真贵，以前买的 18$希望能换 ip ，对方还不愿意，现在竟然可以 19$换 ip ，我当然更不愿意。

现在用搬瓦工只使用 l2tp,stunnel,kcptun 还是非常稳定的。像 softether 自己的客户端似乎很容易触发直接强行半路砍断连接。

没什么特别大的需求的话， mtk7620 的 asus 固件信号稳定，类 tomato 设置可能是个蛮好的选择，没碰到过兼容问题。联想 Y1s 在 openwrt 15.05 在 pppoe 掉线重拔时就非常容易导致路由 reboot 。类似情况在优酷路由宝 openwrt 15.05.1 又不再出现。

至于无线导致的断流，同样的优酷路由宝刷的同样的 openwrt 15.05.1 在家里就从来没遇到过无线在却无网络情况，公司在使用笔记本的 intel 无线网卡时却有很大的机率重复出现无线断流情况发生，有 SSID 却无网络。

至于千元设备，没什么好推荐的，自己手里最贵的也就 rb2011 ，很多时候对于 wifi 11ac 不怎么感冒，更多的还是对固件能实现的功能比较感兴趣。 49 块的优酷路由宝也不错了。。。能刷 openwrt 有接近 4000 的包可选择，这也是为什么没时间玩树莓派， openwrt 就可以完成很多任务，只是很多不是现在市面宣传的智能路由概念，很多还是需要自己在 cli 界面玩， linux 很好很强大。

华硕的东西是好，可是性价比太差劲。它家的千元级设备也许唯一的好处就是华硕制造，有 11ac+千兆端口，仅此而已。自从它家使用了 tomato 的源码并且开源，华硕的固件早就是满大街都是。仅这个功能 50 块的优酷路由宝也可以刷。。。。

现在市面上满大街的 100 块以下的 mtk7620 通刷 asus 固件。

凤凰城是测试过的最适合浙江电信的，一整年都没折腾过机房。 kcptun 直接 1000kb/s 全速下载。

经常很奇怪的问题看似同样的地点，为什么还是有人反应快有人反应慢。如果不熟悉 iptables 知识，慢快也很正常。关于 ssh 的问题可以搜一下 iptables tcp reset 。只是不全面掌握 iptables 知识，光靠网上的简短介绍 iptables 阻止 tcp reset 对于菜鸟来说依然是一片迷茫。

这个应该是个简单的问题啊，对于 iptables -P INPUT DROP 防火墙。很多教程往往缺少一句
你可以 iptables -S INPUT
然后尝试 iptables -I INPUT -i tun0 -j ACCEPT 也就是接受来自 vpn 虚拟 tun0 接口的的数据。

另外就是控制进程的

海卓手机加速
http://www.coolapk.com/apk/net.hidroid.hitask

竟然在 moto g2 上不能正常使用海卓手机加速，这个也不错。
ES 任务管理器
http://www.coolapk.com/apk/com.estrongs.android.taskmanager

想知道后台真正跑的进程吗。

系统监控:OS Monitor
http://www.coolapk.com/apk/com.eolwral.osmonitor

不要做一些你无法控制的事情。 android 下面最好的防火墙软件，需要 root
http://www.coolapk.com/apk/com.jtschohl.donate.androidfirewall
你只需要在软件
设置自定义脚本 /自定义禁用脚本 在防火墙被禁用时执行的脚本： 输入
iptables -F
iptables -X
保存就可以了，避免和系统自带的 iptables 规则冲突而导致流量限制无效。

android 下面恶心的软件当然是非常多，比如最近遇到的泰捷播放器，退出客户端，后台进程并末退出发起大量的连接，耗电池又耗流量。

要有效的使用 adnroid firewall 控制手机的流量进出，而不是借助 android 这个根本显示不准确的界面。

1,首先家用网络跟企业带宽的最大一个区别就是并发数有限制。像家里用的电信 8M 光纤大概在 1500 个左右的并发数。
2,控制流量有直接对流量进行控制，看不见的使用并发限制对流量进行控制，所以一旦超过 1500 个左右的并发，那么电信局端开始丢包，那么 tcp 的 3 次握手过程就无法建立，那么流量自然会被抑制。
3,其它的可能设备本身的固件优化就限制了并发的连接，甚至电信有意无意的提供有问题的固件。曾经就在 ADSL 时代使用过电信送的 ADSL modem 上海贝尔吧，这 modem 的特点就是一旦使用 p2p 程序流量就开始自动波动。。。后来刷 tplink 的固件解决。

