大侠你好：遇到这个问题，麻烦帮我解决，谢谢了！

[lmhdrive]

原来我经常使用SS-TPROXY没啥问题，最近虚拟机升级了Debian12，我安装完成后启动总是显示ipset第二个强制参数问题，麻烦看看怎么解决，非常感谢！！！
root@lmh3-1:~# ss-tproxy restart
mode: chnroute
proxy/tcp: [running]
proxy/udp: [running]
dnsmasq: [stopped]
chinadns: [stopped]

ipset v7.17: Missing second mandatory argument to command add
Try `ipset help' for more information.

只有chnroute模式才显示，gfwlist模式不显示，但软件都不工作。
root@lmh3-1:~# ss-tproxy restart
mode: gfwlist
proxy/tcp: [running]
proxy/udp: [running]
dnsmasq: [stopped]
chinadns: [stopped]

mode: gfwlist
proxy/tcp: [running]
proxy/udp: [running]
dnsmasq: [running]
chinadns: [running]

[lmhdrive]

root@lmh3-1:~# netstat -tunlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:2023 0.0.0.0:* LISTEN 646/sshd: /usr/sbin
tcp 0 0 0.0.0.0:188 0.0.0.0:* LISTEN 696/v2ray
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 672/dnsmasq
tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 2889/dnsmasq
udp 0 0 0.0.0.0:59881 0.0.0.0:* 672/dnsmasq
udp 168960 0 0.0.0.0:53 0.0.0.0:* 672/dnsmasq
udp 0 0 0.0.0.0:54 0.0.0.0:* 2889/dnsmasq
udp 0 0 0.0.0.0:188 0.0.0.0:* 696/v2ray
udp 0 0 0.0.0.0:52932 0.0.0.0:* 672/dnsmasq
udp 0 0 127.0.0.1:65353 0.0.0.0:* 2883/chinadns-ng
udp 0 0 0.0.0.0:42861 0.0.0.0:* 672/dnsmasq
udp 0 0 0.0.0.0:45465 0.0.0.0:* 672/dnsmasq
udp 0 0 0.0.0.0:51104 0.0.0.0:* 672/dnsmasq

[zfl9]

执行 ss-tproxy restart -x，把输出发出来，看下是哪条命令出错。

[lmhdrive]

在附件中，麻烦您了，帮我看看！
debug.txt

[lmhdrive]

我的防火墙规则：
ufw rule.txt

[zfl9]

把 ignlist.ext、chnroute6.txt、ss-tproxy.conf 发出来，看下，感觉是哪个文件格式有问题。

[zfl9]

我大约感觉到是哪里的问题，把 dns_direct6_white 改为 false，而不是留空。

---

如果 dns_direct6、dns_remote6 不填东西（不是很建议这么做）
那么对应的 dns_direct6_white、dns_remote6_black 要填 false

不然脚本会报错（后续可能会兼容下，但现在必须这样做）。

[lmhdrive]

收到，我试试，谢谢了。

[lmhdrive]

修改完后还是不行，网关和DNS设置成SS-TPROXY地址无法上网提示，解析失败。网关和DNS分开写，网关写SS-TPROXY地址，DNS写DNS地址，就是分开配置，可以上国内网，外－网不行（外部节－点没问题），估计分流有问题，麻烦您帮看看。
ignlist-ext.txt
ss-tproxy-restart-x.txt
ss-tproxy-conf.txt
v2-config.json
v2ray-status.txt
netstat -tunlp.txt

[zfl9]

你DNS有问题吧，我看直连和远程都是同一个dns服务器。

执行ss-tproxy restart还有报错没。

[lmhdrive]

没有报错了。我看下DNS

[lmhdrive]

我用的PI-HOLE内网地址10.8.1.8就都改成这个了，不知道怎么写DNS配置。远程DNS修改了也不行，显示“域名解析错误”

[zfl9]

你这个 10.8.1.8#53 可以保证拿到无污染ip的吗？
我看你国内dns和可信dns都是这个。

如果是，那么把 ss-tproxy.conf 的 dns_remote_black='true' 改为 'false'

