使用搬瓦工api操作nftables实现更新白名单ip - 版本历史

2026年1月26日 (一) 17:38 Liam

2026-01-26T17:38:36Z

←上一版本		2026年1月26日 (一) 10:38的版本
第919行：		第919行：

	如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了		如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了
			[[Category:500 常见应用指南 — Application Guides]]

EliToviyah：修改一些顺序

2026-01-26T11:31:19Z

修改一些顺序

←上一版本		2026年1月26日 (一) 04:31的版本
第87行：		第87行：
	如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"		如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

	这里还~~有一个位置需要~~输入 <code>ls /root/update_fw.sh</code>		这里还应该输入 <code>ls /root/update_fw.sh</code>

	'''检查这个目录是否有一个叫update_fw.sh如果有的话你也需要修改避免被覆盖'''		'''检查/root目录是否有一个叫update_fw.sh的文件如果有的话你也需要修改避免被覆盖'''

	上面蓝色框框的说明有存在的同名文件那你就需要修改成 > /root/别的文件名.sh那么下文中的所有/root/update_fw.sh都要改成你自己的文件名		上面蓝色框框的说明有存在的同名文件那你就需要修改成 > /root/别的文件名.sh那么下文中的所有/root/update_fw.sh都要改成你自己的文件名
第317行：		第317行：
	请根据你实际的veid和API_Key修改		请根据你实际的veid和API_Key修改

	这两个如果你知道干嘛的也可以改 ~~CACHE_FILE="/etc/config/vps_last_ip"~~ 保存上传的ip防止重复调~~用API LOG_FILE~~="/~~tmp~~/~~vps_sync_error.log~~" 把执行过程和结果保存到这个文件里		这两个如果你知道干嘛的也可以改

			保存上传的ip防止重复调用

			CACHE_FILE="/etc/config/vps_last_ip"

			把执行过程和结果保存到这个文件里

			API LOG_FILE="/tmp/vps_sync_error.log"

	最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本		最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本
第832行：		第840行：

	修改以下代码中的		修改以下代码中的

			<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT \| /root/checkip.sh"</code>

	UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515		UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

	[[File:Logre.png\|border]]		[[File:Logre.png\|border]]


	<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT \| /root/checkip.sh"</code>		<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT \| /root/checkip.sh"</code>

EliToviyah：再次修复排版...

2026-01-26T06:01:28Z

再次修复排版...

←上一版本		2026年1月25日 (日) 23:01的版本
第555行：		第555行：
	ssh连接后		ssh连接后

	====== ~~'''~~切换到root账户~~'''~~ ======		====== 切换到root账户 ======
	* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''		* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
	* 输入 Root 密码（输入时看不见）。		* 输入 Root 密码（输入时看不见）。

EliToviyah：修复排版

2026-01-26T06:00:04Z

修复排版

←上一版本		2026年1月25日 (日) 23:00的版本
第554行：		第554行：
	===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====		===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
	ssh连接后		ssh连接后
	~~'''切换到root账户'''~~

			====== '''切换到root账户''' ======
	* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''		* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
	* 输入 Root 密码（输入时看不见）。		* 输入 Root 密码（输入时看不见）。

EliToviyah：增加一个可能出错的小提示

2026-01-26T02:37:50Z

增加一个可能出错的小提示

←上一版本		2026年1月25日 (日) 19:37的版本
第843行：		第843行：
	如果你的文件名改了的话就需要修改… 没改就不用改..		如果你的文件名改了的话就需要修改… 没改就不用改..

	修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">		同理 <code>/etc/systemd/system/router-log-watcher.service</code>
	cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
			这个地方你也应该输入 <code>ls /etc/systemd/system/router-log-watcher.service</code>

			查看文件是否存在.如果存在就改名字如果不存在就不用改了和上面服务器部分的 ls /root/update_fw.sh 一样

			修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
	[Unit]		[Unit]
	Description=Router Log Watcher		Description=Router Log Watcher
第860行：		第865行：
	[Install]		[Install]
	WantedBy=multi-user.target		WantedBy=multi-user.target
	EOF		EOF</syntaxhighlight>这个不怎么混乱直接回车就行
	</syntaxhighlight>这个不怎么混乱直接回车就行