4,迅雷跟 QQ 旋风有很大差别，迅雷随便就是 1200+并发数，而 QQ 旋风才只有 400+左右。从平时观察的经验来看，显然迅雷发起了很多无意义的并发数。甚至一个设计不合理的 QOS 规则会导致连路由管理界面都无法打开。。。

5,9 楼提供的针对 tcp udp 的连接消亡控制是有意义的，它能有效的让一些不必要的连接快速消亡，但是显然不主动控制，这些默认的消亡时间还是不够快。

5,所以问题就在如何控制并发数量在 1500 以下。
ddwrt 提供了一种非常有效的针对特定 ip 抑制并发的方法
https://www.dd-wrt.com/wiki/index.php/Preventing_Brute_Force_Attacks
最终的例子就变成
a.使用 limit 对源 ip 192.168.1.2 发往外界的并发数进行匹配发送，抑制了发送的包，自然根据 tcp 的握手过程抑制了接收的包。 limit 非常平滑不像 connlimit 一样会直接造成网络断开，更丰富的控制选项可能就是 hashlimit 了
b.规则 1 规则 2 对网页浏览端口和其它端口进行自上而下的区分，似乎简单的 iptables 规则的上下排序就能解决迅雷问题。总共有 100 包，每秒相应可以产生 60 包，这个 limit 的解释还是比较晕，自己 google 吧
c.规则 3 抑制 icmp 包的生成，似乎在一些 p2p 环境确认有用。
d.规则 4 规则 5 对剩余的过量的包用 REJECT 进行快速丢弃， 9 楼的 timeout 消亡设置就有快速的回应效果了
e.规则 6 剩余的其它包只能丢弃处理了。
a="`iptables -vnL FORWARD --line-numbers | grep "PMTU" | cut -c1-5` - 1";a=`expr $a`
规则 6 iptables -I FORWARD $a -s 192.168.1.2 -j DROP
规则 5 iptables -I FORWARD $a -s 192.168.1.2 -p udp -j REJECT --reject-with icmp-proto-unreachable
规则 4 iptables -I FORWARD $a -s 192.168.1.2 -p tcp -j REJECT --reject-with icmp-proto-unreachable
规则 3 iptables -I FORWARD $a -s 192.168.1.2 -p ICMP --icmp-type echo-request -m limit --limit 4/sec -j ACCEPT
规则 2 iptables -I FORWARD $a -s 192.168.1.2 -m limit --limit 60/s --limit-burst 100 -j ACCEPT
规则 1 iptables -I FORWARD $a -s 192.168.1.2 -p tcp -m multiport --dport 80,443 -m limit --limit 60/s --limit-burst 100 -j ACCEPT;

上面的方法针对特定 ip 对付迅雷时打开网页是有效果的。只是如果处理不好--limit --limit-burst 对其它正常应用是有一定的抑制作用的

6,openwrt 采用的是对 INPUT 方向的 syn_flood 进行抑制，那么回应的包自然也相应抑制。昨天刚迅雷过虽然网速才 300-800kb/s 之间波动，但是至少网页打开流畅。显然 openwrt 的防火墙规则还是有很大的区别于 ddwrt tomato 的性能上的优化。

-A INPUT -i pppoe-wan -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-N syn_flood
-A syn_flood -m limit --limit 3/sec --limit-burst 25 -j RETURN
-A syn_flood -j DROP

7,一个设计良好的 qos 规则也是有一定的抑制效果的。可以参考
我的 tomato 原版 QOS 设定
http://www.right.com.cn/forum/thread-102891-1-1.html
(出处: 恩山无线论坛)

wifidog 没怎么研究， chillispot 倒为这个弹窗问题，最后的答案

Your Client gets a Chillispot IP but no welcome page, or certain websites don't open (MTU Bug)
http://www.dd-wrt.com/wiki/index.php/Hotspot_Chillispot#Your_Client_gets_a_Chillispot_IP_but_no_welcome_page.2C_or_certain_websites_don.27t_open_.28MTU_Bug.29
哎，已经在梦游状态了，也不知道具体哪条才有效果，反正是可以了。
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1421:65535 -j TCPMSS --clamp-mss-to-pmtu
iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

