WG 配置文件 [Interface] Address = 192.168.100.2/32 # 对应 macOS 客户段分配的 IP PrivateKey = qJHywBpl27Ao/TRse85DQ/f+kwfNGRmPDYCq0OC6uUY= DNS = 192.168.1.3 # 本地的 DNS 服务器或者公有 DNS 服务器,例如: 114.114.114.114 [Peer] PublicKey = u7vjXN90uJt7pRjG8tR7hb25ssYOi7PRzJ5h9Diy02I= AllowedIPs = 192.168.1.0/24, 192.168.100.0/24 # macOS 如上设置可与 ClashX Pro 共存仅代理局域网,互联网走本地网络. # iPhone iPad 设置为 0.0.0.0/0 全局则模式. PresharedKey = Pu5xBEBmz9ghhUMNp5o72s+w7nuLwxJJUgNk3EljFVo= # 预共享密钥 Endpoint = ddns.xxxxx.com:12345 PersistentKeepalive = 25cat sharekey N1sHXS6eq7cQlsP0ccWlpWtDW6w1q/Kq4qkUk702nKg= cat server_privatekey OO06EsmBf0WZ+6zmlU/bLKJRi2+ZcM+UaFa2RbqConw= cat server_publickey SeiBLPh1buEVu3HnnMVB5iCUqaGjTrZqeDiSKIwNLGU= cat office_privatekey iLOHs9pvlJMBYeW4HvVTVtEbO7GKavPbj6jepWltbX4= cat office_publickey HdLZLNERJ/3H0oE7QhFrrKkthMNc6BCg8cAABwXxqQw=https://www.ioiox.com/archives/143.html/comment-page-1

LXC直通核显 LXC核心显卡直通，需要使用 PVE 宿主机的命令行修改 LXC 容器的配置文件。添加核心显卡直通使用 nano 编辑容器对应的配置文件，容器ID 104对应的文件是 104.conf，路径是 /etc/pve/lxc/nano /etc/pve/lxc/104.conf打开后默认的配置如下：arch: amd64 cores: 2 hostname: frigate memory: 2048 net0: name=eth0,bridge=vmbr0,firewall=1,hwaddr=A6:43:11:F3:EE:78,ip=dhcp,type=veth ostype: ubuntu rootfs: local-lvm:vm-104-disk-0,size=8G swap: 512需要添加以下内容lxc.apparmor.profile: unconfined lxc.cgroup.devices.allow: a lxc.cap.drop: lxc.cgroup2.devices.allow: c 226:0 rwm lxc.cgroup2.devices.allow: c 226:128 rwm lxc.mount.entry: /dev/dri/card0 dev/dri/card0 none bind,optional,create=file lxc.mount.entry: /dev/dri/renderD128 dev/dri/renderD128 none bind,optional,create=file这些配置参数是针对 Linux 容器（通常是 LXC 容器）的一些安全和资源控制设置，用于限制容器内部的行为和访问。以下是每个配置项的作用解释：lxc.apparmor.profile: unconfined：该配置指定了 AppArmor（应用程序安全性配置框架）的配置文件名称，这里设置为 “unconfined”，用于允许容器内的进程具有更高的系统权限lxc.cgroup.devices.allow: a： 允许容器内的进程访问所有的 cgroup 设备。lxc.cap.drop: 此配置项为空，容器内的进程将继承主机系统的默认能力设置。lxc.cgroup2.devices.allow: c 226:0 rwm 和 lxc.cgroup2.devices.allow: c 226:128 rwm： 允许容器内的进程对设备号为 226:0 和 226:128 的字符设备节点拥有读、写和映射（rwm）的权限。用于允许容器内的进程访问特定的设备，如图形加速设备。lxc.mount.entry: /dev/dri/card0 dev/dri/card0 none bind,optional,create=file 和 lxc.mount.entry: /dev/dri/renderD128 dev/dri/renderD128 none bind,optional,create=file：将主机系统上的两个设备节点 /dev/dri/card0 和 /dev/dri/renderD128 挂载到容器内的相同位置，用于允许容器内的应用程序访问图形硬件加速功能，以便执行图形相关的任务修改完成后保存，启动 LXC 容器检查核显等容器启动成功后，进入容器，使用命令行检查 /dev/dri 路径下挂载的文件，card0和 renderD128 都正常ls /dev/dri/ card0 renderD128查看 PCI 也能看到核心显卡，说明挂载成功lspci | grep VGA 00:02.0 VGA compatible controller: Intel Corporation JasperLake [UHD Graphics] (rev 01)

