CIDR 表示法把子网掩码和 IP 地址合在一起写容易让人误会，以为这个掩码是本机 IP 的掩码。

如果分别填写 IP 地址和子网掩码，比如局域网 IP 段是 192.168.1.0-256 ，大部分人很自然就会写出 192.168.1.1 和 255.255.255.0 ，转换成 CIDR 表示出来就是 192.168.1.1/24 ，不是/32 。分开写的时候人会很清楚这个掩码限制的是局域网网段范围，和本机 IP 地址没有关系。

IPv6 也是同理，你拿到了一个 IP 地址，一个 IPv6 地址的掩码虽然是/128 ，但网卡上设置的掩码和你拿到的 IP 地址没有关系，掩码限制的是局域网网段的范围，你的 IPv6 局域网的范围是/64 ，所以要填/64 ，而不是填/128 。

也有个别情况下需要填写/32 或者/128 ，比如运营商分配给你路由器 wan 口的公网 IPv4 地址，这时候上级没有什么局域网，相当于局域网里就你一个 IP 地址，自然填一个 IP 地址的掩码。

按这么说，路由器 wan 口拿到的也应该是/128 的 IPv6 地址，因为上级没有局域网。但 IPv6 比较特殊，有些功能（例如 EUI-64 ）不支持小于/64 的子网掩码，另外 IPv6 地址极其充裕，这可能是运营商会给路由器 wan 口分配/64 而不是/128 的原因？

至于路由器的下级，也就是局域网里的设备，它们的地址来源是 IPv6-PD ，运营商会单独给你指定一个 IPv6 地址段，让路由器分配给它的 lan 口以及下级设备使用，和路由器 wan 口拿到的 IPv6 地址并不在一个段里。不过即便 PD 给了一段/48 ，路由器一般还是会给 lan 设置/64 的子网掩码，也就是从 IPv6-PD 提供的网段里取一小部分进行使用，个别系统里可以自行修改这个 lan 口子网掩码。

你在上级有局域网的情况下设置/32 或者/128 也可以，但这个时候系统不会认为上面还有局域网，所以也不会添加到局域网的路由规则。不过因为会有一条 0.0.0.0 的默认路由，可能问题也不大？一般的单网口可以正常用，多网口的时候有可能会遇到点问题。

看来联通在一刀切打击所有大上传流量的用户，而不是针对 PCDN 。搁以前可能会认为是限制 PCDN 的指令向下传达出了问题。搁现在这个时间点，不由得让人怀疑是为了节省结算费故意为之。

你和装维的共同敌人是联通的评价体系，你们都期待对方去改变这个评价体系。对于装维来说，他们扣的奖金再多也比彻底没工资强，所以不太可能去主动改变。能改变评价体系的只有用户。

这种情况下你靠维持评价并不能满足报复联通的目的，也无法借此逼迫装维去改变这个体系，你需要通过别的途径才能达到目的，所以先修改评价再想别的途径是有必要的。

当然，以上仅建立在你和装维没仇的情况下。如果装维曾威胁你让你改评价，那你保留评价来报复装维的目的倒是可以实现。

@JohnSmith 向楼主请教一下，联通开通 9929 之后有办法临时切回非 9929 宽带吗？或者说办理 9929 之后需要在拨号的时候修改什么吗？类似电信的精品网要在账号里加后缀才能进入精品网，删掉后缀重新拨号就是普通电信宽带这样。

单端口转发我是这么做的，UDP 也可以正常转发。不知道多端口转发可不可以靠复制 65535 遍或者将单端口换成端口段（ 443 改成 1:65535 ）或者直接删除端口相关参数来实现，仅供参考。

假设 2.2.2.2 是你 B 机入站网卡上获得的 IP （ B 机的公网 IP 是多少不重要），将 B 的 443/udp 端口转发到 A 的 443/udp 端口：

# 目的地转换
iptables -t nat -A PREROUTING -p udp -d 2.2.2.2 --dport 443 -j DNAT --to-destination 1.1.1.1:443
# 源地址转换
iptables -t nat -A POSTROUTING -p udp -d 1.1.1.1 --dport 443 -j SNAT --to-source 2.2.2.2

# 如果 B 机启用了 UFW 则需要放行对应的转发流量
# ufw route allow to 1.1.1.1 port 443 proto udp
# 内核需要允许 IPv4 转发
# echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf && sysctl --system

数据进 B 的时候先做目的地转换，改成“客户端-->A”，在数据出 B 之前做源地址转换，进一步改成“B-->A”。回程的时候 B 机会自动反向操作一遍，最终发给客户端的数据是“B-->客户端”。

TCP 同理，只需要把 udp 改成 tcp 。

每家的内网 IP 段相同和是不是在一个局域网里没有关系。你想想，用普通光猫的时候，每家的 IP 段不也都是 192.168.1.*吗？

ios 客户端上经常遇到，尤其是信号不好的高铁上非常频繁。别的客户端没遇到过。

UEFI 模式：
/efi
+
/

BIOS 模式：
/

/分区格式分情况，存文件的用 btrfs ，跑软件不存怕损坏的文件用 ext4 。
SWAP 放文件里，安装的时候不专门分区，便于调整大小。

比起 btrfs 更想用 zfs ，可惜 Debian 的安装程序貌似不支持 zfs :(

最后一个方案是合理的，也就是在服务器上对流量进行分流，将游戏流量分流给 socks5 出站，其他流量走 freedom 出去。客户端正常挂代理连接到服务器的 inbound 就行了。

你需要排查服务端配置是不是有问题，导致最后的配置不成功无法上网。

@Jirajine 个人跑 pcdn 哪来的照？家宽不允许商用，pcdn 属于商用，而 pt/bt 不是。pcdn 就是违规使用宽带的十恶不赦的老鼠屎。

pt 用户要自己掏钱分享文件，并且得不到任何报酬，除了富哥，一般人不会拉 n 条家宽专门来跑 pt 这种没有收益的事。家宽用户给别人分享文件不超出家宽使用范围。侵犯版权是另一回事，该生气的是著作权人，不是其他家宽用户。

在我看来 pt 用户和一直跑 speedtest 的用户差不多，虽然占很多带宽，但没违规，属于一群有奇葩爱好的小众用户。
（只用过 bt ，没跑过 pt 也没详细了解过 pt ，上述评价出于对 pt 的粗略了解。如果 pt 也存在盈利行为，那 pt 和 pcdn 一样属于十恶不赦的老鼠屎。）

warp 改用其他协议意味着未来可能没法用性能更好更稳定的 wireguard 客户端作为 warp 客户端了，坏。

使用 quic 仍然可以被墙 IP/端口/SNI 。

@tril 补丁：路由器一般会默认禁止*所有*主动入站访问。包括转发和本机入站。

@yzc27 得看具体的防火墙规则，禁止转发和禁止本机入站是不同的规则，以 iptables 为例，一个在 forward 链一个在 input 链。路由器一般会默认禁止主动入站访问，也就是保护了局域网里的所有设备。

@yyysuo 利用 MAC 识别如何呢？关闭隐私保护的情况下 MAC 是固定不变的。

如果不用 TPM 加密，而是使用密码+备份密钥的方式加密的 BitLocker 是不是就没法这么破解了？开机不会自动解锁，而是先要求输入 BitLocker 密码再输入锁屏密码。

新 2C 的单核和多核加解密性能一样，不知道是 bug 还是特性，这个 2C 可能只能看作 1C 了。不过这 1C 也比原来更强。

为什么下发的 DNS 要用 FE80 这个 LLA 地址，而不是 FC/FD**这种 ULA 地址？后者更适合在局域网里使用吧？