	然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改		然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

EliToviyah：添加一个...有可能出错的示例

2026-01-26T02:34:59Z

添加一个...有可能出错的示例

@@ 第86行： / 第86行： @@
 如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"
 在下面的代码框里的对应位置改 可以先复制到记事本上 改完再全选重新复制 粘贴到ssh里面 回车
@@ 第222行： / 第235行： @@
 这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。
 === 调用API部分 ===

EliToviyah：创建使用bash 调用api 操作nftables 刷新白名单ip

2026-01-25T08:26:10Z

创建使用bash 调用api 操作nftables 刷新白名单ip

新页面

== '''<big>请注意不要泄漏API_Key 任何时候都不要泄露防止服务器和API被盗用应当在安全的设备上使用API 防止API_Key被盗取</big>''' ==

<big>'''根据可实时知晓ip变化的办法不同您需要的工具也不相同..最多需要多一台本地的Linux服务器(不是防火墙所在的那个服务器哦)'''</big>

== 使用前准备 ==

=== 切换到root或有高权限的用户 ===
输入<code>whoami</code>(蓝色输出)或者查看 @之前的名字(绿色框)就是使用的用户

[[File:Whoami2.png|border]]

如果是root就是root就可以了

如果不是

[[File:Suroot.png|border]]

你输入 <code>nft list ruleset</code> 或者 <code>sudo nft list ruleset</code> 输入你的密码和上图一样说明没权限….

尝试切换到root账户

输入 <code>su -</code> 然后输入 '''root 用户'''的密码。输入的密码不会显示输入好后按回车就行变成root就说明成功了

[[File:Suroot2.png|border]]

=== 防火墙部分 ===
输入 <code>sudo nft list ruleset</code>

[[File:Nftlist.png|border]]

你的防火墙中应该有一个空白的链专用户白名单然后在含有粉色框框(主要是含有hook input就行)代码的链中 jump这个链另外先不要改成policy drop;

如果没有链的话如何创建链

<code>sudo nft add chain inet my_firewall allowed_ip</code>

请根据自己的表的类型inet 表的名字 my_firewall 自行修改哦

allowed_ip可以改成自己想要的名字比如sudo <code>nft add chain inet my_firewall whiteip</code>

要先有链才能jump 链的名字

如何添加一条jump allowed_ip 规则呢

<code>sudo nft add rule inet my_firewall my_input jump allowed_ip</code>

还是一样要修改成自己的表的类型表的名字刚刚创建的链的名字

要把这个jump allowed_ip 添加到含有粉色代码的chain里面也就是(my_input)

=== 服务器部分 ===
'''创建一个脚本用 API 调用这个脚本就好了免去了 API中过多的指令'''

'''如果你是从 [[服务器安全-防火墙 nftables]] 那文章一步一步没有修改防火墙的表链的话直接复制代码框的全部内容粘贴到ssh里面按回车文件就创建好了'''

如果你修改了防火墙的表和链的名字或不是根据那篇文章来的

请修改下面代码中的内容根据自身情况修改只需要修改=后面 “” 双引号里面的内容

[[File:Nftlist3.png|border]]

* TABLE_NAME="my_firewall"
** 这个是表的名字蓝色框框
* CHAIN_NAME="allowed_ip"
** 这个是链的名字绿色框框这个链的名字一定不是你包含 hook input 粉色这一行的那个链..因为会被清空..然后就会可能导致防火墙规则混乱…一定要是另外一个专门的链
* FAMILY="inet"
** 这个是表类型红色框框

'''示例'''

[[File:Nftlist3-1.png|border]]

如示例中的图就要改成这样的

CHAIN_NAME="allowed_mobile" TABLE_NAME="filter"

FAMILY="inet" 不变

如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

在下面的代码框里的对应位置改可以先复制到记事本上改完再全选重新复制粘贴到ssh里面回车

[[File:Apiconfig.png|border]]

'''代码框的脚本如下:'''<syntaxhighlight lang="bash">
cat << 'EOF' > /root/update_fw.sh
#!/bin/bash

