【安全问题】本插件添加的防火墙规则没有指定端口，导致路由器上的服务的端口可以外网访问

[lovejoy]

偶然发现openwrt上的dropbear 22端口一直有外网ip访问，检查防火墙没有设置转发，仔细查了之后发现

使用luci-app-easytier的web模式，本插件会自动帮忙添加一些防火墙规则

其中有一条是input wan里面

 #nft list ruleset
 
chain input_wan {

  counter packets 542984 bytes 46880722 accept comment "!fw4: easytier_tcp_udp"

}

这条规则查询后发现

你可以看到，input_wan 链里有一些仅用于 ping/DHCP/IGMP/WireGuard 的显式端口放行，大部分是很常见的网络协议端口。

但关键点在于：

counter packets 542984 bytes 46880722 accept comment "!fw4: easytier_tcp_udp"
这条规则不限制协议、端口、目标，也没有任何限制条件直接 accept！
也就是说，只要是到达 input_wan 链的包，都会被这一条直接 accept 放行。

关闭插件后，上面的问题解决，规则也消失。

类似wireguard
udp dport 51820 counter packets 0 bytes 0 accept comment "!fw4: Allow-WireGuard"

会设定端口。
easytier这个没设定端口需要修复，不然有很大的安全问题！

[lmq8267]

没有哦 ， 参考脚本的这里

luci-app-easytier/luci-app-easytier/root/etc/init.d/easytier

Line 295 in 68c42e0

uci set firewall.easytier_tcp_udp.dest_port="$tcp_port"

这里放行的是你指定的tcpudp监听的端口
只有你指定了才会放行这个端口 一般是11010