米塔山

Passwall 修复版

Wed, 06 May 2026 10:47:32 +0800

发生了什么

ImmortalWRT 24.10.5 / 其它固件
PassWall 2026.4.15 / 2025.12.x 直到最新插件

在开启 IPv6 透明代理并设置分流规则后，无论使用 sing-box 还是 Xray 作为分流核心，都可能在随机时间发生死机问题。具体表现为：

SSH 无法连接或连接极其缓慢、网页管理界面几乎无法加载、CPU 满载、内存占满但没有触发 OOM、产生大量连接。

这种问题是完全随机发生的：可能几个小时后出现，也可能半个月都不出现。

目前的推断

这是为什么呢？

目前的结论是：原本 PassWall 的 nftables.sh 中，update_wan_sets() 对 WAN6 nft set 的刷新方式存在风险。

update_wan_sets() {
    local WAN_IP=$(get_wan_ips ip4)
    [ -n "$WAN_IP" ] && {
        nft flush set $NFTABLE_NAME $NFTSET_WAN
        echo "$WAN_IP" | insert_nftset $NFTSET_WAN "-1"
    }

    local WAN6_IP=$(get_wan_ips ip6)
    [ -n "${WAN6_IP}" ] && {
        nft flush set $NFTABLE_NAME $NFTSET_WAN6
        echo "$WAN6_IP" | insert_nftset $NFTSET_WAN6 "-1"
    }
}

它的流程是：

读取当前 WAN IPv4；
清空 passwall_wan；
将当前 WAN IPv4 重新插入；
读取当前 WAN IPv6；
清空 passwall_wan6；
将当前 WAN IPv6 重新插入。

在静态、低并发场景下，这通常没什么问题。

但问题出在开启 IPv6 透明代理的场景中。

PassWall 后面会使用这个 WAN6 set 做 IPv6 目的地址豁免：

nft "add rule $NFTABLE_NAME PSW_MANGLE_V6 ip6 daddr @$NFTSET_WAN6 counter return comment \"WAN6_IP_RETURN\""

passwall_wan6 里的地址会被直接返回，不进入后续代理链。
这个 set 相当于 WAN6 本机地址豁免表，也可以理解为出口地址豁免表。

原版每次更新时都会执行：

nft flush set $NFTABLE_NAME $NFTSET_WAN6

这个动作会产生一个短暂窗口：passwall_wan6 被清空，但新地址还没插入完成。这个窗口通常很短，但在以下情况下会变得危险：

IPv6 地址频繁变化，例如 DHCPv6/PD、RA、热插拔、接口 flap；
PassWall 热更新规则时，同时触发网络 hotplug；
多个 update_wan_sets 进程并发执行；
nft set 插入过程被打断，或执行顺序交错；
IPv6 TProxy 正在工作，流量持续经过 PSW_MANGLE_V6。

此时，ip6 daddr @$NFTSET_WAN6 return 暂时匹配不到 WAN6 地址，本应直连或豁免的 IPv6 流量可能继续进入 TProxy 规则，结果可能导致：

WAN6 本地地址流量被误代理；
出现 IPv6 连接异常或断流；
更严重时，可能产生代理回环，或导致访问路由器自身服务异常；
并发刷新时，后完成的旧进程还可能扰乱，甚至覆盖新进程的结果。

这里做了什么

第一步：把原来的主体函数改名为 _update_wan_sets()，外面新增一个带锁的 update_wan_sets()：

update_wan_sets() {
    local log=$1
    [ -z "$(command -v get_wan_ips)" ] && . "$UTILS_PATH"
    [ -d "$LOCK_PATH" ] || mkdir -p "$LOCK_PATH"
    (
        flock -x 9 || exit 1
        _update_wan_sets "$log"
    ) 9>"${LOCK_PATH}/${CONFIG}_update_wan_sets.lock"
}

这解决了并发问题。无论是 hotplug、PassWall reload、手动调用，还是多个网络事件同时触发，最终同一时间只有一个进程能进入真正的 WAN set 更新逻辑。

第二步，也是最关键的行为变化：IPv6 TProxy 开启时，不再 flush WAN6 set。

local WAN6_IP=$(get_wan_ips ip6)
[ -n "${WAN6_IP}" ] && {
    if [ "${PROXY_IPV6:-$(config_t_get global_forwarding ipv6_tproxy 0)}" != "1" ]; then
        nft flush set $NFTABLE_NAME $NFTSET_WAN6
    fi
    echo "$WAN6_IP" | insert_nftset $NFTSET_WAN6 "-1"
}

也就是说：

如果 ipv6_tproxy != 1，行为和原版一样：清空 passwall_wan6，再插入当前 WAN6；
如果 ipv6_tproxy == 1，跳过 flush，直接将当前 WAN6 插入 set。