# --- 用户配置区 ---
TABLE_NAME="my_firewall"
CHAIN_NAME="allowed_ip"
FAMILY="inet"

# --- 获取参数并剔除所有空格 ---
IP1=$(echo "$1" | tr -d '[:space:]')
IP2=$(echo "$2" | tr -d '[:space:]')

VALID_IPS=()
NFT_TYPES=()
SUCCESS_LIST=""
FAILED_LIST=""

# --- IP 校验函数 ---
check_ip() {
local input=$1
[[ -z "$input" ]] && return 1

local raw_ip="${input%/*}"
local mask="${input#*/}"

# 自动识别默认掩码
if [[ "$input" != */* ]]; then
if [[ "$raw_ip" =~ : ]]; then mask=128; else mask=32; fi
fi

# 1. IPv4 校验
# 原来的 2[0-4][0-5] 改为了 2[0-4][0-9]
if [[ "$raw_ip" =~ ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 32 ]] && return 1
echo "ip|$raw_ip/$mask"
return 0
fi

# 2. IPv6 校验 (简化版正则，兼容性更好)
if [[ "$raw_ip" =~ ^(([0-9a-fA-F]{1,4}:){1,7}[0-9a-fA-F]{1,4}|([0-9a-fA-F]{1,4}:){1,7}:|:(:[0-9a-fA-F]{1,4}){1,7}|::|([0-9a-fA-F]{1,4}:){1,7}:[0-9a-fA-F]{1,4})$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 128 ]] && return 1
echo "ip6|$raw_ip/$mask"
return 0
fi

return 1
}

process_arg() {
local arg=$1
[ -z "$arg" ] && return
local res
res=$(check_ip "$arg")
if [ $? -eq 0 ]; then
local full_ip="${res#*|}"
VALID_IPS+=("$full_ip")
NFT_TYPES+=("${res%|*}")
SUCCESS_LIST+="$full_ip "
else
FAILED_LIST+="$arg "
fi
}

process_arg "$IP1"
process_arg "$IP2"

# --- 极简反馈逻辑 ---
if [ ${#VALID_IPS[@]} -eq 0 ]; then
echo "Error: No valid IP provided ($FAILED_LIST)"
exit 1
fi

# 执行 Nftables 操作
nft flush chain $FAMILY $TABLE_NAME $CHAIN_NAME || { echo "Error: NFT chain not found"; exit 1; }

for i in "${!VALID_IPS[@]}"; do
nft add rule $FAMILY $TABLE_NAME $CHAIN_NAME ${NFT_TYPES[$i]} saddr ${VALID_IPS[$i]} accept
done

# 成功返回
echo "OK: Allowed $SUCCESS_LIST"
EOF
</syntaxhighlight>解释一下代码框里面指令的意思

* '''<code>cat</code> (Concatenate)'''：原本是用来“查看”或“拼接”内容的，但在这种组合中，它负责接收你输入的一大段文字。
* '''<code><<</code> (输入重定向)'''：这叫“在此处开始读取”。它告诉系统：“别去翻别的文件了，接下来的内容就是我要给你的，直到我遇到结束标记为止。”
* '''<code>'EOF'</code> (End Of File)'''：
** '''开始标志'''：它是你自定义的一个“暗号”。
** '''为什么要加单引号 <code>' '</code>？'''：加了单引号，系统就会“原样搬运”中间的内容，不会去解析里面的 <code>$变量</code>。这对于写入包含变量的脚本至关重要，否则这些变量在写入文件前就会被当前系统搞乱。
* '''<code>></code> (覆盖写入)'''：它的意思是“清空目标文件并把内容倒进去”。
* '''<code>/root/update_fw.sh</code>'''：这是目的地。系统会在指定路径创建或覆盖这个脚本文件。
* 中间的内容就是要写入文件的内容是我们的核心代码
* '''最后的 <code>EOF</code>'''：这是“结束暗号”。系统看到它，就知道“打包”结束了，正式保存文件。

[[File:Apinftedit1.png|border]]

我们可以看到最后蓝色框的时候有点混乱没事的直接按回车就行了

然后我们可以输入 <code>cat /root/update_fw.sh</code> 查看一下文件内容确认有写入内容就好了

[[File:Catupdateip.png|border]]

