凤凰城是测试过的最适合浙江电信的，一整年都没折腾过机房。 kcptun 直接 1000kb/s 全速下载。

经常很奇怪的问题看似同样的地点，为什么还是有人反应快有人反应慢。如果不熟悉 iptables 知识，慢快也很正常。关于 ssh 的问题可以搜一下 iptables tcp reset 。只是不全面掌握 iptables 知识，光靠网上的简短介绍 iptables 阻止 tcp reset 对于菜鸟来说依然是一片迷茫。

这个应该是个简单的问题啊，对于 iptables -P INPUT DROP 防火墙。很多教程往往缺少一句
你可以 iptables -S INPUT
然后尝试 iptables -I INPUT -i tun0 -j ACCEPT 也就是接受来自 vpn 虚拟 tun0 接口的的数据。

另外就是控制进程的

海卓手机加速
http://www.coolapk.com/apk/net.hidroid.hitask

竟然在 moto g2 上不能正常使用海卓手机加速，这个也不错。
ES 任务管理器
http://www.coolapk.com/apk/com.estrongs.android.taskmanager

想知道后台真正跑的进程吗。

系统监控:OS Monitor
http://www.coolapk.com/apk/com.eolwral.osmonitor

不要做一些你无法控制的事情。 android 下面最好的防火墙软件，需要 root
http://www.coolapk.com/apk/com.jtschohl.donate.androidfirewall
你只需要在软件
设置自定义脚本 /自定义禁用脚本 在防火墙被禁用时执行的脚本： 输入
iptables -F
iptables -X
保存就可以了，避免和系统自带的 iptables 规则冲突而导致流量限制无效。

android 下面恶心的软件当然是非常多，比如最近遇到的泰捷播放器，退出客户端，后台进程并末退出发起大量的连接，耗电池又耗流量。

要有效的使用 adnroid firewall 控制手机的流量进出，而不是借助 android 这个根本显示不准确的界面。

1,首先家用网络跟企业带宽的最大一个区别就是并发数有限制。像家里用的电信 8M 光纤大概在 1500 个左右的并发数。
2,控制流量有直接对流量进行控制，看不见的使用并发限制对流量进行控制，所以一旦超过 1500 个左右的并发，那么电信局端开始丢包，那么 tcp 的 3 次握手过程就无法建立，那么流量自然会被抑制。
3,其它的可能设备本身的固件优化就限制了并发的连接，甚至电信有意无意的提供有问题的固件。曾经就在 ADSL 时代使用过电信送的 ADSL modem 上海贝尔吧，这 modem 的特点就是一旦使用 p2p 程序流量就开始自动波动。。。后来刷 tplink 的固件解决。

4,迅雷跟 QQ 旋风有很大差别，迅雷随便就是 1200+并发数，而 QQ 旋风才只有 400+左右。从平时观察的经验来看，显然迅雷发起了很多无意义的并发数。甚至一个设计不合理的 QOS 规则会导致连路由管理界面都无法打开。。。

