iamzhao 因为本人一直用的是ipt，所以修改暂时修改了detect_firewall，所以请确定一下未修改detect_firewall前在nftables中有没有出现规则？ 另外syn_flood可以修复使用检测判断，这个是小事情咱不要纠结，关键是要确认规则是否生成，主要解决的是规则问题。

在修改detect_firewall()前编译的版本中只有旧的iptables规则，运行nft list table inet ss_spec结果为空，
运行 nft list table inet ss_spec的结果：

Error: No such file or directory
list table inet ss_spec
                ^^^^^^^

查看单个链或者集合也都是这个结果，/usr/share/nftables.d/ruleset-post/下也没有出现99-shadowsocksr.nft

[zxlhhyccc]

@wi11iamzhao 目前在尽量尝试修。

[zxlhhyccc]

@wi11iamzhao 已修复nft支持，见PR： #1820

[wi11iamzhao]

@wi11iamzhao 已修复nft支持，见PR： #1820

晚点试试

[wi11iamzhao]

@wi11iamzhao 已修复nft支持，见PR： #1820

在X86-64软路由上试了一下，直接编译新版本还是走了iptables，但是修改detect_firewall()之后可以看到nftables规则取代了iptables规则并且正常工作（除了【谷歌】连通性检查报错）。
参考https://openwrt.org/docs/guide-user/firewall/firewall_configuration，syn_flood似乎已经被synflood_protect替代。

[zxlhhyccc]

@wi11iamzhao 你这是什么链接？我打开没东西。

参考https://openwrt.org/docs/guide-user/firewall/firewall_configuration，syn_flood似乎已经被synflood_protect替代。

[zxlhhyccc]

但是修改detect_firewall()之后可以看到nftables规则取代了iptables规则并且正常工作（除了【谷歌】连通性检查报错）。

[wi11iamzhao]

但是修改detect_firewall()之后可以看到nftables规则取代了iptables规则并且正常工作（除了【谷歌】连通性检查报错）。

你改成什么样子的？能贴出来吗？

detect_firewall() {
	if command -v nft >/dev/null 2>&1 && \
		[ -n "$(uci get firewall.@defaults[0].synflood_protect 2>/dev/null)" ] && \
		! grep -q "fw3" /etc/init.d/firewall 2>/dev/null; then
			USE_NFT=1  
			NFT="nft"
			FWI=$(uci get firewall.shadowsocksr.path 2>/dev/null) # firewall include file
	else
		USE_NFT=0
		IPT="iptables -t nat"                                 # alias of iptables
		FWI=$(uci get firewall.shadowsocksr.path 2>/dev/null) # firewall include file
	fi
}

就是把defaults[0].syn_flood改成了synflood_protect

[wi11iamzhao]

@wi11iamzhao 你这是什么链接？我打开没东西。

参考https://openwrt.org/docs/guide-user/firewall/firewall_configuration，syn_flood似乎已经被synflood_protect替代。

没有按照markdown的格式写链接和后面的文字混一起了。原链接是：https://openwrt.org/docs/guide-user/firewall/firewall_configuration
syn_flood的Description写了Enable SYN flood protection (obsoleted by synflood_protect setting).

[zxlhhyccc]

op默认的是SYN flood

[wi11iamzhao]

op默认的是SYN flood

看了下这个问题有点蛋疼。
OpenWRT或者ImmortalWRT编译后默认是syn_flood，但是似乎只要用luci配置过防火墙就会被重写为synflood_protect，也就是说两种情况可能同时存在，取决于用户配置防火墙是通过luci还是直接改文件。
相关代码：https://github.com/openwrt/luci/blob/openwrt-24.10/applications/luci-app-firewall/htdocs/luci-static/resources/view/firewall/zones.js

[zxlhhyccc]

那就添加一个代码就行了
明天处理一下。

[zxlhhyccc]

@wi11iamzhao 有办法搞定nft的域名集合吗？打算使用geoip.dat转换提取国外ip作为gfw的集合，否则gfw不能使用。