[zfl9]

默认的就是这个，没改 dns_remote_black='false' dns_remote6_black='false'

但我看你的 ss-tproxy.conf 不是这样，dns_remote_black='true' 你配置的是这样。

[lmhdrive]

不好意思，看错了，改过来了，还是那样。

[lmhdrive]

我的PI-HOLE出口DNS就是本地国内DNS

[zfl9]

那你这个dns不能这样配，改为这样。

dns_direct='10.8.1.8#53'
dns_direct_white='true'

dns_remote='8.8.8.8#53'
dns_remote_black='true'

[lmhdrive]

root@lmh3-1:~# ss-tproxy show-iptables
==> iptables-mangle <==
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N SSTP_OUTPUT
-N SSTP_PREROUTING
-N SSTP_RULE
-A PREROUTING -j SSTP_PREROUTING
-A OUTPUT -j SSTP_OUTPUT
-A SSTP_OUTPUT -m addrtype --dst-type LOCAL -j RETURN
-A SSTP_OUTPUT -m conntrack --ctdir REPLY -j RETURN
-A SSTP_OUTPUT -m owner --gid-owner 13 -j RETURN
-A SSTP_OUTPUT -p udp -m udp --dport 53 -m owner ! --gid-owner 1001 -j RETURN
-A SSTP_OUTPUT -p udp -m conntrack --ctstate NEW,RELATED -j SSTP_RULE
-A SSTP_OUTPUT -m connmark --mark 0x2333 -j MARK --set-xmark 0x2333/0xffffffff
-A SSTP_PREROUTING -m addrtype --dst-type LOCAL -j RETURN
-A SSTP_PREROUTING -m conntrack --ctdir REPLY -j RETURN
-A SSTP_PREROUTING -p udp -m udp ! --dport 53 -m conntrack --ctstate NEW,RELATED -m addrtype ! --src-type LOCAL -j SSTP_RULE
-A SSTP_PREROUTING -p udp -m connmark --mark 0x2333 -j TPROXY --on-port 188 --on-ip 127.0.0.1 --tproxy-mark 0x2333/0xffffffff
-A SSTP_RULE -m set --match-set sstp_white dst -m set ! --match-set sstp_black dst -j RETURN
-A SSTP_RULE -j CONNMARK --set-xmark 0x2333/0xffffffff

==> iptables-nat <==
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N SSTP_OUTPUT
-N SSTP_POSTROUTING
-N SSTP_PREROUTING
-N SSTP_RULE
-A PREROUTING -j SSTP_PREROUTING
-A OUTPUT -j SSTP_OUTPUT
-A POSTROUTING -j SSTP_POSTROUTING
-A SSTP_OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m addrtype ! --dst-type LOCAL -m owner ! --gid-owner 13 -j SSTP_RULE
-A SSTP_OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -m owner ! --gid-owner 13 -m owner ! --gid-owner 1001 -j REDIRECT --to-ports 53
-A SSTP_POSTROUTING ! -s 127.0.0.1/32 -d 127.0.0.1/32 -j SNAT --to-source 127.0.0.1
-A SSTP_PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m addrtype ! --src-type LOCAL ! --dst-type LOCAL -j SSTP_RULE
-A SSTP_PREROUTING -p udp -m udp --dport 53 -m conntrack --ctstate NEW -m addrtype ! --src-type LOCAL -j REDIRECT --to-ports 53
-A SSTP_RULE -m set --match-set sstp_white dst -m set ! --match-set sstp_black dst -j RETURN
-A SSTP_RULE -p tcp -j DNAT --to-destination 127.0.0.1:188
root@lmh3-1:~#

[zfl9]

检查v2ray配置（对比readme），打开相关log（v2ray的、dns的），先自己排查下。

[zfl9]