5,9 楼提供的针对 tcp udp 的连接消亡控制是有意义的，它能有效的让一些不必要的连接快速消亡，但是显然不主动控制，这些默认的消亡时间还是不够快。

5,所以问题就在如何控制并发数量在 1500 以下。
ddwrt 提供了一种非常有效的针对特定 ip 抑制并发的方法
https://www.dd-wrt.com/wiki/index.php/Preventing_Brute_Force_Attacks
最终的例子就变成
a.使用 limit 对源 ip 192.168.1.2 发往外界的并发数进行匹配发送，抑制了发送的包，自然根据 tcp 的握手过程抑制了接收的包。 limit 非常平滑不像 connlimit 一样会直接造成网络断开，更丰富的控制选项可能就是 hashlimit 了
b.规则 1 规则 2 对网页浏览端口和其它端口进行自上而下的区分，似乎简单的 iptables 规则的上下排序就能解决迅雷问题。总共有 100 包，每秒相应可以产生 60 包，这个 limit 的解释还是比较晕，自己 google 吧
c.规则 3 抑制 icmp 包的生成，似乎在一些 p2p 环境确认有用。
d.规则 4 规则 5 对剩余的过量的包用 REJECT 进行快速丢弃， 9 楼的 timeout 消亡设置就有快速的回应效果了
e.规则 6 剩余的其它包只能丢弃处理了。
a="`iptables -vnL FORWARD --line-numbers | grep "PMTU" | cut -c1-5` - 1";a=`expr $a`
规则 6 iptables -I FORWARD $a -s 192.168.1.2 -j DROP
规则 5 iptables -I FORWARD $a -s 192.168.1.2 -p udp -j REJECT --reject-with icmp-proto-unreachable
规则 4 iptables -I FORWARD $a -s 192.168.1.2 -p tcp -j REJECT --reject-with icmp-proto-unreachable
规则 3 iptables -I FORWARD $a -s 192.168.1.2 -p ICMP --icmp-type echo-request -m limit --limit 4/sec -j ACCEPT
规则 2 iptables -I FORWARD $a -s 192.168.1.2 -m limit --limit 60/s --limit-burst 100 -j ACCEPT
规则 1 iptables -I FORWARD $a -s 192.168.1.2 -p tcp -m multiport --dport 80,443 -m limit --limit 60/s --limit-burst 100 -j ACCEPT;

上面的方法针对特定 ip 对付迅雷时打开网页是有效果的。只是如果处理不好--limit --limit-burst 对其它正常应用是有一定的抑制作用的

6,openwrt 采用的是对 INPUT 方向的 syn_flood 进行抑制，那么回应的包自然也相应抑制。昨天刚迅雷过虽然网速才 300-800kb/s 之间波动，但是至少网页打开流畅。显然 openwrt 的防火墙规则还是有很大的区别于 ddwrt tomato 的性能上的优化。

-A INPUT -i pppoe-wan -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-N syn_flood
-A syn_flood -m limit --limit 3/sec --limit-burst 25 -j RETURN
-A syn_flood -j DROP

7,一个设计良好的 qos 规则也是有一定的抑制效果的。可以参考
我的 tomato 原版 QOS 设定
http://www.right.com.cn/forum/thread-102891-1-1.html
(出处: 恩山无线论坛)

wifidog 没怎么研究， chillispot 倒为这个弹窗问题，最后的答案

Your Client gets a Chillispot IP but no welcome page, or certain websites don't open (MTU Bug)
http://www.dd-wrt.com/wiki/index.php/Hotspot_Chillispot#Your_Client_gets_a_Chillispot_IP_but_no_welcome_page.2C_or_certain_websites_don.27t_open_.28MTU_Bug.29
哎，已经在梦游状态了，也不知道具体哪条才有效果，反正是可以了。
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1421:65535 -j TCPMSS --clamp-mss-to-pmtu
iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

直接使用自己的路由器 pppoe 拔号是最佳模式。从描述上来看也替换过 tplink 看起来无法确认问题所在。
上次电信好心打了 5 通电话要我升级 20m 我忍了，因为上行却只有原先的一半，按以前的数据最多只有 140kb/s 。一般测下行比较准确的方法只接一台电脑，直接去 qq.com 下载 qq 通过 web 单线程确认。
曾经用过峰火 hg260 当时上海电信只有 130kb/s 上行，使用快播似乎也就 500kb/s 左右。太小的上行会因为并发连接过多或者拥塞而导致下行也不及格。以前 adsl 时代电信的猫又叫阉割猫，固件应该是故意导致使用 p2p 时流量非常不稳定，通常更新正常固件解决。光纤时代倒没碰到过，哈才用过 4 个光纤猫谁知道电信黑手。

tplink 的路由器通常不存在 qos 设置。
1 ，首先确定网线是否是 586b
2,web 单线程下载确定下行
3 ， qq 邮箱附件上传确认上行是否只有 1m 左右
4 ，是否 p2p 时连路由器管理界面都打不开
5 ，高级玩家尝试 qos 设定，尝试对 p2p 电脑 ip 进行并发抑制，以前用 4M 时迅雷 1200 并发，网络基本就趴了。

ping 能不能防安全真不好说，一般有 limit hashlimit 做速率匹配。
但是在 ipv6 防火墙特定的 icmp 回应会用来确定 mtu 值还是封包？所以 ping 到底是干什么用的不清楚。

