近期，台湾YouTuber @啊岳啪啪走 RENATO 到中国上海旅游时，在机场服务柜台购买了一张SIM卡，服务人员很热心地帮助下载VPN应用，并指导他如何使用。在被问及在中国翻墙是否合法合规时，服务人员回答道“我们中国人是不允许翻墙的，翻墙是不合法的”、“但为了外籍旅客的便利，外国人是可以合法翻墙的”，并且她还声称自己从没有翻过墙。

原视频：

这段视频在推特平台上引发了网民热议。不少人都感慨这种“内外有别”是典型的歧视，是真正意义上的“辱华”，即任何一位外籍人士都享有高中国人一等的“合法翻墙权”。还有人指出，这段对话中服务人员对于台湾的定义也是相当直白，将之归类为“外国”、“外籍”。不过，也有网友提醒，需谨慎对待来源不明的VPN，其中可能存在着安全隐患。

2019年的一张旧图显示，部分VPN服务“已落实安全义务”：

在之前的“巴西劳工部批评比亚迪奴役员工事件”中，也有网友认为，为这起丑闻辩解本质上是一种“辱华”，潜台词暗示中国工人可适用于与他国不同的待遇标准。

相关阅读： 【404文库】王五四｜巴西友邦惊诧论

我看了下惊诧的巴西友邦所描述的“奴役”景象：证件被扣押、工资分几次发、每天工作十个小时、有时一周也不休息、住的地方太拥挤甚至能闻到厕所的味道、三十一个人共用一个厕所且不提供厕纸、无床垫无柜子等，确实令我震惊了，我相信这一消息传回国内，也一定是举国震惊，这比我们国内很多工地的条件都好，如果巴西那边都算奴役，你让我们的工友怎么想，抛开事实不谈，你们这是在辱华。你们跟电影《一九四二》里的日本人有什么区别：日本人真是太恶毒了，他们居然给灾民发粮食。

以下为中国数字时代编辑摘自推特网友评论：

bzgmbs：中国人在中国却是最低等的存在，不如叫中国奴吧。

weqqq278051：歧视中国人的是自己的政府。

BaoZhiYingCheng：工作人员恶意辱华。

QIAN40739538：宁予友邦，不给家奴。

WillianHiltonL：國人與狗不得翻牆。

ROCrealChina：境外势力合法翻墙～

kap375：在中國，外國人就是比中國人高一等，然後外國人裡包含台灣人。

maodogd：“没有翻过墙”的教经常上外网的翻墙…太经典了。

AllenGreen8：回归后就可以享受大陆人同等待遇了。

kel970188365261：這個時候，台灣又不是中國的一部分了。

BetterOff2100：台灣如果被統一，下場就是多了一道不允許翻的牆。

Rokyokuhitosuji：破案了：机场工作人员是台独分子。

MaxBeeer：我认为这不是一般的VPN，很有可能这是间谍app。

bengmugenr：這麼熱心？下載的翻牆軟件是不是「老王VPN」之類的釣魚版？

LongLiveMrLi：此VPN带监控吧，手机信息，手机通信都获取了，还美滋滋的呢。

这篇文章介绍手搓 Site-to-Site 组网的方法。

1 场景简述

假设我们有两个机器 A 与 B，其中 A 和 B 在各自的局域网中的网段分别是 192.168.2.0/24 和 192.168.3.0/24。A 和 B 都接入了一个 VPN 网络，其内网地址是 10.0.0.0/16。那么，如何让 A 访问 B 所在局域网内的另一台机器 C 呢？注意 C 是没有接入到 VPN 私有网络的。一个办法是直接让 C 也接入到 VPN 网络中，但是如果 B 的局域网中有众多设备需要被 A 访问时，将这些节点都加入 VPN 网络配置会非常麻烦。在一些场景下，VPN 的连接数量有限制（例如 Zerotier）。因此我们需要新的方案。这篇文章我们介绍通过巧妙地配置路由表和防火墙来实现。

我们假定 A 的地址是 192.168.2.2/24 和 10.0.0.2/16，B的地址是 192.168.3.2/24 和 10.0.0.3/16，C 的地址是 192.168.3.3/24。我们这里介绍的是让 A 访问 B 所在的子网。反过来让 B访问 A的子网的设置方法是类似的。进行双向设置以后就可以实现完整的 Site-to-Site 组网。这里我们假设 A 和 B 都安装了 Ubuntu 操作系统。

