烧脑的问题： firewalld 和 kcptun 的问题

一台 VPS ， CentOS 7 ，启用了 firewalld ， SS 安装好之后

firewall-cmd --permanent --zone=public --add-port=xxxx/tcp
firewall-cmd --permanent --zone=public --add-port=xxxx/udp

SS 就可以正常使用了，然后我再配置 kcptun ，跟没启用防火墙的时候一样的配置，然后

firewall-cmd --permanent --zone=public --add-port=xxx/tcp
firewall-cmd --permanent --zone=public --add-port=xxx/udp （这是把 kcptun 的监听端口都打开了）

然后
firewall-cmd --permanent --zone=public --add-forward-port=port=xxx:proto=tcp:toport=xxxx
firewall-cmd --permanent --zone=public --add-forward-port=port=xxx:proto=udp:toport=xxxx

firewall-cmd --permanent --zone=public --add-forward-port=port=xxxx:proto=tcp:toport=xxx
firewall-cmd --permanent --zone=public --add-forward-port=port=xxxx:proto=udp:toport=xxx
（这是在 kcptun 的监听端口和 SS 的端口之后互相转发， tcp 和 udp 都可以）

但是这样设置之后连接 kcptun 就是不行，如果把 firewalld 关了就 OK 了，打开刷刷的...请问我错在哪里？？

上面的一句话：“这是在 kcptun 的监听端口和 SS 的端口之后互相转发”，“之后”应为“之间”

似乎使用端口转发前要启用 IP 伪装：
firewall-cmd --zone=public --add-masquerade

把转发关了试试，感觉不应该把 kcptun 的请求转发到 SS ， kcptun 本身就是将 xxxx 转到 xxx

回去看看我的设置，好像不一样

实际上，你只需要开 kcptun 的 udp 监听端口就可以了啊

楼主开那么多端口的需求是什么？

kcptun:

"listen": ":port",
"target": "127.0.0.1:port1",

ss:

"server":"127.0.0.1",
"server_port":port1,

所以，你只需要开 udp port 端口就可以了

你需要先确定你的 default-zone 是 public

vps 裸奔就好了，搞这个有毛线用

masquerade 是 NAT 用的，没关系
iptables -L INPUT 看下
tcpdump -i any port KCP_PORT 抓包看下

ss 就开 tcp 就够了 kcptun 就开 udp 就够了 不需要你那一大堆
firewall-cmd --zone=public --add-port=8399/tcp --permanent
firewall-cmd --zone=public --add-port=10000/udp --permanent
我都是这样的

然后前几天用了 google bbr 已经不需要 kcptun 了

@guoluwei 如果你这样就可以用的话，那我的设置应该也可以用起来了啊，因为我的设置里面包含了你这个的意思了

@guoluwei 我把转发的几条规则都删了， OK 了～～～
bbr 怎么用？我实验下来的结果是 kcptun 比 finalspeed 好很多， bbr 我没看到简单清爽的使用教程，好像都要自己编译源码？还是内核源码？

@qceytzn bbr 直接升级下内核就行了， 10 分钟搞好

@ZRS 升级命令是啥？给个链接呗

@qceytzn https://zhujiwiki.com/10156.html

@qceytzn https://www.dou-bi.co/wlzy-15/