@huxh10 家庭用的路由器稱為路由器倒是沒問題，可以把它視為帶有 NAT 、交換模塊和無線 AP 的路由器，畢竟便宜嘛

@orlando2000 VLAN 是工作在链路层上的（详见 IEEE 802.1Q ），定义在 Ethernet 帧中的 802.1Q 头里。
而一般所谓的‘三层交换机’这种说法，个人觉得就是一种产品，没有学术上的定义。

不谈语言下的实现，现在比较高效地处理大量连接一般都是用 Linux 下的 epoll 系统调用。让系统内核管理连接，当某个连接发来数据时，回调你的程序处理，这样既可以避免为每个用户单独创建线程加大开销，也不用去浪费 CPU 时间去轮询每一个套接字。

@hellogbk 如果子网里不存在通向外网的网关的话，当前子网里肯定存在代理（虽然那台代理可能需要另一张网卡连接外网，）

1. 对，只要这些电脑在同一个 vlan 内。
2. 不一定。一台电脑可以有多个网卡，同时连接至不同的网络。
3. 我不了解产品。

@ryd994 以前管理學校機器的時候出現過這種情況。重啟機器需要找學校領導和各种人員許可，然後大老遠跑到機房去重啟。

@kmahyyg 見樓上

firewalld 簡單多了。 firewalld 以 zone 為單位管理網絡包，一個 zone 可以包含一組的網絡卡或 IP 段。
系統默認會把你的網絡卡置於 public zone ，而 public zone 默認會放行 ssh ， dhcpv6-client 服務，並開放 ICMP 封包。
可以用 firewall-cmd --list-all 查開默認 zone 所有開放的服務。
如果要放行 HTTP ，直接
firewall-cmd --add-service http
放行 HTTPS
firewall-cmd --add-service http
放行 SMTP
firewall-cmd --add-service smtp
上面的方式只是臨時放行，執行後立即生效，下次重啟 firewalld 後會丢失。
要永久保存需要加--permanent 參數。但是加--permanent 的命令不會立即生效，你需要重新 reload 一下服務
firewall-cmd --reload
或者將 firewalld 重啟
systemctl restart firewalld

---我是分割線-----

如果只將某些服務開放給某一段 IP 或者某張網卡，可以將那張網卡或者 IP 段加入另一個 zone ，然後將服務開放給那一個 zone 。比如：
將 eth1 加入 internal zone:
firewall-cmd --zone internal --add-interface eth1 --permanent
將 10.0.0.0/8 IP 段加入 internal zone:
firewall-cmd --zone internal --add-source 10.0.0.0/8 --permanent
開放 samba 服務給 internal zone:
firewall-cmd --zone internal --add-service samba --permanent
重新 reload 一下服務
firewall-cmd --reload

---我是分割線-----
另外可以手動加 iptables 規則。
下面演示用直接加 iptables 規則的方法放行 HTTPS ：
firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 1 -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT #IPv4
firewall-cmd --direct --add-rule ipv6 filter INPUT_direct 1 -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT #IPv6

@fangdingjun
@ryd994
@GNiux
@adrianzhang
把 INPUT 鏈的默認 policy 設置為 DROP ，哪天手一抽在 SSH 下執行了 iptables -F 分分鐘教做人。可以在 INPUT 鏈的最後加一條 DROP 或 REJECT 。
我的習慣是：
第一條規則先放行所有已建立的連接，這樣有利於性能：
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
然後放行 lo ：
-A INPUT -i lo -j ACCEPT
接著放行開放的服務：
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT #SSH
-A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT #HTTPS
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT #HTTP
然後放行 ICMP ：
-A INPUT -p icmp -j ACCEPT
丢棄無效的包：
-A INPUT -m conntrack --ctstate INVALID -j DROP
最後一條用於禁止所有其他的包：
-A INPUT -j REJECT --reject-with icmp-host-prohibited

還可以把所有開放的服務放在一條自定義的鏈中，這樣在以後開放新服務的時候可以直接往那條鏈插而不用擔心插入的位置。

@aalska SL 是大機房，不太可能單獨做優化，線路都是一樣的。
聯通是從 ntt 直接跳去 networklayer 沒錯，但這是去程。返程是 networklayer-電信-聯通

@cc8023miku 你這一說，說不准禁 ping 的那幾跳真是 cn2 。
但是我從電信家用寬帶測速還是很慢，晚上只有 100-200K ，可能也和電信對家用寬帶的 QoS 有關。誰知道呢

@aalska 我有一台 SL 東京的機器，電信訪問去走 CN2 59.43.*.*，回路是普通的 Chinanet 202.97.X.X 。
聯通訪問去走 NTT 日本，回路先到電信 202.97.X.X 再在國內转到聯通骨幹 219.158.*.*，因此聯通訪問比較慢。

方正不知道，反正二级运营商都差不多。
朋友的长城宽带反正是坑的要死：
1.国际带宽几乎为 0
2.各种缓存劫持， linux 下更新软件包会出现签名不匹配
3.PS4 不能联机
4.不能拔国外的 IPSec VPN
5.明明有公网 IP 还是被 NAT
6.访问联通 /电信机房的服务器，走 HTTPS 的话（避免缓存劫持），带宽平均只有 5M
7.高峰期开网页卡

我家的寬帶就是這樣的，兩條線路負載均衡。
用的 wndr4300 路由器，刷 openwrt 固件。
劃分 VLAN 後就有了多個 wan 口，然後用 mwan3 負載均衡

Linux 下自帶

Linux

@lingaoyi +1 國際帶寬有 2M 就是好的

@Andy1999 北京這邊測試沒有什麼問題

现在 0p3nvqn 不会被 ban 了吗？听说某科技监控到会自动关怀你的 IP