解决Tailscale iptables规则导致CGNAT地址冲突问题
运营商在CGNAT地址空间(100.64.0.0/10)内分配私有IP地址给NAT网关后的客户,来防止与用户内部使用的私有IP地址发生冲突。Tailscale也使用CGNAT地址作为组网设备的IPv4地址。出于安全考虑,Tailscale在Linux上默认会建立一个iptables规则来丢弃所有来自100.64.0.0/10的数据包,防止攻击者假冒私有网络内的设备进行攻击(NVD - CVE-2019-14899,Tailscale issue #3104)。然而,运营商或者一些大型组织也可能使用CGNAT地址为客户提供内部服务,Tailscale添加的丢弃规则将使得运行Tailscale的设备无法访问这些资源。例如,阿里云为其弹性计算服务器(ECS)提供的APT软件包源和DNS服务器就使用100.100.0.0/16网段,ECS上启动Tailscale后就无法解析域名,也无法获取APT软件包。 问题复现 在100.64.0.0/24网段内准备两台Ubuntu 24.04设备: ubuntu-2 IP: 100.64.0.2 网段:100.64.0.0/24 ubuntu-3 IP: 100.64.0.3 网段:100.64.0.0/24 此时,两台机器互相可以ping通。 Tailscale未安装时ubuntu-2可以ping通ubuntu-3 在ubuntu-2上安装Tailscale(此时安装的版本为1.90.4)并连接到已有的Tailscale网络: curl -fsSL https://tailscale.com/install.sh | sh sudo tailscale up 此时,在ubuntu-2上无法再ping通ubuntu-3。使用sudo iptables -L命令查看iptables规则发现,Tailscale添加的规则丢弃了所有来自100.64.0.0/10的数据包。 Tailscale连接后ubuntu-2无法ping通ubuntu-3 Tailscale添加的iptables链ts-input丢弃了所有来自100.64.0.0/10的数据包 断开Tailscale连接之后,在ubuntu-2上又重新可以ping通ubuntu-3。 尝试:手动调整iptables规则 直接使用iptables命令修改规则看似能解决这个问题,但只能临时缓解,不能彻底根除。 运行以下命令在iptables的INPUT链顶部插入对所需网段(此处以100.64.0.0/24为例)的ACCEPT命令: sudo iptables -I INPUT 1 -s 100.64.0.0/24 -j ACCEPT 此时我们插入的ACCEPT规则会比Tailscale插入的DROP规则具有更高的优先级,ubuntu-2也能正常ping通ubuntu-3。但如果我们使用sudo tailscale down && sudo tailscale up命令断开并重新连接Tailscale网络,Tailscale就会将其自身iptables规则重新插入到列表顶端,我们新增的ACCEPT规则优先级低于Tailscale的DROP规则,从而ubuntu-2再次无法ping通ubuntu-3。 手动添加iptables规则后ubuntu-2能正常ping通ubuntu-3 Tailscale重新连接后iptables规则顺序改变,再次无法ping通ubuntu-3 Tailscale并不向外公开网络连接、断开的事件。当手动运行tailscale down时,tailscaled服务并不会停止,tailscale0网络接口也保持在UP状态,即使我们想要编写脚本来重新插入我们的iptables规则,也很难让脚本在需要的时机自动运行。 最后,运行以下命令删除刚才新增的iptables规则: sudo iptables -D INPUT -s 100.64.0.0/24 -j ACCEPT 尝试:使用Tailscale的netfilter-mode=off参数 Tailscale提供了netfilter-mode=off参数来禁止Tailscale自动创建iptables规则。这个参数能够彻底防止Tailscale创建规则丢弃我们想要的数据包,但也同时会带来其他问题。 使用sudo tailscale up --netfilter-mode=off命令连接tailscale网络后,可以注意到iptables中没有了有关Tailscale的规则,也可以正常ping通ubuntu-3了。...