你这个大概率和iptables规则无关，dns解析问题。

[lmhdrive]

v2没问题吧。我再看看。
root@lmh3-1:~# systemctl status v2ray
● v2ray.service - V2Ray Service
Loaded: loaded (/etc/systemd/system/v2ray.service; enabled; preset: enabled)
Active: active (running) since Wed 2023-10-11 21:52:58 EDT; 2h 20min ago
Main PID: 725 (v2ray)
Tasks: 8 (limit: 1095)
Memory: 29.5M
CPU: 272ms
CGroup: /system.slice/v2ray.service
└─725 /usr/local/bin/v2ray -config /etc/v2ray/config.json

Oct 11 21:52:58 lmh3-1 systemd[1]: Started v2ray.service - V2Ray Service.
Oct 11 21:52:58 lmh3-1 v2ray[725]: V2Ray 4.45.2 (V2Fly, a community-driven edition of V2Ray.) Custom (go1.18.3 linux/amd64)
Oct 11 21:52:58 lmh3-1 v2ray[725]: A unified platform for anti-censorship.
Oct 11 21:52:58 lmh3-1 v2ray[725]: 2023/10/11 21:52:58 [Info] main/jsonem: Reading config: /etc/v2ray/config.json
Oct 11 21:52:58 lmh3-1 v2ray[725]: 2023/10/11 21:52:58 [Warning] V2Ray 4.45.2 started

[zfl9]

看日志。。。看这些状态没啥用

[zfl9]

你打开 v2ray 的 debug 日志，然后访问下国外网站（比如google.com），然后看下v2日志（或者发出来）。

[zfl9]

dnsmasq 和 chinadns-ng 的 verbose 日志也打开（ss-tproxy.conf 里面）

[zfl9]

readme中，关于v2ray配置那段，有写。。

[zfl9]

我突然想到一个问题，你v2ray没有以 proxy 组身份来运行吧。估计这里死循环了。

过一遍 readme，ss-tproxy 新版有很多地方改了。

[lmhdrive]

chinadns.log
command.txt
dnsmasq.log

[lmhdrive]

PING BAIDU都PING不通，只能SS-TPROXY STOP才能PING通
root@lmh3-1:# ping www.baidu.com
^C
root@lmh3-1:# ss-tproxy stop
mode: chnroute
proxy/tcp: [running]
proxy/udp: [running]
dnsmasq: [stopped]
chinadns: [stopped]
root@lmh3-1:~# ping www.baidu.com
PING www.a.shifen.com (110.242.68.4) 56(84) bytes of data.
64 bytes from 110.242.68.4 (110.242.68.4): icmp_seq=1 ttl=54 time=10.4 ms
64 bytes from 110.242.68.4 (110.242.68.4): icmp_seq=2 ttl=54 time=9.33 ms
^C
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1031ms
rtt min/avg/max/mdev = 9.326/9.845/10.364/0.519 ms

[lmhdrive]

SS-TPROXY打开以后PING/DIG/CURL都不通，关闭以后就可以了。
root@lmh3-1:# ss-tproxy start
mode: chnroute
proxy/tcp: [running]
proxy/udp: [running]
dnsmasq: [running]
chinadns: [running]
root@lmh3-1:# curl www.baidu.com
curl: (6) Could not resolve host: www.baidu.com
root@lmh3-1:# dig www.baidu.com
;; communications error to 10.8.1.8#53: timed out
;; communications error to 10.8.1.8#53: timed out
^Croot@lmh3-1:# ss-tproxy stop
mode: chnroute
proxy/tcp: [running]
proxy/udp: [running]
dnsmasq: [stopped]
chinadns: [stopped]
root@lmh3-1:~# dig www.baidu.com

; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> www.baidu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61996
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.baidu.com. IN A

;; ANSWER SECTION:
www.baidu.com. 1127 IN CNAME www.a.shifen.com.
www.a.shifen.com. 76 IN A 110.242.68.3
www.a.shifen.com. 76 IN A 110.242.68.4

[zfl9]

我的意思是 v2rayA，是一个 web UI，类似 ss-tproxy，但是 GUI 操作。

[lmhdrive]

我是用debian v2ray 转到另一个虚拟机WINDOWS 的 V2RAYN界面操作。用SOCKS5转

[lmhdrive]

v2rayA没用过，学习学习。

[zfl9]