PVE8 使用LXC运行OpenWRT 用虚拟机方式跑openwrt ，在内网没人下载东西的时候，它依旧会吃相当一部分cpu，所以还是用lxc方式合适，其性能就是你物理机的性能，另外lxc没有docker的层概念，所以非常适合运行这种独立的服务！LXC（Linux Containers）是Linux内核中的一个软件容器化工具，它提供了一种轻量级的虚拟化技术。与传统虚拟机相比，LXC的优点在于更快的启动时间、更少的资源占用以及更高的性能。用户可以使用LXC在Linux操作系统中创建多个独立的容器，每个容器都提供一个隔离的运行环境，与主机和其他容器完全隔离开来。在容器内，用户可以运行各种不同的应用程序和服务，例如Web服务器、数据库、文件共享等。由于LXC能够更加高效地利用系统资源，因此它已成为开发人员、测试人员、系统管理员和云计算提供商的首选工具之一。固件选择我直接使用官网固件：https://downloads.openwrt.org/如果链接不上可以使用国内镜像：中科大源 https://mirrors.ustc.edu.cn/openwrt/上交大源 https://mirror.sjtu.edu.cn/openwrt/SquashFS是一种只读文件系统，不允许对其进行写操作，它可以将多个文件和目录合并到一个文件中，从而提高存储空间的利用率，同时也可以提高对这些文件的访问效率。SquashFS文件系统具有高效的压缩和解压缩速度，支持很多不同的压缩算法，能够在存储和传输文件时减少网络流量和存储空间的占用，广泛应用于嵌入式系统、上传和下载镜像等场景。Rootfs是Linux系统启动时候使用的根文件系统，是指在文件系统概念中的根目录。它包含了Linux系统启动所必需的一些必要文件和目录，例如/etc、/proc、/bin、/sbin和/usr等。rootfs文件系统通常会以类似于ext4或SquashFS文件系统的形式储存于嵌入式系统或者云计算平台中，为Linux系统提供启动和运行的必要支持。由于rootfs文件系统在启动过程中是唯一可用的文件系统，在系统运行时，它也会被其他文件系统所覆盖。无论是 OpenWrt 官网下载，还是第三方打包的固件，必须是-rootfs.img、-rootfs.img.gz 或者 -rootfs.tar.gz 的文件 。-rootfs.img、*-rootfs.img.gz 需要解包后打包 。CT模板如果是 rootfs 格式（官网tar.gz后缀的文件）打包的固件，直接下载后,在web界面上传至 PVE CT 模板目录即可，或者直接ssh登录PVE主机内下载。wget https://downloads.openwrt.org/releases/23.05.2/targets/x86/64/openwrt-23.05.2-x86-64-rootfs.tar.gz #PVE8下载的CT模板都保存在/var/lib/vz/template/cache mv openwrt-23.05.2-x86-64-rootfs.tar.gz /var/lib/vz/template/cache其他格式需要先解包重新打包使用。以下以 *.img.gz 固件包为例：cd workspace mkdir openwrt # 文件名 img_name="openwrt-x86-64-generic-squashfs-combined.img.gz" # gzip 解压出 img gzip -d "$img_name" # 去除变量 gz 后缀 img_name=$(basename "$img_name" .gz) # 挂载偏移 root_partition=$((`fdisk -l "$img_name" | grep .img2 | awk '{print $2}'` * 512)) # 挂载到 openwrt 目录 mount -o loop,offset=$root_partition "$img_name" ./openwrt # 打包 cd openwrt && tar zcf /var/lib/vz/template/cache/"$img_name".tar.gz * && cd .. # 卸载 umount ./openwrt另外一种方法apt install squashfs-tools unsquashfs openwrt-x86-64-generic-squashfs-rootfs.img 进入目录，重新打包为模板 cd squashfs-root tar zcf ../openwrt201117.rootfs.tar.gz *qcow2/vmdk如果原来镜像是 qcow2 vmdkqemu-img convert -p -f qcow2 -O raw op.qcow2 op.img qemu-img convert -p -f vmdk -O raw op.vmdk op.imgimg.gzgzip -d openwrt-01.10.2023-x86-64-generic-squashfs-combined.img.gz正在运行的虚拟机openwrt转lxc直接在pve web控制台点备份，选择 gzip格式 ,得到文件/var/lib/vz/dump/vzdump-qemu-100-2023_02_03-12_29_56.vma.gz在 local 备份里面 找到这个文件 点恢复 导入到一个新虚拟机 102qemu-img convert -p -f qcow2 -O raw /var/lib/vz/images/102/vm-102-disk-0.qcow2 op.img挂载和打包cd /var/lib/vz/template/cache mkdir op root_partition=$((`fdisk -l op.img | grep .img2 | awk '{print $2}'` * 512)) mount -o loop,offset=$root_partition op.img /var/lib/vz/template/cache/op cd op && tar zcf /var/lib/vz/template/cache/op.tar.gz * &&cd .. # 打包至PVE中LXC模板路径 umount op && rm -rf op #rm -rf 固件名称.img如果img是正在运行的系统且使用的Overlay模式，会丢失Overlay内容（恢复默认了）。