2 路由配置

首先我们需要进行路由表的配置，让 A 知道应该以 B 为网关来来访问 192.168.3.0/24 子网。在 A 上运行

1

sudo ip route add 192.168.3.0/24 via 10.0.0.3

然后，我们需要在 B 上启用 IP 转发。在Linux系统中开启IP转发功能，可以通过以下步骤：

1. 临时开启（系统重启后失效）
   • 对于基于Debian或Ubuntu的系统，可以使用以下命令：
     • 查看当前IP转发状态：cat /proc/sys/net/ipv4/ip_forward，如果输出为0，则表示IP转发功能是关闭的；如果输出为1，则表示IP转发功能是开启的。
     • 开启IP转发：sudo sysctl -w net.ipv4.ip_forward=1。这条命令会在运行时修改内核参数，使系统能够进行IP转发。
   • 对于基于Red Hat或CentOS的系统，操作如下：
     • 查看IP转发状态：cat /proc/sys/net/ipv4/ip_forward。
     • 开启IP转发：sudo sysctl -w net.ipv4.ip_forward=1。这会立即生效，但是在系统重启后会恢复到原来的设置。
2. 永久开启（系统重启后依然有效）
   • 在Debian或Ubuntu系统中：
     • 编辑/etc/sysctl.conf文件：sudo nano /etc/sysctl.conf。
     • 在文件中找到#net.ipv4.ip_forward=1这一行（如果没有这一行，可以添加），将前面的#去掉，使这一行变为net.ipv4.ip_forward = 1。保存并退出文件。
     • 使配置生效：sudo sysctl -p。这条命令会重新加载sysctl.conf文件中的配置，使IP转发功能在系统重启后依然有效。
   • 在Red Hat或CentOS系统中：
     • 编辑/etc/sysctl.conf文件：sudo vi /etc/sysctl.conf。
     • 找到net.ipv4.ip_forward = 0这一行，将0改为1。保存并退出文件。
     • 执行sudo sysctl -p命令，让配置生效，这样在系统重启后IP转发功能也会开启。

3 防火墙配置

完成路由配置之后，A 机器能够知道到达 192.168.3.0/24 子网的路由路径，但是此时让 A 直接访问 C 的地址会失败，因为他们之间的通信会被 B 的防火墙拦截。因此我们需要对防火墙进行进一步配置。防火墙的配置分为两个主要的步骤：首先我们需要允许经过 B进行路由的数据包经过防火墙。在 B 上运行下面的代码：

1
2

sudo iptables -A FORWARD -i tun0 -o enp2s0 -s 10.0.0.0/16 -d 192.168.3.0/24 -j ACCEPT
sudo iptables -A FORWARD -i enp2s0 -o tun0 -s 192.168.3.0/24 -d 10.0.0.0/16 -j ACCEPT

注意其中的 -i -o 指定的接口名称需要针对你的服务器的实际情况调整。这里我们进行的往返路由路径的分别配置，将路由策略都设置为 ACCEPT 使得数据包能够通过 B 的防火墙。

对防火墙进行配置的第二个步骤是在 B 上开启地址伪装，即 MASQUERADE 机制。注意到我们在 A 上配置了路由表，但是没有作为访问目标的 C 则并不知道通向 A 的路由路径（A 和 B 之间在的 VPN 私有网络中是直通的，不需要额外路由）。因此我们需要配置进行一个额外的配置，即在 B 中开启地址伪装，此时 B 会将来自 A 的，以 C 为目标的数据包的源地址修改为自身的地址，那么 C 会认为这个包来自 B，响应也会被发送给 B，B 再将包转发回到 A。要开启地址伪装，需要在 B 上开启 iptables 配置：

1

sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -o enp2s0 -j MASQUERADE

注意上面的命令结果会在重启后失效。要持久化 iptables 命令的配置，可以采用下面的方法：

1. 使用iptables - save和iptables - restore命令（适用于大多数Linux发行版）
   • 保存配置：
     • 首先，使用iptables - save命令可以将当前的iptables规则保存到一个文件中。例如，可以将规则保存到/etc/iptables.rules文件中，命令如下：sudo iptables - save > /etc/iptables.rules。
     • 这个命令会将当前活动的iptables规则以文本格式输出并保存到指定的文件。输出的内容包含了表（如filter、nat、mangle）以及每个表中的链（如INPUT、OUTPUT、FORWARD）的规则。
   • 恢复配置：
     • 要在系统启动时自动恢复这些规则，可以在合适的启动脚本中添加iptables - restore命令。例如，在基于Debian或Ubuntu的系统中，可以创建一个脚本文件（如/etc/network/if - post - up.d/iptables - restore），并在其中添加以下内容：