可怜的 stunnel 。。。。
http://ww3.sinaimg.cn/large/0060lm7Tgw1f6fo0bkbkbj30rx0k1jvr.jpg

NB 的 kcptun 。远远超过实际下行 1000kb/s
http://ww2.sinaimg.cn/large/0060lm7Tgw1f6fo0digkjj30rx0nfdpr.jpg

这个。。。自己先测试 kcptun 再决定吧。当时花 19$不到买的 20GB 2T 流量的还不错，现在 20$基本只有 500G 流量，如果跑 kcptun 的话还是有点吃紧。。。，再高的配置感觉不如买 vultr 有性价比。。。

去年用过三个月 vultr ，首先日本线路同样没什么速度忘了好像只有 50kb/s 。它同样是个需要锐速加速才有速度的。然后就是用过个把月流量就开始下降，又需要换 ip ，不知道到底是 vultr 的问题还是电信的问题。然后也是随时会被电信 tcp reset 的。
后来发现没什么流量需求就专心用两台搬瓦工。如果用来看 youtube ，目前有新神器 kcptun ，这东东 windows 下性能不怎么样才 3000kbps ，如今已经有可以跑在路由器里的 mips 版本，我没看花眼 1000kb/s 的线路，那针对 100Mbps 的参数可以在电信线路跑到 19000mpbs 1080p 也能马马虎虎观看。

神器初现，牛逼是牛逼也要注意流量控制，针对 1000kb/s 的线路，每秒 OUTPUT 的流量也是 1MB/s

个人不是很喜欢 vultr ，因为从来没拿到过优惠。还是搬瓦工一直有惊喜中。。。

哈哈，现在一直用搬瓦工。

vultr 是被恶心到了。先是 2014 年注册的账号 2015 年用了人家的 aff 付了 5$拿了 20$，最后大概半个月后说是给新人的优惠 20$回收了。这就是坑人的优惠，让人哑口无言。那时候我为什么不 5$拿 5$，感觉被甩了要求退款，然后 email 进入黑名单了。然后犯贱又注册了个账号同样的 paypal 支付，所谓的优惠过一段时间依然被回收。

搞半天从来没在 vultr 拿到优惠。现在要求不高 30$不到用着两台搬瓦工挺好。

您查询的 IP:174.35.24.77

本站数据：美国
参考数据 1 ：美国加利福尼亚州洛杉矶 cdnetworks.com
参考数据 2 ：美国

没遇到过访问 google 要输验证码的问题。

最近在电信网络访问搬瓦工感觉非常不安全。 stunnel 三张证书，其中一张客户端验证服务器端证书老是提示服务器端证书出错，去掉这张证书仅使用证书加密链路和服务器验证客户端证书却正常。。。怕怕，不知道为什么。联通一直正常。

曾经一个 mm 拿来台电脑，看到电脑上有 360 说它很垃圾会装上全家桶的，就卸载了 360 。然后竟然不能联网了，又下载了 360 装上网络正常了。后来依然说 360 的坏话，上得了贼船就下不来了，再也不敢帮人卸载 360 。

淡定，两个凤凰城全部访问不了，早上还好好的。。。也许是搬瓦工自己出问题了。。。

手里就剩下一个 9.9 还有一个 18.99 20g 硬盘全部都在凤凰城，足够在线编绎一个 openwrt cc 占用 14g 空间。电信线路最烂的时候不到 50kb/s(没加装任何加速软件)。其实搬瓦工网络还是非常好的，不同工具出现不同的速度，只能怪电信 qos ，当然它家 youtube 自身下行也有问题。浏览网页，看看 320p 还是马马虎虎的。现在的网络其实非常不安全，工具用的 stunnel+softether 都是基于 pki 证书认证，可以有效防止半路拦截。