你需要在原来系统里面 导出 后覆盖过来。创建一个CT/lxcpve目前依旧无法直接创建op的lxc，这里还是用命令行。pct create 109 local:vztmpl/openwrt-23.05.2-x86-64-rootfs.tar.gz --rootfs local:1 --ostype unmanaged --hostname CTOpenWrt --arch amd64 --cores 2 --memory 512 --swap 0 -net0 bridge=vmbr0,name=eth0 -net1 bridge=vmbr1,name=eth1,tag=85解释pct create 109 是pve里面CT或者VM的id值，你可以修改成你的local:vztmpl/openwrt-23.05.2-x86-64-rootfs.tar.gz 是上面你上传到rootfs的包名rootfs local:1 是本lxc储存位置（我的PVE已经删除了local-lvm）和硬盘占用大小限制1G 如果用其他地方储存可以参考实际配置，比如 rootfs local-lvm:1 rootfs local-brtfs:0.5ostype unmanaged 操作系统类型hostname OP 节点名称arch amd64 cpu平台cores 2 可占用的cpu核心数memory 1024 swap 0 内存和交换内存，建议关闭交换内存 也就是0net0 bridge=vmbr0,name=eth0 把pve的管理网桥给op用，也就是op把他作为 lannet1 bridge=vmbr1,name=eth1,tag=85 将连接光猫IPTV口的网桥给op，作为wan手动修改LXC配置nano /etc/pve/lxc/109.conf如果网卡不需要增加，就添加以下内容lxc.include: /usr/share/lxc/config/openwrt.common.conf lxc.cgroup2.devices.allow: c 108:0 rwm lxc.mount.entry: /dev/ppp dev/ppp none bind,create=file lxc.mount.entry: /dev/net dev/net none bind,create=dir lxc.cap.drop:如果要直通一个网卡进去lxc.include: /usr/share/lxc/config/openwrt.common.conf lxc.net.1.type: phys lxc.net.1.link: enx0023545ca007 lxc.net.1.flags: up lxc.net.1.name: eth1 lxc.cgroup2.devices.allow: c 108:0 rwm lxc.mount.entry: /dev/ppp dev/ppp none bind,create=file lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file lxc.cap.drop:lxc.include 包含pve自带的op配置模板lxc.net.1 直通网卡enx0023545ca007进去作为 eth1lxc.cgroup2 的配置，这是lxc运行一些服务类的系统必须的lxc.mount.entry 挂载ppoe和tun到lxc内lxc.cap.drop: 取消 openwrt.common.conf 里面 对 cap的限制，不然openclash无法使用启动CTpct start 109OpenWrt 配置Attach 到容器内进行操作lxc-attach 109修改密码passwd # Changing password for root # New password: # Retype password: # passwd: password for root changed by root配置网络#编辑lan的IP vi /etc/config/network #重启网络即可登录 /etc/init.d/network restart或者这么配置uci set network.lan.ipaddr=[lan ip] uci set network.lan.gateway=[上级路由ip] uci set network.lan.dns=[上级路由ip] uci commit /etc/init.d/network restart （如果需要）映射宿主机目录 ，109是ID，最后mp=是LXC中目录地址pct set 109 -mp0 /mnt/bindmounts/shared,mp=/shared 安装argon界面，相关安装包luci-lib-xterm_git-24.217.56735-8015371_all.ipk taskd_1.0.3-2_all.ipk luci-lib-taskd_git-24.231.52046-6266f45_all.ipk luci-lib-xterm_git-24.217.56735-8015371_all.ipk luci-app-quickstart_git-25.033.56170-95d0213_all.ipk luci-app-store_0.1.14-2_all.ipk luci-app-istorex_git-25.050.51480-120b7dd_all.ipk quickstart_0.8.9-75_x86_64.ipk luci-theme-argon-master_2.2.9.4_all.ipk无法opkg update ,更新源出错，无法ping通www.baidu.com。