关于运营商分配假公网 IP 的问题

@wuosuper 这种方案一大劣势就是重新拨号之后外部端口会不会变化。
其实最好的方案就是需要开什么端口需要到运营商网站登记，相关数据在认证阶段发送给 BRAS ，让他来分配。这样可以保证分配的端口可以不随着重新拨号而打乱重来。

@wangyuyang3
一点点回答你的问题，回答完后，这个帖子就不再回复了。

运营商即使教会用户端口转发可以解决外网访问问题，用户也有一句话：凭什么别人有，我没有？然后反手投诉运营商推卸责任，避重就轻。
更何况大部分用户根本就不是想解决外网访问问题，而是只有一个问题：公网 IPv4 能加快网速，因此我就要拿到。
如果运营商干脆全部收回，又会惹来原本已经有公网 IP 更多的投诉。

教育客户从来就不是明智之选，不然和张小泉菜刀事件又有什么区别？硬度较高菜刀不能拍蒜对吗？对的。
但问题是这是客户和公众想得到的结果吗，只不过想要道歉和赔偿而已，息事宁人才是硬道理。
所以这从来不是一个技术问题，而是政治问题。

关于 Trojan ，以前只了解过它利用 tls 原理，非常喜欢这种思路，但从来没有真正用过。反而是 v2ray 作为备用使用。
之前竞赛时交流习惯打 tarjan 算法，不经过你提醒，还真没发现自己一直错了。

关于 clash ，确实易用，但我个人一直使用 iptables+ss tun 实现相同的功能，因此确实不太看得上 clash 。
当然也谈不上讨厌，另一方面也不太喜欢这种将代理配置文件交给代理商进行一键配置的思路。

最后，我承认我说”牛逼“确实错了，说的时候没有考虑过他人的感受。在这里向诸位道歉。
我最近一直尝试在 ipv4 NAT1 和 ipv6 环境建立隧道，类似 tailscale 但如何更容易部署。进而思考公网 IPv4 的出路，最后只有悲观想到，只有全面普及 IPv6 才是未来，而这个未来离我们有多远还不能确定。
逛 v2 时意外的得知 NAT4444 这种技术可以续命一波 IPv4 ，并且能够解决用户大量投诉问题。作为同样有巨大投诉压力的打工人（投诉==影响巨大==低绩效+开除边缘），确实大开眼界，非常激动。而技术缺点在我看来，实在是过于微不足道，因此有些词穷的喊出”牛逼“两个字（确实语文水平不太行）。我原以为我的激情发言也会像过往一样被淹没，没想到被这么多人看见并且重点回复，实在有些尴尬和惭愧。

我认为最理想的方案是：光猫路由模式或者路由器支持 UPnP + BRAS 支持 NAT-PCP…… 就和 95 楼说的类似。

这样只要支持 UPnP 协议的应用（或者手动请求）都可以获得一个能外访的公网端口。这样的实现既安全，又标准。

但是在解决部分小白用户投诉这个问题上，这个方案其实是不管用的……毕竟他们要的是表象。

欺骗用户也是一种销售手段，各位搞技术的大佬大惊小怪了。

@lcy630409 你没看前面的讨论么？他们把你的数据发送给别的用户啊。本来的问题是你信不信任运营商，现在的问题是你信不信任你的邻居，这叫我的担忧"没有任何意义"？

@wwbfred #185 就目前三家运营商的家宽接入配置来看，你的数据也会发送给你的邻居，你邻居的数据也会发送给你，完全明文无门槛抓包。家宽的链路安全在运营商来看从来都不是重点，所以对安全性有需求还是要用专线，物理链路来保障安全。

@laozhoubuluo #181 正如#183 @Archeb 说的那样，使用 pcp 在 cgnat 下映射端口的方案已经推进了 2-3 年，但是用户不买单，映射端口需要光猫路由模式，但是有端口映射需求的用户大部分都需要桥接，桥接后又无法使用 pcp 通讯来映射端口。

