上一篇记录了 Gentoo Linux 在新内核里把 iptables 从 legacy backend 切换到 xtables-nft-multi 的过程。宿主机切完之后，大部分自己写的防火墙脚本都能继续工作，因为命令还是 iptables，只是背后翻译成了 nftables 规则。

不过还有一个容易忽略的地方：Docker 容器里的程序也可能会调用 iptables。这次出问题的就是 Docker 版 wg-easy。

最近把 Gentoo Linux 的内核从 6.12 升级到了 6.18，过程本身没什么特别的，还是照旧 make oldconfig、检查一下必要的网络选项、编译、安装、重启。

不过重启之后发现 iptables 规则不太对劲。尤其是手搓路由器这种环境，iptables 一旦不正常，影响就比较直接：转发、NAT、docker、xray 这些依赖防火墙规则的东西都会跟着出问题。

继之前的几篇文章：

• 《使用 Gentoo Linux 搭建简单路由器并支持IPTV功能》
• 《IPTV单线复用——在Linux系统上配置》
• 《使用 Gentoo Linux 手搓路由器之二 -- 透明代理》
• 《使用 Gentoo Linux 手搓路由器之三 -- 国内访问加速》
• 《使用Gentoo Linux手搓路由器之四 -- 支持 IPv6》

本文继续折腾 Gentoo Linux 手搓路由器的 IPv6 支持。上一篇 IPv6 的方案使用的是 bridge + ebtables，让 RA / NDP 这类 IPv6 必要报文在 WAN 和 LAN 之间通过网桥转发，再把真正的数据流量拉回三层路由处理。

这个方案能跑，而且思路 …

在 linux 系统中，网络接口的名称不是固化不变的，总有一些情况会导致网络接口名称发生变化，而导致诸多问题。一般有以下情况都可能会导致网络接口名称的变化：

1. 内核和设备命名规则的变化
   • 传统命名（如 eth0, eth1），缺点：设备的探测顺序可能因硬件更改或热插拔而改变，导致网卡名称的不稳定。
   • 基于一致网络接口命名（Predictable Network Interface Names，PNIN）
     • 基于固件（如 BIOS 或 UEFI）提供的名称：例如 eno1、ens33。
     • 基于 PCIe 总线拓扑的名称：例如 enp2s0、wlp3s0。
     • 基于设备的 MAC 地址：例如 enx<MAC地址>

immich 是一个非常棒的相册管理软件，不仅功能齐全，而且各个端也是齐全的。 我也曾在 photoprism 和其二者中选择，最终选择了 immich, 主要还是全平台支持，和 timeline 界面的原因，个人比较喜欢 immich timeline 的风格。

关于 immich 的安装 官方文档里已经写的很清楚了。官方推荐的是 Docker Compose 并提供了 compose.yaml 文件，可以让一个小白用户毫不费力的安装好 immich。

immich 一共包含了4个服务

• immich service
• immich machine learning
• pgvectors (postgresql)
• redis

背景

楼主一直使用的是 gentoo 手搓的路由器。虽然之前的文章分享中只提及了手搓路由器的部分，其实路由器中还跑了一些其他的服务，如（seafile，samba，等），这些数据除了保存在路由器系统的磁盘中，还挂了两个usb的硬盘，写了一个脚本，自动备份。可谓是十分的简陋。最近看到畅网的N305和N8505的主板十分心动，非常适合把我原来的路由器替代掉（原来的路由器差不多十年了）。

N8505 可以挂 6块 sata 盘，6 块 NVME，虽然我也用不了那么多，但是这块板子确实是为 NAS 而生的。 如果想要挂更多，还有一个 pcie 插槽，可以继续扩。

有一些情况下在路由器中安装 dockerd 启动之后会发现不能正常上网。 一般在 openwrt 中安装 dockerd 不会遇到这样的问题， 大多数类似的事情都发生在手搓的路由器上。

查看系统的 iptables 规则, 发现一些 dockerd 在启动的时候会给 iptables 添加一些规则，是因为这些规则导致上网受影响。

 1Chain DOCKER (1 references)
 2target     prot opt source               destination         
 3
 4Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 5target …

家庭网络环境下（slaac）的 Linux 路由器 IPv6 的配置

先说大概有内种方案吧

• NAT 模式： 同 IPv4 的 NAT 一样。这个没有什么好说的，失去 IPv6 的意义，直接不考虑。
• Relay 模式。这个就是现在 OpenWRT 玩家采用的方案。 系统中自带的 odhcpd 是支持 ra, nd, dhcpv6 relay 。 我看网上有人说不稳定，但是也没有啥证据。 可惜 Linux 没有这个东西，我在网上也找了相关文章，没有找到资料。

  Github 上有一个历史悠久的代码 Menci/magpie 通过抓包实现的 Relay 我试着编译，报错太多了，Fix 难度太大了，直接不考虑。

通过前面《iptables 之 —— 新手入门(图文并茂, 一文读懂 iptables)》文章的学习, 对 iptables 整体有一个比较清楚的理解了. 那接下来就是实操了, 既然 iptables 是操作表, 作为程序员都应该比较熟悉了 CRUD 对应 iptables 就是添加规则, 删除规则, 替换规则, 查看规则.

BTW: 在 iptables 的命令中有一个约定, 表名: 小写, 链: 大写, 处理动作: 大写. 不写表名, 默认是 filter 表.

关于防火墙，这里就不多说了。 大家都知道 Linux 的防火墙（自带）—— iptables， 其实这么说是不准确的。 iptables 应该只能算是一个代理软件， Linux 真正的防火墙叫 netfilter。 这是位于内核空间的一个安全框架, iptables 是帮助你操作、配置 netfilter 的工具。 Linux 内核很少收录软件系统的，但是有两个除外， 一个是 netfilter ， 另一个是 LVS(Linux Virtual Server). 可见这两个软件的重要性。

在十几年前， LVS 非常的流行，只是现在CPU不值钱了，带宽不是问题了， Loadbalance 都慢慢的转去七层了。我不是搞运维的， 所以我 …