但可以ping通baidu的实际IP断定为DNS没有解析，22.03版本可以直接ping通www.baidu.com。比对寻找原因未果。解决办法：修改host文件，解析源vi /etc/hosts opkg update opkg install luci-i18n-base-zh-cn容器lxc开启tun-br，可使用zerotier等# pve主机编辑lxc文件, vi /etc/pve/lxc/2001.conf ，最后加入 lxc.cgroup.devices.allow = c 10:200 rwm lxc.hook.autodev = sh -c "modprobe tun; cd ${LXC_ROOTFS_MOUNT}/dev; mkdir net; mknod net/tun c 10 200; chmod 0666 net/tun" # 进入lxc执行，重启后生效 cd /dev mkdir net mknod net/tun c 10 200 chmod 0666 net/tun reboot部分情况下 udp无法转发需要PVE系统加载 xt_TPROXY 模块。在PVE系统下执行改命令后重启。echo 'xt_TPROXY' > /etc/modules-load.d/tproxy.confNAT 环回 无效别名主机别名主机可以在 openwrt 网络 -> dncp -> 主机名映射的地方 添加域名到对应的内网机器ip上。然后清理本地dns缓存后即可访问。也可以在openwrt里面运行uci add dhcp domain uci set dhcp.@domain[-1].name='nas.leiyanhui.com' uci add_list dhcp.@domain[-1].ip='10.1.1.50' uci commit dhcp /etc/init.d/dnsmasq restart自定域名解析如果你有使用adguardHome 之类的自建dns,可以在dns内添加对应的域名解析记录到内网ip。或者修改需要访问的的电脑的hosts文件。参考链接：https://dev.leiyanhui.com/openwrt/lxc-mian-op/https://dev.leiyanhui.com/openwrt/pve-lxc-install-op/https://molezz.net/proxmox-pve-kvm-ct-lxc-openwrthttps://wayjam.me/posts/allinone-install-lxc-openwrt/https://www.right.com.cn/forum/thread-8352956-1-1.html

PVE 引入img文件作为虚拟机磁盘 下载openwrt映像文件，一般是gz压缩格式wget https://mirrors.ustc.edu.cn/openwrt/releases/23.05.2/targets/x86/64/openwrt-23.05.2-x86-64-generic-ext4-combined.img.gz解压缩使用gzip -d命令，文件解压后源文件自动删除。gzip -d openwrt-23.05.2-x86-64-generic-ext4-combined.img.gz将img格式转换为qcow2qemu-img convert -f raw -O qcow2 openwrt-23.05.2-x86-64-generic-ext4-combined.img vm-108-disk-0.qcow2导入虚拟机命令qm disk import <vmid> <source> <storage> [OPTIONS]。其中vmid指虚拟机id，source指img文件的位置，storge指pve的本机可以存储disk image的位置 --format指定要转换成的目标格式。qm importdisk 108 vm-108-disk-0.qcow2 local --format qcow2

OpenWRT中配置路由表 http://t.csdnimg.cn/ew157https://blog.csdn.net/weixin_38387929/article/details/111562711OpenWRT中配置路由表有三种方法:第一种 uci set 方式配置路由表，配置内容写入到 /etc/config/network 文件中；第二种 web页面方式配置路由，配置内容同样写入到 network 文件中；第三种 方式采用 route 、 ip route命令行方式配置；route 配置内容开机重启后即丢失，IProute 配置内容保存方式文章中有描述。iproute是Linux下一个网络管理工具包合集，用于取代先前的如ifconfig，route，ifup，ifdown，netstat等历史网络管理工具。该工具包功能强大，它通过网络链路套接字接口与内核进行联系。在 neutron、docker容器、DPDK、VPP中都在使用，使用iproute可以一致的语法来管理不同的应用，本文重点介绍 iproute的应用，OpenWRT的uci 命令配置路由请参考笔者openWRT系列的其他文章。