创建好后

[[File:Apinftquanxian.png|border]]

你可以先输入 <code>ls -l /root/update_fw.sh</code>

这个意思是以长格式查看/root/update_fw.sh 文件的信息

* 第一位 - 代表是文件的意思 d是目录
* 第二位到第四位 rw- 就是拥有这个文件的人的权限第一个代表的是读取如果有这个权限显示r如果没有就是-第二个是写入(编辑)的权限有这个权限就显示w没有就是-第三位是执行(运行)这个文件的权限有就显示x没有就显示- 这里显示-证明在chmod之前是没有执行权限的
* <code>r--</code> 这个文件所属组的权限同上第一位是读取r说明有第二位是-说明没有写入权限第三位是-说明没有执行权限
* <code>r--</code> 这个是其他人也是一样的有读取权限没有写入和执行权限
* 1 代表这个文件在磁盘上只有这一个‘
* root root 第一个root 代表拥有这个文件的人第二个 root 代表这个文件属于root组
* 2675 文件大小Byte
* Jan 22 01:07 修改时间
* /root/update_fw.sh 文件信息的文件

为了安全取消掉其他的权限我们输入

<code>chmod 700 /root/update_fw.sh</code>

这个指令的意思是设置这个文件的权限是700 700的意思就是只有这个文件的拥有人(root ls -l看到的)才可以读取写入和执行其他的两个0代表所属组没有任何权限和其他所有人没有任何权限。

这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。

=== 调用API部分 ===
获取搬瓦工服务器的API_Key和veid

请参考 [[搬瓦工api使用]]

== 使用搬瓦工API触发服务器上的脚本变更防火墙nftables的chain 从而实现动态更新白名单ip ==

=== ipv6的网段 V6_MASK ===
这个..如果你想同时更新ipv6的白名单有一个问题

就是ipv6 每个设备都有一个ipv6地址(各不相同) ipv4的时候你用电脑手机连接到同一个路由器的话一般都是走的同一个ipv4地址而ipv6不同…所以如果你只是更新了你这个设备的ipv6地址的话…别的设备仍然不在白名单中…这就需要网段

==== 请登录路由器 ====
[[File:Router1.png|border]]

找到这个前缀长度…把V6_MASK改成60就行了这样就是说连接路由器的都可以进白名单了

所有的代码中都有一个可以修改的变量.. V6_MASK="/64" 单个设备请改为 /128 一些地区可能是48 但48有点危险范围太大你的邻居可能也在这之中那为什么是64呢因为我的是64……哦我记错了我是60….

== 可实时更新ip变化的办法 ==

=== Linux系 ===

==== OpenWrt类 ====

===== 检查是否安装了curl =====
输入 <code>curl</code> 如果显示 -ash: curl not found

安装curl和证书为了访问https网站

<code>opkg update && opkg install curl ca-bundle</code>

[[File:Openwrtcurl.png|border]]

curl 8.12.1有这样的版本号有IPv6 有ssl 确保有他们就可以啦

===== 检查获取ip 的url是否有效 =====
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在后续的代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

==== 开始 ====
在 OpenWrt 中，每当接口（WAN）状态发生变化（比如重连、获取到新 IP、掉线）时，系统会自动触发对应的脚本。 OpenWrt 的网络热插拔脚本存放在： <code>/etc/hotplug.d/iface/</code>

'''进入目录：'''<code>cd /etc/hotplug.d/iface/</code>

[[File:Openwrtcd.png|border]]

'''创建脚本：'''

修改下面代码你可以先复制到记事本或者别的文本编辑工具里面最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Testfileis.png|border]]

下图就是有那么你就要换一个名字

/etc/hotplug.d/iface/99-这里改成你想要的名字

比如 /etc/hotplug.d/iface/99-sync-vps-firewall1

[[File:Testfileno.png|border]]

修改后…复制粘贴到ssh里面回车就创建好脚本了

代码块如下:<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/hotplug.d/iface/99-sync-vps-firewall
#!/bin/sh