直接使用自己的路由器 pppoe 拔号是最佳模式。从描述上来看也替换过 tplink 看起来无法确认问题所在。
上次电信好心打了 5 通电话要我升级 20m 我忍了，因为上行却只有原先的一半，按以前的数据最多只有 140kb/s 。一般测下行比较准确的方法只接一台电脑，直接去 qq.com 下载 qq 通过 web 单线程确认。
曾经用过峰火 hg260 当时上海电信只有 130kb/s 上行，使用快播似乎也就 500kb/s 左右。太小的上行会因为并发连接过多或者拥塞而导致下行也不及格。以前 adsl 时代电信的猫又叫阉割猫，固件应该是故意导致使用 p2p 时流量非常不稳定，通常更新正常固件解决。光纤时代倒没碰到过，哈才用过 4 个光纤猫谁知道电信黑手。

tplink 的路由器通常不存在 qos 设置。
1 ，首先确定网线是否是 586b
2,web 单线程下载确定下行
3 ， qq 邮箱附件上传确认上行是否只有 1m 左右
4 ，是否 p2p 时连路由器管理界面都打不开
5 ，高级玩家尝试 qos 设定，尝试对 p2p 电脑 ip 进行并发抑制，以前用 4M 时迅雷 1200 并发，网络基本就趴了。

ping 能不能防安全真不好说，一般有 limit hashlimit 做速率匹配。
但是在 ipv6 防火墙特定的 icmp 回应会用来确定 mtu 值还是封包？所以 ping 到底是干什么用的不清楚。

可怜的 stunnel 。。。。
http://ww3.sinaimg.cn/large/0060lm7Tgw1f6fo0bkbkbj30rx0k1jvr.jpg

NB 的 kcptun 。远远超过实际下行 1000kb/s
http://ww2.sinaimg.cn/large/0060lm7Tgw1f6fo0digkjj30rx0nfdpr.jpg

这个。。。自己先测试 kcptun 再决定吧。当时花 19$不到买的 20GB 2T 流量的还不错，现在 20$基本只有 500G 流量，如果跑 kcptun 的话还是有点吃紧。。。，再高的配置感觉不如买 vultr 有性价比。。。

去年用过三个月 vultr ，首先日本线路同样没什么速度忘了好像只有 50kb/s 。它同样是个需要锐速加速才有速度的。然后就是用过个把月流量就开始下降，又需要换 ip ，不知道到底是 vultr 的问题还是电信的问题。然后也是随时会被电信 tcp reset 的。
后来发现没什么流量需求就专心用两台搬瓦工。如果用来看 youtube ，目前有新神器 kcptun ，这东东 windows 下性能不怎么样才 3000kbps ，如今已经有可以跑在路由器里的 mips 版本，我没看花眼 1000kb/s 的线路，那针对 100Mbps 的参数可以在电信线路跑到 19000mpbs 1080p 也能马马虎虎观看。

神器初现，牛逼是牛逼也要注意流量控制，针对 1000kb/s 的线路，每秒 OUTPUT 的流量也是 1MB/s

个人不是很喜欢 vultr ，因为从来没拿到过优惠。还是搬瓦工一直有惊喜中。。。

哈哈，现在一直用搬瓦工。

vultr 是被恶心到了。先是 2014 年注册的账号 2015 年用了人家的 aff 付了 5$拿了 20$，最后大概半个月后说是给新人的优惠 20$回收了。这就是坑人的优惠，让人哑口无言。那时候我为什么不 5$拿 5$，感觉被甩了要求退款，然后 email 进入黑名单了。然后犯贱又注册了个账号同样的 paypal 支付，所谓的优惠过一段时间依然被回收。

搞半天从来没在 vultr 拿到优惠。现在要求不高 30$不到用着两台搬瓦工挺好。

您查询的 IP:174.35.24.77

本站数据：美国
参考数据 1 ：美国加利福尼亚州洛杉矶 cdnetworks.com
参考数据 2 ：美国

没遇到过访问 google 要输验证码的问题。

最近在电信网络访问搬瓦工感觉非常不安全。 stunnel 三张证书，其中一张客户端验证服务器端证书老是提示服务器端证书出错，去掉这张证书仅使用证书加密链路和服务器验证客户端证书却正常。。。怕怕，不知道为什么。联通一直正常。