阅读本篇文章的读者需要具有一定的路由方面的知识，先回顾一下 linux 路由相关规则和路由基本概念。Linux 内核路由策略数据库配置三条缺省的规则：0 匹配任何条件 查询路由表local(ID 255) 路由表local是一个特殊的路由表，包含对于本地和广播地址的高优先级控制路由。rule 0非常特殊，不能被删除或者覆盖。32766 匹配任何条件 查询路由表main(ID 254) 路由表main(ID 254)是一个通常的表，包含所有的无策略路由。系统管理员可以删除或者使用另外的规则覆盖这条规则。32767 匹配任何条件 查询路由表default(ID 253) 路由表default(ID 253)是一个空表，它是为一些后续处理保留的。对于前面的缺省策略没有匹配到的数据包，系统使用这个策略进行处理。这个规则也可以删除。不要混淆路由表和策略：规则指向路由表，多个规则可以引用一个路由表，而且某些路由表可以没有策略指向它。如果系统管理员删除了指向某个路由表的所有规则，这个表就没有用了，但是仍然存在，直到里面的所有路由都被删除，它才会消失。路由参数说明root@OpenWrt:~# route -nKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth1192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1192.168.56.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan12345各字段说明：destination：目的网段，0.0.0.0 表示缺省路由表，优先级最高；mask：与网络目标地址相关联的网掩码（又称之为子网掩码）。主机路由 255.255.255.255 ，默认路由是 0.0.0.0。Iface：到达该目的地的本机 interfacegateway：网关，下一跳路由器入口的 ip，路由器通过 interface 和 gateway 定义到下一个路由器的链路。metric 跳数(路由质量)：一般情况下，如果有多条到达相同目的地的路由记录，优先采用metric值小的那条路由。根据子网掩码，路由分为三种类型：主机路由：主机路由是路由选择表中指向单个IP地址或主机名的路由记录。主机路由的Flags字段为H。Destination Gateway Genmask Flags Metric Ref Use Iface10.0.0.10 192.168.1.1 255.255.255.255 UH 0 0 0 eth0123网络路由：网络路由是代表主机可以到达的网络。网络路由的Flags字段为N。例如，在下面的示例中，本地主机将发送到网络192.19.12的数据包转发到IP地址为192.168.1.1的路由器。Destination Gateway Genmask Flags Metric Ref Use Iface192.19.12 192.168.1.1 255.255.255.0 UN 0 0 0 eth0123默认路由：当主机不能在路由表中查找到目标主机的IP地址或网络路由时，数据包就被发送到默认路由（默认网关）上。默认路由的Flags字段为G。Destination Gateway Genmask Flags Metric Ref Use Ifacedefault 192.168.1.1 0.0.0.0 UG 0 0 0 eth0123静态与动态路由静态路由：管理员手工配置路由，OpenWRT通过 uci set route 或 web 方式配置的路由表，属于静态路由。动态路由：不需要手工配置路由，路由器之间能够自己互相学习（基于某种路由协议实现），OpenWRT 中的动态路由集有 Qugga、或 FRR，动态路由知识点太丰富，此处只做概念性描述。动态路由1.局域网内——IGP（内部网关路由协议）距离矢量路由协议——RIPV1、RIPV2、EIGRP（思科）链路状态路由协议——OSPF、ISIS（LS）2.互联网 ——EGP（外部网关路由协议）BGPV3（版本3） BGPV4（版本4）iproute 各子模块功能简介ip addr用于管理某个网络设备与协议(ip或ipv6)有关的地址。与ip link类似，不过增加了协议有关的管理(ip地址管理)ip route管理路由，如添加，删除ip rule管理路由策略数据库。这里边有一个算法，用来控制路由的选择策略ip neigh用于neighbor/ARP表的管理，如显示，插入，删除等ip link网络设备配置命令，如可以启用/禁用某个网络设备，改变mtu及mac地址等ip tunel隧道配置隧道的作用是将数据(可以是不同协议)封装成ip包然后再互联网传输ip maddr多播地址管理ip mroute多播路由管理ip monitor状态监控。如可以持续监控ip地址和路由的状态ip xfrm设置xfrm，xfrm是一个ip框架，可以转换数据包的格式，如用某个算法对数据包加密 ，常用于IPSec 配置ip addrlabelipv6的地址标签，主要用于RFC3484中描述的ipv6地址的选择。RFC3484主要介绍了2个算法，用于ipv6地址(源地址和目标地址)的选择策略ip addr 的应用ip address add–添加一个新的协议地址. 缩写：add、a示例1：为每个地址设置一个字符串作为标签。为了和Linux-2.0的网络别名兼容，这个字符串必须以设备名开头，接着一个冒号，ip addr add local 192.168.4.1/28 brd + label eth0:1 dev eth0示例2: 在以太网接口eth0上增加一个地址192.168.20.0，掩码长度为24位(155.155.155.0)，标准广播地址，标签为eth0:Alias：ip addr add 192.168.4.2/24 brd + dev eth1 label eth1:1这个命令等于传统的: ifconfig eth1:1 192.168.4.2ip address delete–删除一个协议地址. 