# 只要是接口启动(ifup)就触发
[ "$ACTION" = "ifup" ] || exit 0

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 用户可以分别设置获取地址（可以相同，也可以不同）
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/tmp/vps_sync.log"
MAX_LINES=100

# --- 文件初始化与清理函数 ---
init_files() {
sleep 10
# 1. 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
echo "$(date): [系统] 初始日志文件已创建" >> "$LOG_FILE"
else
# 日志滚动清理逻辑
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 50 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成" >> "$LOG_FILE"
fi
fi

# 2. 处理缓存文件及其目录
local cache_dir=$(dirname "$CACHE_FILE")
if [ ! -d "$cache_dir" ]; then
mkdir -p "$cache_dir"
echo "$(date): [系统] 创建缓存目录: $cache_dir" >> "$LOG_FILE"
fi

if [ ! -f "$CACHE_FILE" ]; then
touch "$CACHE_FILE"
# 初始化空变量，防止脚本第一次读取时报错
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
echo "$(date): [系统] 初始缓存文件已创建" >> "$LOG_FILE"
fi
}

# --- IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 1
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi
return 1
}

# 1. 初始化
init_files

# 2. 执行双栈并行/独立获取
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 3. 基础校验：至少得有一个 IP 吧
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
exit 1
fi

# 4. 缓存对比 (防重复刷 API)
[ -f "$CACHE_FILE" ] && . "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
exit 0
fi

# 5. 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 6. 解析结果
HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"
RESPONSE_CLEAN=$(echo "$RESPONSE_JSON" | tr -d '\n\r ')
ERROR_CODE=$(echo "$RESPONSE_CLEAN" | grep -o '"error":[0-9]*' | cut -d: -f2)
MESSAGE=$(echo "$RESPONSE_CLEAN" | grep -o '"message":"[^"]*"' | sed 's/"message":"//;s/"$//')

# 7. 写入中文日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] IP变更同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
echo "同步成功: $MESSAGE"
else
[ -z "$MESSAGE" ] && MESSAGE="请求异常: $RESPONSE_JSON"
echo "$(date): [失败] 同步失败。详细原因: $MESSAGE" >> "$LOG_FILE"
echo "同步失败: $MESSAGE"
fi
EOF
</syntaxhighlight>[[File:Catcmd1.png|border]]就像这样粘贴后回车就行

输入<code>chmod 755 /etc/hotplug.d/iface/99-sync-vps-firewall</code>赋予执行权限

输入 <code>ls -l /etc/hotplug.d/iface/99-sync-vps-firewall</code> 查看赋予权限是否成功

[[File:Openwrtisok.png|border]]这样你可以重启试试看… 可以输入

<code>cat /tmp/vps_sync_error.log</code>

查看是否成功

[[File:Openwrtlastok.png|border]]

前面的蓝色框框说成功指的是API成功了里面的ip是本地上传给服务器更新的ip 后面红色框框 OK才是防火墙成功的意思后面的ip就是更新的ip 如果有一个ip无效或者…就不会显示了

==== 常见错误 [[File:Openwrterror.png|border]] ====
身份验证失败意思就是说 veid 或者 api_key 的内容错误

[[File:Openwrterror1.png|border]]

没有找到链

你可以看到蓝色框的是防火墙指令..红色框是表

可能是表(inet my_firewall) 或者链(allowed_ip) 的名字和服务器防火墙的对不上你可以去服务器<code>nft list ruleset</code>看一下

==== 华硕路由器官方固件 ====
因为官方固件没有提供重新连接网络后执行脚本的功能所以我们需要一台本地的Linux服务器了(不是防火墙所在的那个服务器哦)…

===== 查看Linux服务器的ip (本地的局域网内的) =====
ssh连接的那个ip就是了…

如果你忘记了输入 <code>ip addr</code> 找个eth0或者 ens18 这样一般都是默认网络接口里面的ip地址蓝色框框

[[File:Seeserverip.png|border]]

===== 借助监听远程日志触发API更新防火墙白名单IP =====
用浏览器登陆你的路由器后台输入用户名和密码一般的地址是 192.168.1.1 如果不是可以打开 <nowiki>http://www.asusrouter.com/</nowiki> 试试

