所以有点好奇受众是怎样的人
不要在墙内公网上开 http ，即使是 v6 也不行。如果一定要 web 服务请 vpn 回家
毕竟运营商是可以嗅探的

至于低 16bit 扫描，这个……emmm ，如果换个地址分配方式呢？
至于不返回 aaaa 记录，完全没有必要或者说无关
内网服务监听 0.0.0.0 就行，不监听 v6 （点名批评 golang 刻意混淆 0.0.0.0 和::）
怕反向扫描其实完全可以整个单独的 ip 单独开服务而和其他东西分开的
用 docker 或者其他任何东西都好

要说这个事情根本就是家宽和商业宽带价格差太多的结果，商业带宽和家宽差不多了之后就会慢慢消亡了
再说为什么会差这么多，前几年提速降费的结果，不想降费就一路提速，这才是赌用户不会用。

结果 pcdn 到处查，查这个查那个，不仅伤及无辜的一大堆，还外溢到刷 bt 的刷 cdn 刷镜像站的，真的是 p 眼的做法，我不舒服，就到处喷，要拉着世界一起难受。

向人民法院提起诉讼。

北京移动联通，都升级过。
联通是祖传的桥接，没问题，只要不拿光猫挖矿就行。
移动就有点神奇了，最早是自己改的桥接，结果用了好久，某次局方远程升级直接改回路由拨号了……神奇的是仍然可以自己进去再改桥接……
后来挪地方，移动的那个猫下电后再起不能，更换。现在是局方下发的桥接，同样，只要不拿光猫挖矿就行。

说移动墙中墙是有的，但是挂梯的话显然没问题
北京移动甚至能套 cf 拉那种几十块钱一年的廉价香港鸡

怎么还是那一套啊
早就说了
今天开这个策略，明天就上 X 上某个号了
到时候让谁给运营商背锅？


@isad 正经服务境外的业务大多直接在境外开口子，这过墙开服务谁也受不了

如果是/64 ，再往下划分子网的话就不能 SLAAC 了。
如果家里只有一个子网（不涉及多 vlan 、级联路由之类的），那么没什么区别。

先说需求，再问怎么做
没有最佳，只有最适合

家里和公司怎么连接的？这里可能是关键
以及，旁路由就是这种乱七八糟的毛病多，入门容易然后想折腾点啥的曲线非常陡峭

所以还是尽量桥接吧，桥接了能看到的和 bras 侧也差不多了

提升全国平均宽带速度。

第 7 代无线局域网？
频谱呢？
（虽然我觉得应该是要放了，半截 6GHz ）

你要找的是不是
https://ris.ripe.net/docs/mrt/

下面也给了几个 tools

如果要做墙内路由表，
成品的话 相对比较好的是
https://github.com/misakaio/chnroutes2

自己分析有个问题，有些 ip 段（如 114.114.112.0/21 ）是在墙内墙外分别宣告的，没有墙内数据源的话看不到墙内的宣告，会被误认为墙外。

以及，不要迷信容器。

这样下去迟早那个远程控制的接口被找出来干掉
不过另一面 用 D 版 B 源软路由……emmmm

@shenyuzhi
openvpn 也可以动态分配地址，但是我用这么久以来，还是在用 fd 开头的地址做 snpt
如果有固定地址当然没问题，如果是前缀的话……用脚本更新前缀虽然说也可以，但是根本不如分配私网地址省事
没必要那么忌讳 nat

以及，openvpn 也好 wg 也好，实际上也可以不用从上游拉整段/64 （这里不一定可以方便实现），随便拆个/120 ，在网关上静态路由指过去就得了，撞上的机会基本没有……

应该是 bug ，运营商侧没做源地址限制。
之前偶然一次程序出现 bug ，到北京移动的路上没设置上 snpt ，用了联通的 ip ，结果能正常通信……

@MFWT 甚至不觉得这种用户运营商会上报 也就不会有授权费

并不疯狂，我已经用了好多年了，运行良好，方便折腾。
在 netns （容器）之间转发的数据和一般的来自外部网卡的数据，对于内核来说有略微的不同，可能线路 B 会遇到这方面的问题。
我的做法是，直接在母鸡上操作各 netns （容器）的网络设置……比较暴力，但是省事——都在一起了，还折腾什么鸟（ bird ）事？
以及，只有容器的话不是很需要 SR-IOV 的感觉。
而且我在很多场景下只分了 netns 。
还有一个坑，做这种东西的时候不可避免的会用到 iptables/nft ，特别是 iptables 因为内核版本的差异可能根本不好用，者也是只虚拟化 netns 的一大原因（其实刚开始做这套的时候才是 centos7 ，那时候默认还只是传统的 iptables ）

tls1.3 的服务器证书是加密的，墙看不见
现在用户不支持 tls1.3 的很少了（ cf 有分析，可以看自己网站的受众）
结论：暂时用 1.3 就好。
（猜测：可能是之间暴力检测证书中的 google 关键字了，然后你在访问 google ？那可不行）