缩写：delete、del、dip addr del 192.168.4.1/24 brd + dev eth0 label eth0:Alias1ip address show–显示协议地址. 缩写：show、list、lst、sh、ls、lip addr ls eth0ip address flush–清除协议地址. 缩写：flush、f示例1 : 删除属于私网10.0.0.0/8的所有地址：ip -s -s a f to 10/8示例2 : 取消所有以太网卡的IP地址ip -4 addr flush label “eth0”ip route的应用1）显示路由示例一：显示指定路由表的路由ip route show table 10示例二：显示指定网段的路由ip route list 192.168.7.0/24示例三：显示所有路由表的路由ip route show table all2）添加路由表示例一：通过添加路由方式添加路由表ip route add 192.168.11.0/24 dev ens33 table 100注：table 100为不存在的路由表ID示例二：通过配置文件方式添加路由表echo “252 TEST” >> /etc/iproute2/rt_tables注：252 为路由表ID，TEST为路由表名3）添加路由命令格式：ip route add TARGET [via GW] [dev IFACE] [src SOURCE_IP] [table TABLEID]【注】TARGET可以是：主机路由：具体IP地址网络路由：NETWORK/MASK示例一：添加默认路由ip route add default via 192.168.7.1 table 10示例二：添加到指定网络的路由ip route add 192.168.11.0/24 via 192.168.7.1 metric 10 table 10示例三：添加到指定主机的路由ip route add 192.168.11.1 dev ens334）追加路由ip route append 192.168.5.0/24 via 192.168.7.15）修改路由方法一：ip route change 192.168.2.0/24 via 192.168.7.2方法二：ip route replace 192.168.3.0/24 via 192.168.7.26）删除路由命令格式：ip route del TARGET [via GW] [dev IFACE] [src SOURCE_IP] [table TABLEID]示例一：删除指定表中默认路由ip route del default table 100示例二：删除特定网络路由ip route del 192.168.5.0/24 via 192.168.7.1示例三：删除指定表中特定网络路由ip route del 192.168.1.0/24 table 1007）清空路由表示例一：清空所有路由表ip route flush示例二：清空指定网络的路由ip route flush 192.168.2.0/24ip rule 的应用策略路由规则管理工具。Linux系统在启动时，内核会为路由策略数据库配置三条缺省的规则：1）优先级：0，匹配任何数据包，查询路由表local（ID 255）。local表是一个特殊的路由表，包含本地和广播地址的高优先级控制路由，使用者不应删除或重写它2）优先级：32766，匹配任何数据包，查询路由表main（ID 254）。main表是包含所有非策略路由的常规路由表。管理员可以删除或用其他规则重写此规则3）优先级：32767，匹配任何数据包，查询路由表default（ID 253）。default表是一个空表，它是为一些后续处理保留的。对于前面的缺省策略没有匹配到的数据包，系统使用这个策略进行处理，可以删除此规则命令格式：ip rule {show|list|lst}root@OpenWrt:~# ip rule show优先级 匹配条件 表名、表ID0: from all lookup local 1001: from all iif eth1 lookup 1 2001: from all fwmark 0x100/0x3f00 lookup 1 2061: from all fwmark 0x3d00/0x3f00 blackhole2062: from all fwmark 0x3e00/0x3f00 unreachable32766: from all lookup main 32767: from all lookup default 12345678命令格式ip rule [ add | del | flush] SELECTOR ACTION1）添加规则命令格式：ip rule add 匹配条件 [优先级] [表id]【注】表缺省为main；优先级缺省从main或自定义最低优先级序号开始，然后依次递减，即优先级越来越高示例一：添加源IP段和目的IP策略路由ip rule add from 192.168.7.0/24 to 8.8.8.8 prio 10 table 200示例二：添加接收设备策略路由ip rule add dev ens33 table 1示例三：添加fwmark值策略路由ip rule add fwmark 12）删除规则命令格式：ip rule del [匹配条件] [优先级] [表id]【注】匹配条件、表id、优先级可以同时指定其中一个或多个，如果缺省会按照优先级顺序，从最高优先级依次删除示例一：根据优先级删除ip