[[File:Loginrouter.png|border]]
找到系统记录单击

[[File:Syslog.png|border]]

[[File:Logre.png|border]]

远程记录服务器输入你的本地局域网linux服务器的ip

远程记录服务器端口默认514 '''如果你的linux服务器占用'''514的话就改一下

====== 如何查看是否占用 ======
ssh连接那台服务器
'''切换root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]
输入 <code>sudo ss -tunlp | grep :514</code>

如果你没有安装sudo就会提示

[[File:Errorsudo.png|border]]

那就不需要输入sudo 了直接

<code>ss -tunlp | grep :514</code>

[[File:Ss.png|border]]

这样有输出就是被占用了占用的话换一个就行了

这样没有输出就是没占用

[[File:Noss.png|border]]

然后点击应用本页面设置

===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
ssh连接后
'''切换到root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

====== 安装socat ======
socat的功能很强大是一个多功能的网络工具我们这里用于接收路由器发过来的日志…

'''Debian / Ubuntu / PVE / Armbian 系：'''

<code>apt update && apt install socat -y</code>

'''Red Hat / CentOS / Rocky Linux 系：'''

<code>yum install socat -y</code>

新一些Red Hat/CentOS/Rocky Linux希的系统可以使用<code>dnf install socat -y</code>

安装后输入 <code>socat -V</code> 确认安装成功

[[File:Socatok.png|border]]

====== 检查获取ip 的url是否有效 ======
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

====== 创建脚本 ======
修改下面代码块的代码你可以复制到记事本或者其他文本编辑器里面修改

最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

根据刚才测试的结果来决定要不要替换

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>" CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

V6_MASK="/64" 也可以修改详情看上方的 '''ipv6的网段 V6_MASK'''

最后要检查的输入 <code>ls /root/checkip.sh</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Nocheckip.png|border]]

下图这样就是有就需要修改/root/checkip.sh 比如修改成 /root/checkip1.sh

[[File:Havecheckip.png|border]]

修改后

全部选择复制粘贴到ssh里面按回车

代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/checkip.sh
#!/bin/bash

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 获取 IP 的地址
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/var/log/vps_sync.log"
MAX_LINES=100 # 日志保留行数

# --- 1. 初始化文件与目录 ---
init_files() {
# 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
else
# 日志滚动清理
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 100 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成 (保留末尾100行)" >> "$LOG_FILE"
fi
fi

# 处理缓存目录及文件
local cache_dir=$(dirname "$CACHE_FILE")
[ ! -d "$cache_dir" ] && mkdir -p "$cache_dir"

if [ ! -f "$CACHE_FILE" ]; then
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
fi
}

# --- 2. IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s4 --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- 3. IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s6 --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 4
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi

return 1
}

# --- 4. 核心同步逻辑 ---
sync_ip() {

# 刚收到日志时，给网络层 5-10 秒的初始化时间
sleep 10

# 获取当前 IP
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 基础校验
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
return 1
fi

# 读取缓存并对比
. "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
echo "$(date): [跳过] IP 未发生变化，取消同步" >> "$LOG_FILE"
return 0
fi

# 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
local RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 解析结果
local HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
local RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"

# 核心解析：压缩 JSON 并提取字段
local CLEAN_JSON=$(echo "$RESPONSE_JSON" | tr -d '\n\r' | tr -s ' ')
local ERROR_CODE=$(echo "$CLEAN_JSON" | sed -n 's/.*"error":[ ]*$[0-9]*$.*/\1/p')
local MESSAGE=$(echo "$CLEAN_JSON" | sed -n 's/.*"message":[ ]*"$.*$"[ ]*}.*/\1/p' | sed 's/\\//g')

# 写入日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] 同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
else
[ -z "$MESSAGE" ] && MESSAGE="$CLEAN_JSON"
echo "$(date): [失败] 同步失败。HTTP: $HTTP_CODE, ERROR: $ERROR_CODE, 原因: $MESSAGE" >> "$LOG_FILE"
fi
}