我必须承认，使用 ss-tproxy 需要一些基础，特别是调试问题、查看日志的能力。

建议老哥您看看 v2rayA，这个上手快一些，毕竟是 web、gui 操作。

我看 v2rayA 主页，也是可以全局透明代理的，我认为很适合你。

[lmhdrive]

OK，谢谢了。

[lmhdrive]

还是先用我的SSTap吧，V2rayA我再学学，懒得弄了。没时间。

[zfl9]

嗯，祝你好运，以后有时间再折腾吧。

[zfl9]

readme 添加了 systemctl 方式的一些说明和相关操作。

[zfl9]

我是用debian v2ray 转到另一个虚拟机WINDOWS 的 V2RAYN界面操作。用SOCKS5转

如果是你说的这种使用情形，我觉得可以试下 用 ipt2socks 来对接另一台 win 上的 v2rayn 的 socks5 入口

这比使用 v2ray 这种重量级选手 会简单许多。

---

ipt2socks 直接纯命令行启动，ss-tproxy.conf 的 proxy_startcmd 配置为：

set_proxy_group ipt2socks && (ipt2socks -s socks5的ip -p socks5端口 </dev/null &>/var/log/ipt2socks.log &)。

[lmhdrive]

好的，谢谢了，我回头试试。在外边，这边连上Github都得翻

[lmhdrive]

我是用debian v2ray 转到另一个虚拟机WINDOWS 的 V2RAYN界面操作。用SOCKS5转

如果是你说的这种使用情形，我觉得可以试下 用 ipt2socks 来对接另一台 win 上的 v2rayn 的 socks5 入口

这比使用 v2ray 这种重量级选手 会简单许多。

ipt2socks 直接纯命令行启动，ss-tproxy.conf 的 proxy_startcmd 配置为：

set_proxy_group ipt2socks && (ipt2socks -s socks5的ip -p socks5端口 </dev/null &>/var/log/ipt2socks.log &)。

我就是用SS-TPROXY 主机中的V2RAY 的OUTBOUNDS转WIN那台机器的SOCKS5口，还可以加密码。这样主机安全一些。

[lmhdrive]

我是用debian v2ray 转到另一个虚拟机WINDOWS 的 V2RAYN界面操作。用SOCKS5转

如果是你说的这种使用情形，我觉得可以试下 用 ipt2socks 来对接另一台 win 上的 v2rayn 的 socks5 入口

这比使用 v2ray 这种重量级选手 会简单许多。

ipt2socks 直接纯命令行启动，ss-tproxy.conf 的 proxy_startcmd 配置为：

set_proxy_group ipt2socks && (ipt2socks -s socks5的ip -p socks5端口 </dev/null &>/var/log/ipt2socks.log &)。

这个能加用户名和密码吗？

[zfl9]

可以

$ ipt2socks --help
usage: ipt2socks <options...>. the existing options are as follows:
 -s, --server-addr <addr>           socks5 server ip, default: 127.0.0.1
 -p, --server-port <port>           socks5 server port, default: 1080
 -a, --auth-username <user>         username for socks5 authentication
 -k, --auth-password <passwd>       password for socks5 authentication

[lmhdrive]

感谢大佬！在你的耐心指导下我终于重新搞定了SS-TPROXY，尤其是V2的Service文件，没你帮忙我搞不定！昨天没搞定是我的原因，不是软件的问题，是我GIT的早期的文件，为了避免翻再下载我图省事儿给忘了，今天重新GIT最新文件一次安装就成功了。
不过有个小问题就是安装完成重启后dnsmasq和chinadns-ng是停止状态，把这个systemctl enable ss-tproxy加上重启就正常了。目前，gfwlist和chnroute都能用了。等回家到内网环境再试一下。
安装完后开机就这样

root@lmh3-1:~# ss-tproxy status
mode:           chnroute
proxy/tcp:      [running]
proxy/udp:      [running]
dnsmasq:        [stopped]
chinadns:       [stopped]
重启动正常
root@lmh3-1:~# ss-tproxy restart
mode:           chnroute
proxy/tcp:      [stopped]
proxy/udp:      [stopped]
dnsmasq:        [stopped]
chinadns:       [stopped]

mode:           chnroute
proxy/tcp:      [running]
proxy/udp:      [running]
dnsmasq:        [running]
chinadns:       [running]
root@lmh3-1:~# curl google.com
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 Moved</TITLE></HEAD><BODY>
<H1>301 Moved</H1>
The document has moved
<A HREF="http://www.google.com/">here</A>.
</BODY></HTML>