这背后的判断很明确：IPv6 TProxy 开启时，passwall_wan6 不是普通缓存，而是正在被 nft 规则实时引用的关键豁免集。清空它会导致瞬时错误转发，所以宁可保留旧值，也不要让集合短暂为空。

两者的本质差异

原版是“强一致刷新”：

清空旧 WAN6 -> 插入新 WAN6

优点是集合干净，旧地址不会残留；缺点是中间存在空窗期。

MitaHill 版在 IPv6 TProxy 开启时改成“不中断补充更新”：

保留现有 WAN6 -> 插入新 WAN6

优点是 passwall_wan6 始终有内容，不会在 TProxy 运行中失去豁免能力；缺点是旧 WAN6 地址可能暂时残留在 set 里。但相比“清空导致实时流量误进代理”，这是更小的风险。

再加上 flock 后，MitaHill 版的实际流程变成：

获取锁
  - 更新 IPv4：仍然 flush + insert
  - 更新 IPv6：
    - 如果没开 IPv6 TProxy：flush + insert
    - 如果开了 IPv6 TProxy：不 flush，只 insert
释放锁

实验结果

目前运行了11天，主路由ImmortalWRT J1800
目前是稳定运行的，包含着singbox的分流和URL-Test

贡献和引用

最初的想法来源于nodeseek的用户Shikanoko在我发布的主题帖中回答了我的问题，我认为可能有关系，于是使用CodeX对Passwall的源码进行了编辑和编译，最终才进行了这样的结果。

以及，在Passwall2的Github issues中，同样有人遇到了此问题，可能是同一问题。

提供经过我修改的Passwall插件以及源码在Github上基于Passwall 2026.4.28 提交进行修改，核心改动为passwall: avoid WAN6 set flush during IPv6 TProxy updates

插件的稳定性仍然需要进行测试，在测试3个月，也就是2026.7.x -> 2026.8.x左右仍然运行稳定，我将考虑合并到Passwall主分支。欢迎对代码进行审查。

下载经过修改的正式版

OpenWRT (EXT4) 根目录扩容技术总结

Wed, 08 Apr 2026 16:15:15 +0800

opkg update

opkg install parted resize2fs losetup

parted /dev/sda print

parted -s /dev/sda resizepart 2 100%

LOOP_DEV=$(losetup -f)

losetup $LOOP_DEV /dev/sda2

resize2fs -f $LOOP_DEV

losetup -d $LOOP_DEV

reboot

售卖 DDR4内存 V100-32G SAMA机箱 1250W电源

Sun, 05 Apr 2026 10:19:13 +0800

DDR4内存
https://www.goofish.com/item?spm=a21ybx.personal.feeds.3.786f6ac2n12zem&id=1040375297378&categoryId=50025387

V100-32G
https://www.goofish.com/item?spm=a21ybx.personal.feeds.2.786f6ac2n12zem&id=1039423930013&categoryId=50025387

SAMA机箱 1250W电源
https://www.goofish.com/item?spm=a21ybx.personal.feeds.1.786f6ac2n12zem&id=1038834887935&categoryId=50025387

谁是虐猫蛆？

Sun, 05 Apr 2026 10:16:39 +0800

【【猫党慎入】愤怒！男子炫耀自己虐杀30只猫】 https://www.bilibili.com/video/BV16R4y1c7k9/?share_source=copy_web&vd_source=253bc31ade5befe79d2009465dc798cb

【最蠢最坏的群体——虐猫小子】 https://www.bilibili.com/video/BV1zuAnzmErR/?share_source=copy_web&vd_source=253bc31ade5befe79d2009465dc798cb

【经验分享】NAT66的IPV6静态路由问题排查【已解决】

Thu, 02 Apr 2026 13:32:47 +0800

主路由 R3S FriendlyWRT

R3S fd00:0:1::1
交换机fd00:0:100::1

当用户尝试通过IPV6访问互联网时

在控制面板中设置的IP地址为 fd00:0:100::2，网关为 fd00:0:100::1
指向了交换机

交换机中设置了静态路由 ::/0 下一跳 fd00:0:100::1

最开始并不知道是交换机的问题，据客户描述

排查顺序

客户在最开始的描述

好，我先介绍下，这个网络比较特殊，一个三层交换机，好几个VLAN，每个VLAN设置了ula ipv6 svi，类似于ipv4的逻辑，静态路由到nano pi r3s（friendlywrt），然后希望nat66转出去（这套逻辑v4没问题，v6只能ping通软路由lan口v6地址，不能转换出去，回程路由写了）
等于用v4的逻辑套在v6身上，内网都打通了，外网nat66好像不生效

todesk 远程后，首先查看主路由的状态

R3S主路由、WAN接光猫有IPV4 *1 和IPV6 *1 （/128)地址
主路由通过curl 6.ipw.cn可直接获取到IPV6地址，证明
IPV6 DNS无问题、IPV6网络可达