       1 2	#!/bin/sh iptables - restore < /etc/iptables.rules

       然后给这个脚本文件添加可执行权限：sudo chmod +x /etc/network/if - post - up.d/iptables - restore。
     • 在基于Red Hat或CentOS的系统中，可以将iptables - restore命令添加到/etc/rc.d/rc.local文件中（不过要确保rc.local文件有可执行权限），如：iptables - restore < /etc/iptables.rules。这样，在系统启动后，iptables规则就会根据保存的文件进行恢复。
2. 使用iptables - persistent工具（适用于Debian和Ubuntu系统）
   • 安装iptables - persistent：
     • 在Debian或Ubuntu系统中，可以使用以下命令安装iptables - persistent工具：sudo apt - get install iptables - persistent。
     • 这个工具会自动在安装过程中保存当前的iptables规则，并且会创建一些系统服务相关的配置来确保规则在系统启动时自动加载。
   • 保存和恢复规则：
     • 安装完成后，iptables规则会被自动保存到/etc/iptables目录下的文件中（/etc/iptables/rules.v4用于IPv4规则，/etc/iptables/rules.v6用于IPv6规则）。
     • 在系统启动时，iptables - persistent服务会自动读取这些文件中的规则并恢复iptables配置。如果后续修改了iptables规则，想保存新规则，可以使用sudo iptables - save > /etc/iptables/rules.v4（对于IPv4）和sudo iptables - save > /etc/iptables/rules.v6（对于IPv6）命令手动保存，或者使用dpkg - reconfigure iptables - persistent命令重新配置并保存规则。
3. 使用systemd服务（适用于有systemd的Linux发行版）
   • 创建systemd服务单元文件：
     • 可以创建一个自定义的systemd服务单元文件来保存和恢复iptables规则。例如，创建一个名为iptables - save - service.service的文件，内容如下：

       1 2 3 4 5 6 7 8

       [Unit] Description=Save iptables rules After=network.target [Service] Type=oneshot ExecStart=/usr/bin/iptables - save > /etc/iptables.rules [Install] WantedBy=multi - user.target

     • 将这个文件保存到/etc/systemd/system/目录下，然后使用systemd命令来管理这个服务。
   • 启用和启动服务：
     • 执行sudo systemd - enable iptables - save - service.service命令来设置服务在系统启动时自动运行。
     • 可以使用sudo systemd - start iptables - save - service.service命令来手动启动服务，保存当前的iptables规则。
     • 同时，还需要创建一个用于恢复规则的服务单元文件，例如iptables - restore - service.service，内容如下：

       1 2 3 4 5 6 7 8

       [Unit] Description=Restore iptables rules After=network.target [Service] Type=oneshot ExecStart=/usr/bin/iptables - restore < /etc/iptables.rules [Install] WantedBy=multi - user.target

     • 同样将这个文件保存到/etc/systemd/system/目录下，然后使用systemd - enable iptables - restore - service.service命令来设置在系统启动时自动恢复规则，并且可以使用systemd - start iptables - restore - service.service命令手动启动恢复规则的服务。

遇到这样一个蛋疼的问题，我有一台服务器，上面部署了一个 web 服务，同时我也想把这个服务器作为客户端连入一个 OpenVPN 虚拟网络，并且我希望服务器上的程序能够通过 OpenVPN 的网关来访问外部网络，这主要是为了隐藏服务器的身份。但是在 OpenVPN 连接之后，原有的 Web 服务将无法访问。通过调试分析可以法线，造成这一现象的原因是 Web 服务的响应包也被路由配置路由到 OpenVPN 的 tun0 接口中。这导致响应无法返回给原来的请求服务器。如何解决这个问题呢？

如果你在网络上搜索这类问题你会发现各种文章给出的方案一般都是为 OpenVPN 的配置文件添加 route-nopull 选项来阻止 OpenVPN 设置客户端路由，但是这会导致客户端的对外访问无法通过 VPN 进行。事实上，从 IP 路由的角度来看，如果我的服务器是 A，而某个访问 Web 服务的 IP 是 B，同时 B 也可能是 A 试图访问的外部的目标服务提供者。对传输层路由而言，A 给 B 的 Web 服务响应和 A 主动发往 B 的请求是无法区分的。从这个角度来看，要达成 inbound 和 outbound 流量分别路由似乎是不可能的。

但是其实我们有一个突破点：那就是 Web 服务总是在本机使用固定的端口和请求者通信，我们可以通过端口来区分 inbound 和 outbound 流量。首先我们输入下面的命令：

1

iptables -t mangle -A OUTPUT -p tcp -m multiport --sports 80,443 -j MARK --set-mark 1

在这个命令中，我们会让路由表观察从本地的 80 和 443 端口发出的包，并给这些包打上一个特定的标签（--set-mark 1 的作用）。然后输入下面的命令：

1

ip route add default via [gateway addr of eth0] dev eth0 table 100

这个命令会创建一个新的路由表 table 100，然后在这个表中加入一个默认路由，将流量送往原有的网关。然后再运行下面的命令：

1

ip rule add fwmark 1 table 100

这个命令会让带有标记 1 的包使用 table 100 路由表进行路由。运行完上面的配置后，web 服务就可以正常访问呢了。

以上方法是在 ChatGPT 的协助下摸索出来的，我的提问是：

如何通过 iptables 或者 route 命令，让访问 80 与 443 端口的包使用 tun0 接口，而访问其他端口的包使用 eth0 接口？

GPT 的回答是

1

iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 80,443 -j MARK --set-mark 1

1
2

ip route add default dev tun0 table 100
ip rule add fwmark 1 table 100

1

ip route add default dev eth0