rule del prio 10示例二：根据匹配条件删除ip rule del from 192.168.7.0/24 to 8.8.8.8示例三：根据路由表id删除ip rule del table 200示例四：根据匹配条件、表id和优先级删除ip rule del from 192.168.7.0/24 to 8.8.8.8 prio 10 table 200ip neigh 的应用用于neighbor/ARP表的管理，如显示，插入，删除等; 缩写 neighbour、neighbor、neigh、n命令 add、change、replace、delete、fulsh、show (或者list);ip neighbour add – 添加一个新的邻接条目ip neighbour change–修改一个现有的条目ip neighbour replace–替换一个已有的条目缩写：add、a；change、chg；replace、repl示例1: 在设备eth0上，为地址10.0.0.3添加一个permanent ARP条目：ip neigh add 10.0.0.3 lladdr 0:0:0:0:0:1 dev eth0 nud perm示例2:把状态改为reachableip neigh chg 10.0.0.3 dev eth0 nud reachableip neighbour delete–删除一个邻接条目示例1:删除设备eth0上的一个ARP条目10.0.0.3ip neigh del 10.0.0.3 dev eth0示例1:ip neighbour show–显示网络邻居的信息. 缩写：show、list、sh、lsip -s n ls 192.168.0.103示例1:ip neighbour flush–清除邻接条目. 缩写：flush、f (-s 可以显示详细信息)ip -s -s n f 193.233.7.254ip link 的应用网络设备配置命令，如可以启用/禁用某个网络设备，改变mtu及mac地址等；ip link set–改变设备的属性. 缩写：set、s示例1：up/down 起动／关闭设备。ip link set dev eth0 up这个等于传统的 # ifconfig eth0 up(down)示例2：改变设备传输队列的长度。参数:txqueuelen NUMBER或者txqlen NUMBERip link set dev eth0 txqueuelen 100示例3：改变网络设备MTU(最大传输单元)的值。ip link set dev eth0 mtu 1500示例4： 修改网络设备的MAC地址。参数: address LLADDRESSip link set dev eth0 address 00:01:4f:00:15:f1示例5: ip link show–显示设备属性. 缩写：show、list、lst、sh、ls、l　　-s选项出现两次或者更多次，ip会输出更为详细的错误信息统计。ip -s -s link ls eth0　　eth0: mtu 1500 qdisc cbq qlen 100　　link/ether 00:a0:cc:66:18:78 brd ff:ff:ff:ff:ff:ff　　RX: bytes packets errors dropped overrun mcast　　2449949362 2786187 0 0 0 0　　RX errors: length crc fifo missed　　0 0 0 0 0　　TX: bytes packets errors dropped carrier collsns　　178558497 1783946 332 0 332 35172　　TX errors: aborted fifo window heartbeat　　0 0 0 332这个命令等于传统的 ifconfig eth0ip tunelip tunnel add – 添加新的通道ip tunnel change – 修改现有的通道ip tunnel delete – 删除一个通道缩写：add、a；change、chg；delete、del、d示例1:建立一个点对点通道，最大TTL是32ip tunnel add Cisco mode sit remote 192.31.7.104 local 192.203.80.1 ttl 32示例1: ip tunnel show – 列出现有的通道，缩写：show、list、sh、ls、lip -s tunl ls Cisco应用实例Step 1. 建立ip隧道ServerA配置iptunnel,并给tunnel接口配置上ipip tunnel add a2b mode ipip remote 2.2.2.2 local 1.1.1.1ifconfig a2b 192.168.2.1 netmask 255.255.255.0ServerB配置iptunnel,并给tunnel接口配置上ipip tunnel add a2b mode ipip remote 1.1.1.1 local 2.2.2.2ifconfig a2b 192.168.2.2 netmask 255.255.255.0隧道配置完成后，请在ServerA上192.168.2.2，看是否可以ping通，ping通则继续，ping不通需要再看一下上面的命令执行是否有报错Step 2. 