进行了tcpdump，发现链路PC-交换机-主路由完全没有抵达主路由，当PC在交换机下方发包时

root@FriendlyWrt:~# tcpdump -i any icmp6 -nn -c 10
tcpdump: data link type LINUX_SLL2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
19:44:59.885277 eth0  In  IP6 fe80::723a:a6ff:feaa:3002 > ff02::1:ff0e:c0ae: ICMP6, neighbor solicitation, who has fe80::4813:dbff:fe0e:c0ae, length 32
19:44:59.885546 eth0  Out IP6 fe80::4813:dbff:fe0e:c0ae > fe80::723a:a6ff:feaa:3002: ICMP6, neighbor advertisement, tgt is fe80::4813:dbff:fe0e:c0ae, length 32
19:45:04.951855 eth0  Out IP6 fe80::4813:dbff:fe0e:c0ae > fe80::723a:a6ff:feaa:3002: ICMP6, neighbor solicitation, who has fe80::723a:a6ff:feaa:3002, length 32
19:45:04.954337 eth0  In  IP6 fe80::723a:a6ff:feaa:3002 > fe80::4813:dbff:fe0e:c0ae: ICMP6, neighbor advertisement, tgt is fe80::723a:a6ff:feaa:3002, length 32

接着，让客户的电脑直连主路由的LAN口，并尝试访问IPV6测试页面
发现一切顺利，可以获取IPV6地址

于是，问题便到了交换机处

于是我便尝试着将这两条静态路由删除，并添加一个新的IPV6静态路由
来自于::/0下一跳fd00:0:1::1

同时将PC的网段改为100网段，打开IPV6测试网站进行测试，成功！

问题总结，宽带无问题、主路由无问题、一切便是交换机的IPV6静态路由有问题，最准确的是下一跳不知道找哪里

疑问为什么IPV6-PING 主路由可达，但浏览网页不可达呢？

局域网内部通信，依赖交换机的直连路由&主路由的静态回程路由

外网通信，依赖交换机的默认路由，将未知目的地址的数据包转发至上级网关

交换机缺乏IPv6默认路由导致交换机直接丢弃外网数据包，因此PC无法进行网页浏览等外网访问

最后问题成功解决，时间1小时30分钟，酬薪 300元

~~已做敏感信息脱敏处理，如有意见，请受着~~

https://carpt.net/index.php 全站HR，音乐综合站

Mon, 30 Mar 2026 18:02:56 +0800

https://carpt.net/index.php
全站HR，音乐综合站

2026.03.31-2026.04.01
开放自由注册2天。欢迎上车！！！

开放的OllamaAPI

Mon, 30 Mar 2026 11:47:28 +0800

在ollama-qlab.mitahill.com
具有qwen3:4b模型

由米塔山驱动，不保证稳定性，尽力而为

加入米塔山论坛！

Sat, 14 Mar 2026 08:59:50 +0800

这个论坛绝非你想象的简单，实际上是月之暗面。

https://cnm.clash.ink

屏蔽所有中国大陆IPV4地址，IPV6地址全接受

2026-03-12 米塔山自用OpenWRT固件发布

Thu, 12 Mar 2026 07:56:11 +0800

基于KWRT OpenWRT 25.12正式分支构建

但包管理器依然是opkg

特点

仅包含必要插件，bandix smartdns passwall 其余插件第三方功能插件一律不添加

以及，根目录分区大小调整为1G，可通过命令快速将整个硬盘的空闲空间改造为根目录

基于OpenWRT 25.12 Image Builder进行构建 x86-64-EFI

包含 Passwall SmartDNS UPnP Bandix插件
着重说明一下Bandix插件，这是一款新推出的流量监控插件，可以较为直观的查看客户端的流量、速率信息

第三方feed添加 dl.openwrt.ai的25.12软件仓库，需要下载其余插件直接在软件包处下载即可

支持全栈IPV6

采用ext4格式，此格式便于扩展根目录

各个组件都尽可能的保持在2026-2IP地址，经过我的测试没有任何问题，十分稳定

LAN地址 ETH0 192.168.9.1
账户/密码：root/kindmita

重点部分，如何扩展根目录到整个磁盘呢？

SSH进入OpenWRT后台，输入以下命令即可

parted -f -s /dev/sda resizepart 2 100%

losetup /dev/loop0 /dev/sda2
resize2fs -f /dev/loop0

reboot #重启，可选

完成后输入

df -h

即可发现硬盘空间已经扩展到最大

但此方案仅限于EXT4固件

下载

被GTA-OL封禁了

Sun, 08 Mar 2026 08:57:41 +0800

属于米塔山的时代结束了，如果你在2023年到2024年看到有一个叫dogemandogeman的玩家在GTA中大杀四方，那就是我

我已经被万恶的R星永久封禁了，再见了这个美丽的GTA星球

米塔山