加开机重启就可以了。
root@lmh3-1:~# systemctl enable ss-tproxy
Created symlink /etc/systemd/system/multi-user.target.wants/ss-tproxy.service → /etc/systemd/system/ss-tproxy.service.
root@lmh3-1:~#
root@lmh3-1:~# ss-tproxy status
mode:           chnroute
proxy/tcp:      [running]
proxy/udp:      [running]
dnsmasq:        [running]
chinadns:       [running]

mode:           gfwlist
proxy/tcp:      [running]
proxy/udp:      [running]
dnsmasq:        [running]
chinadns:       [running]
root@lmh3-1:~# curl google.com
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 Moved</TITLE></HEAD><BODY>
<H1>301 Moved</H1>
The document has moved
<A HREF="http://www.google.com/">here</A>.
</BODY></HTML>

[lmhdrive]

其实我还是挺喜欢这个SS-TPROXY它短小精悍，没一点儿多余的东西，搭配V2强大的功能非常合适。不像很多软件体积非常大，功能也就那样，不知道里面塞的啥东西，这个用起来安全透明。回头我再试试你说的 ipt2socks搭V2rayN.

[zfl9]

其实我还是挺喜欢这个SS-TPROXY它短小精悍，没一点儿多余的东西，搭配V2强大的功能非常合适。不像很多软件体积非常大，功能也就那样，不知道里面塞的啥东西，这个用起来安全透明。回头我再试试你说的 ipt2socks搭V2rayN.

搞定了就好，搞定了其实也没必要折腾 ipt2socks 了。之前和你说试试 ipt2socks 是看你 v2ray 一直没搞定。。

[zfl9]

不过有个小问题就是安装完成重启后dnsmasq和chinadns-ng是停止状态，把这个systemctl enable ss-tproxy加上重启就正常了

应该是之前的 ss-tproxy.service 文件是老的吧，v4.7.6 改了一些 service 文件的内容。重新安装 ss-tproxy.service 文件，然后 systemctl daemon-reload && systemctl enable ss-tproxy，应该就可以了。

[lmhdrive]

大侠你好，我回家试了一下SS-TPROXY，还有个UFW防火墙的问题，就是防火墙开启后不能使用，客户端机器打不开网页。防火墙关闭就一切正常。
按这个方法试了下也不行。

打开/etc/ufw/before.rules，在-A ufw-before-input -j ufw-not-local这行下面加入以下内容：
# if TPROXY, RETURN
-A ufw-not-local -m mark --mark 0x2333 -j RETURN
如果 fwmark 不是 0x2333，请修改为对应的 fwmark。

下面的命令运行都正常，麻烦再帮忙看看！

root@lmh3-1:~# curl www.baidu.com
!DOCTYPE html>
<!--STATUS OK--><

root@lmh3-1:~# curl google.com
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 Moved</TITLE></HEAD><BODY>
<H1>301 Moved</H1>
The document has moved
<A HREF="http://www.google.com/">here</A>.
</BODY></HTML>
root@lmh3-1:~#