@wuosuper 二层广播和四层广播区别还是挺大的，PON 广播抓包虽然无门槛，但用户不替换运营商给的光猫应该是无法抓包的吧。应用层广播是真正的 0 门槛抓包了。。。

@Damn #188 你可以认为 PON 是无门槛抓包，运营商给的光猫要么打开镜像可以抓包，要么是小厂的光猫没有处理好过滤，直接打开桥接模式（透传）就可以抓包了。
至于四层广播，厂商回复说已经不采用这种方式了。

@wuosuper 发给我的邻居，我的邻居能抢答么？本来这个问题就应该解决的，现在可好，倒有人以这个理由说明我把一个更不安全的东西上线是合理的，说得过去么？

@wuosuper 你看看你的历史发言，一会说产品的安全性是没有问题的，一会儿又说家宽的链路安全从来都不是重点。
统一一下可以么？要么就说产品安全性没问题，随便你们检验。要么就是民用基础网络设备不关注安全，光明正大的说我们的产品就是有危险。现在为了给产品说好话，搞得跟人分裂了一样。

@wwbfred #190 如果是某能 /某华的光猫，开全透传模式，你是可以抢答的

@wwbrfed #191 厂商回复的部分从来都不是我自己的答复，我也只是好心帮你转发给厂商咨询后原封不动的回答你，我也没有给这个产品说任何好话。我始终是中立的态度，各自角度不同我也没法考虑到每个人。

@wuosuper 而且我要说明的是，我这里说的安全是一个更容易理解的说法，绝对的安全并不存在。更标准的说法是，厂商的产品有没有扩大攻击面，增加攻击路径。如果能够被证明没有，那么这个产品就是安全的；否则这个产品就不应该在 IP 层上线，至少要经过各方的严格评估。退一万步讲，也要保证用户的知情权。偷偷摸摸地在 IP 层上线黑箱，是绝对不能接受的。

@wuosuper 树立一个他人的人设，不管这个人是否真实存在，都不能成为免于被批评的挡箭牌。否则我所有的观点都使用第三人称，那岂不就是永远立于不败之地了？

@wuosuper #192 我不了解这个情况，有相关资料么？

@wuosuper 还有一点，由配置产生的攻击路径，和由产品特性产生的攻击路径，处理起来的难度是完全不一样的。前者可能需要调整网络配置或架构，后者就是必须下线才能解决问题。厂商现在用 PON 说事，证明自己是安全的，这个并不能很好地站住脚，本质上也是一种比烂的行为。

@wwbrfed #191 如果你有证据能表明这个系统存在安全问题，那你大可以新开一贴公布，说不定运营商看到了就会下线这套系统呢，这样刚好能如你所愿。
既然运营商已经选择也验证了这套系统进行部署，并且是大范围的部署，那么你也没法阻止运营商的决策，如果你有能力能阻止运营商这个决策，那我一定第一个支持你。
运营商对基础设施软硬件采购的安全要求不比你要求的低，第三方测试也不是随便过的，如果存在你说的低级安全问题那必然运营商不会采购，所以没必要对一个你觉得存在但实际不存在的问题较真。

@wuosuper
1. 你以为去和运营商厂商刚正面才叫阻止？不是的。我现在就是在通过发言的方式号召更多看到这个帖子的网友阻止这套黑箱大范围铺开，你会选择支持我么？
2. 现在的问题不是不存在。因为厂商在黑箱里搞迭代，鬼知道解决了什么问题，又引入了什么新的问题。如果这是一个七层应用，那还好。现在这一个四层设备，让人怎么放心。而且我并没有说它现在一定存在问题，我的措辞是，我不知道它是否存在安全问题；如果它存在，我也不知道问题有多严重。说白了就是两眼一抹黑，不知之不知。
3. 你告诉我你用了这套系统，我换运营商，这样的选择权总是有的吧？运营商现在什么都不说，这是什么行为，合适么？

从微博过来观光。顺便支持 @wwbfred 。