添加路由和natServerA上，添加到192.168.1.0/24的路由/sbin/route add -net 192.168.1.0/24 gw 192.168.2.2ServerB上，添加iptables nat，将ServerA过了访问192.168.1.0/24段的包进行NAT，并开启ip foward功能iptables -t nat -A POSTROUTING -s 192.168.2.1 -d 192.168.1.0/24 -j MASQUERADEsysctl -w net.ipv4.ip_forward=1sed -i ‘/net.ipv4.ip_forward/ s/0/1/’ /etc/sysctl.confip maddr 的应用ip maddress – 多播地址管理 , 缩写：show、list、sh、ls、l; 这个命令只能管理链路层地址。示例1: ip maddress show – 列出多播地址ip maddr ls dummyip maddress add – 加入多播地址ip maddress delete – 删除多播地址缩写：add、a；delete、del、d ; 使用这两个命令，我们可以添加／删除在网络接口上监听的链路层多播地址。示例1: 增加ip maddr add 33:33:00:00:00:01 dev dummy示例2: 查看ip -O maddr ls dummy示例3: 删除ip maddr del 33:33:00:00:00:01 dev dummyip mroute 的应用多播的启用与关闭命令格式: ip link set dev multicast on|offip link set eno16777728 multicast offip link show eno16777728 //如下，没有出项MULTICAST2: eno16777728: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT qlen 1000link/ether 00:0c:29:57:26:9d brd ff:ff:ff:ff:ff:ffip link set eno16777728 multicast onip monitor 的应用ip monitor和rtmon – 状态监视ip命令可以用于连续地监视设备、地址和路由的状态。这个命令选项的格式有点不同，命令选项的名字叫做monitor，接着是操作对象;ip monitor [ file FILE ] [ all | OBJECT-LIST ]示例1: # rtmon file /var/log/rtmon.log示例2: # ip monitor file /var/log/rtmon.log rip xfrm 的应用设置xfrm，xfrm是一个ip框架，可以转换数据包的格式，如用某个算法对数据包加密 ，常用于IPSec 配置 .ip xfrm state flush - 刷新状态ip xfrm state add - 将新状态添加到xfrm中ip xfrm policy add - 将新策略添加到xfrm中ip xfrm policy flush - 刷新策略ip xfrm monitor - 监控状态应用实例在这里插入图片描述配置 LS 主机配置 SAip xfrm state add src 194.168.10.4 dst 194.168.10.5 proto esp spi 0x00004005 mode tunnel auth md5 0xa87ff679a2f3e71d9181a67b7542122c enc des 0xa2f3e71d9181a67bip xfrm state add src 194.168.10.5 dst 194.168.10.4 proto esp spi 0x00005004 mode tunnel auth md5 0xa87ff679a2f3e71d9181a67b7542122c enc des 0xa2f3e71d9181a67b配置 SPip xfrm policy add src 194.168.10.4 dst 194.168.10.5 dir out tmpl src 194.168.10.4 dst 194.168.10.5 proto esp mode tunnelip xfrm policy add src 194.168.10.5 dst 194.168.10.4 dir in tmpl src 194.168.10.5 dst 194.168.10.4 proto esp mode tunnel123456配置 RS 主机配置SAip xfrm state add src 194.168.10.4 dst 194.168.10.5 proto esp spi 0x00004005 mode tunnel auth md5 0xa87ff679a2f3e71d9181a67b7542122c enc des 0xa2f3e71 d9181a67bip xfrm state add src 194.168.10.5 dst 194.168.10.4 proto esp spi 0x00005004 mode tunnel auth md5 0xa87ff679a2f3e71d9181a67b7542122c enc des 0xa2f3e71 d9181a67b配置SPip xfrm policy add src 194.168.10.4 dst 194.168.10.5 dir in tmpl src 194.168.10.4 dst 194.168.10.5 proto esp mode tunnelip xfrm policy add src 194.168.10.5 dst 194.168.10.4 dir out tmpl src 194.168.10.5 dst 194.168.10.4 proto esp mode tunnel123456ip addrlabel 的应用ipv6的地址标签，主要用于RFC3484中描述的ipv6地址的选择。应用方法举例省略。。