# --- 5. 监听入口 ---
init_files

# 如果直接运行脚本（无管道输入），执行一次同步
if [ -t 0 ]; then
sync_ip
else
# 如果有管道输入（来自 socat），则监听日志触发
while IFS= read -r line; do
if echo "$line" | grep -qi 'local *IP address'; then
echo "$(date): [触发] 检测到路由器拨号日志" >> "$LOG_FILE"
sync_ip
fi
done
fi
EOF
</syntaxhighlight>[[File:Cathuashuo.png|border]]

粘贴之后有点混乱不用管直接回车就行了

然后

检查一下输入 <code>cat /root/checkip.sh</code> 有内容就好了

[[File:Catcheckip.png|border]]

授予运行权限 <code>chmod +x /root/checkip.sh</code>

然后输入 <code>ls -l /root/checkip.sh</code> 查看多了三个x 就对了如果像红色框框没有x 就不对请重试 <code>chmod +x /root/checkip.sh</code>

[[File:Lslcheckip.png|border]]

然后你就可以输入

<code>/root/checkip.sh</code>

如果第一次测试成功了以后想测试的话运行这个 <code>rm /etc/config/vps_last_ip && /root/checkip.sh</code>

需要<code>rm /etc/config/vps_last_ip</code>删除本地保留的ip记录就是说如果这个ip记录和获取到的一样是不会运行api执行脚本的

测试一下相当于是手动更新..不是自动更新

[[File:Testcheckip.png|border]]

不会有内容输出

需要查看日志 <code>cat /var/log/vps_sync.log</code>

如果是下图那样就是成功了要看红色的红色框是vps服务器返回的OK 就是真的成功了 Allowed:后面是成功添加的ip 一个是ipv4 一个是ipv6的

蓝色框的成功说的是API使用成功提交的IP是哪些

在此再次提醒您使用时保管好Veid和API_Key 你看我打码服务器名字然而还是在这里漏了...以前的打码就没意义了

[[File:Checkipok.png|border]]

====== 常见错误 ======
[[File:Errorapi.png|border]]

身份验证错误一般代表 api_key 或 veid 的内容填写错误就是= 后面的 "" 里面的内容比如VEID="就这里错了" API_KEY="这里"

====== 配置开机启动和自动更新 ======
使用systemctl配置开机启动和自动根据日志更新

修改以下代码中的

UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

[[File:Logre.png|border]]

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

这里面的 <code>/root/checkip.sh</code>

如果你的文件名改了的话就需要修改… 没改就不用改..

修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
[Unit]
Description=Router Log Watcher
After=network.target

[Service]
Type=simple
# 管道命令：socat 接收 UDP 514，然后传给脚本
ExecStart=/bin/bash -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"
Restart=always
RestartSec=5
# 如果脚本需要 root 权限，确保 User=root
User=root

[Install]
WantedBy=multi-user.target
EOF
</syntaxhighlight>这个不怎么混乱直接回车就行

然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

[[File:Catsystemctl.png|border]]

输入这个意思是识别新服务

<code>systemctl daemon-reload</code>

在输入这个意思是启动并设置开机自启

<code>systemctl enable --now router-log-watcher.service</code>

[[File:Startsystemctl.png|border]]

最后输入

<code>systemctl status router-log-watcher.service</code>

[[File:Staratok.png|border]]

蓝色的框是已经运行了绿色的是enabled 是设置了开机自动启动

现在可以重启路由器获取新的ip试试了

输入 <code>cat /var/log/vps_sync.log</code> 这样就是成功了

[[File:Apinftisok.png|border]]

如果ipv6获取的速度慢可能出现防火墙没有允许ipv6的情况

[[File:Apinftiserror.png|border]]

遇到极端情况下可以手动更新

<code>rm -f /etc/config/vps_last_ip && /root/checkip.sh</code>

删除存储的ip然后执行脚本 ip一直相同的话是不会调用api的

另外如果你修改了/root/checkip.sh 那么还要输入 <code>systemctl restart router-log-watcher.service</code> 重启这个服务才生效

如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了

使用搬瓦工api操作nftables实现更新白名单ip - 版本历史

2026年1月26日 (一) 17:38 Liam

EliToviyah：​修改一些顺序

EliToviyah：​再次修复排版...

EliToviyah：​修复排版

EliToviyah：​增加一个可能出错的小提示