root@lmh3-1:~# netstat -tunlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      682/dnsmasq
tcp        0      0 0.0.0.0:60053           0.0.0.0:*               LISTEN      834/dnsmasq
tcp        0      0 0.0.0.0:7667            0.0.0.0:*               LISTEN      762/v2ray
tcp        0      0 0.0.0.0:2023            0.0.0.0:*               LISTEN      647/sshd: /usr/sbin
tcp        0      0 127.0.0.1:188           0.0.0.0:*               LISTEN      762/v2ray
udp        0      0 0.0.0.0:52351           0.0.0.0:*                           762/v2ray
udp        0      0 0.0.0.0:60053           0.0.0.0:*                           834/dnsmasq
udp        0      0 0.0.0.0:58006           0.0.0.0:*                           762/v2ray
udp        0      0 0.0.0.0:50842           0.0.0.0:*                           820/chinadns-ng
udp        0      0 127.0.0.1:188           0.0.0.0:*                           762/v2ray
udp        0      0 127.0.0.1:65353         0.0.0.0:*                           820/chinadns-ng
udp        0      0 0.0.0.0:53              0.0.0.0:*                           682/dnsmasq
root@lmh3-1:~#

root@lmh3-1:~# ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 53,2023,60053,65353,65354/tcp DENY IN     10.8.1.20
[ 2] 53,2023,60053,65353,65354/udp DENY IN     10.8.1.20
[ 3] 53,2023,60053,65353,65354/tcp DENY IN     10.8.1.77
[ 4] 53,2023,60053,65353,65354/udp DENY IN     10.8.1.77
[ 5] 53,2023,60053,65353,65354/tcp ALLOW IN    10.8.1.0/24
[ 6] 53,2023,60053,65353,65354/udp ALLOW IN    10.8.1.0/24
[ 7] 53/udp on enp1s0           ALLOW IN    10.8.1.0/24
root@lmh3-1:~#

[zfl9]

ufw 不熟，但是看了下 wiki，ufw 好像是基于 iptables 的。

你把【ufw 打开】和【ufw 关闭】的 iptables 规则对比发出来。

查看 iptables 规则：

echo "========== mangle ==========="
iptables -t mangle -S

echo "========== nat ==========="
iptables -t nat -S

echo "========== filter ==========="
iptables -t filter -S

[lmhdrive]

好的，麻烦您帮看看。我是一知半解，看不太懂。
start ufw.txt
stop ufw.txt

[lmhdrive]

我用Beyond Compare比较了一下，还是有些差异的。

[lmhdrive]

是不是开启防火墙 ，这几个有问题？

-P INPUT DROP
-P FORWARD DROP

-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT

[lmhdrive]

把这两条加上就行了,其它的都不影响。这是不和一般的家庭网关一样的配置吗
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

[lmhdrive]

解决了，麻烦你了！

[zfl9]

@lmhdrive

有试过只加 iptables -P FORWARD ACCEPT 这一条吗？

还是必须要 INPUT 那条？

另外，-A ufw-not-local -m mark --mark 0x2333 -j RETURN 这条是否还需要？

准备在 wiki 常见问题中标注下（如果实在搞不定的话，个人建议关闭ufw，同时使用多个防火墙并不是最佳实践）

[lmhdrive]

@lmhdrive

有试过只加 iptables -P FORWARD ACCEPT 这一条吗？

还是必须要 INPUT 那条？

另外，-A ufw-not-local -m mark --mark 0x2333 -j RETURN 这条是否还需要？

准备在 wiki 常见问题中标注下（如果实在搞不定的话，个人建议关闭ufw，同时使用多个防火墙并不是最佳实践）

试过了，只加 iptables -P FORWARD ACCEPT 这一条,国内的网站可以打开，国外的谷歌什么的打不开，必须加INPUT。因为iptables 不保存为文件的话命令重启机器会失效，我用UFW命令，
ufw default allow incoming 或者
ufw allow from 内网地址/24
ufw default allow FORWARD
对应上面两条iptables 命令，也可以编辑UFW配置文件：
nano /etc/default/ufw
DEFAULT_INPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="ACCEPT"
编辑完后需要重启动UFW，systemctl restart ufw
另外的这条，-A ufw-not-local -m mark --mark 0x2333 -j RETURN 加不加没用，我试过了，加上也不行，不加用上面那两条命令也没影响。我的是Debian12,别的没试过。

[lmhdrive]

有防火墙总觉得安全一点儿，否则虚拟机很容易被黑，我以前的就是。nftables最好但不太会用，只能用UFW凑合了。