iptable 防火墙可以很方便丢掉来自未知存在的不可达和重置攻击
iptables -t mangle -A PREROUTING -i pppoe-CT -p icmp --icmp-type destination-unreachable -j DROP
iptables -t mangle -A PREROUTING -i pppoe-CT -p tcp -m tcp --tcp-flags ACK,RST RST -j DROP
ip6tables -t mangle -A PREROUTING -i pppoe-CT -p ipv6-icmp --icmpv6-type destination-unreachable -j DROP
ip6tables -t mangle -A PREROUTING -i pppoe-CT -p tcp -m tcp --tcp-flags ACK,RST RST -j DROP

@sunnysab 目前还算正常, 手机电脑 NAS 都没异常, 万一异常可以加上端口匹配
话说企业不过滤的吗? IBM 的我看就有 更复杂的甚至配了保留 IP 段规则, 不过这些规则就算都加上我也没中其他的
0x3F/0x3F URG,ACK,PSH,RST,SYN,FIN URG,ACK,PSH,RST,SYN,FIN
0x3F/0x37 URG,ACK,PSH,RST,SYN,FIN URG,ACK,RST,SYN,FIN
0x3F/0x2B URG,ACK,PSH,RST,SYN,FIN URG,PSH,SYN,FIN
0x3F/0x29 URG,ACK,PSH,RST,SYN,FIN URG,PSH,FIN
0x3F/0x00 URG,ACK,PSH,RST,SYN,FIN NONE
0x30/0x20 URG,ACK URG
0x18/0x08 ACK,PSH PSH
0x11/0x01 ACK,FIN FIN
0x0A/0x0A PSH,SYN PSH,SYN
0x06/0x06 RST,SYN RST,SYN
0x05/0x05 RST,FIN RST,FIN
0x04/0x04 RST RST
0x03/0x03 SYN,FIN SYN,FIN

谢谢大家 明白了一些 又有些新疑惑 RST FIN 统统丢掉好像也能正常用来着?
连接建立后 ACK PUSH 就能正常沟通吗?
这是否会在安全上创造薄弱面?
不过耗竭类攻击人家也不会主动中断连接吧

会不会是 RST 攻击在防火墙里加一条试试看
iptables -t mangle -A PREROUTING -i pppoe -p tcp -m tcp --tcp-flags RST RST -j DROP

有些 BT 软件会自己打 LE 标 然后直接读它
iptables -t mangle -A POSTROUTING -o pppoe-CU -m tos --tos 0x04/0xfc -j CLASSIFY --set-class 1:8
或者你自己打标
iptables -t mangle -A OUTPUT --protocol udp --sport 6881 -j DSCP --set-dscp-class LE
Windows 也可以用组策略的 QoS 指定程序数据包标记 IP 协议层的标记读起来应该比较快 也可后续映射到 802.1p

@damichifan 9 月 1000 块上传 200, 某不信 3000 块 上传 100 FTTR 流量上限 30,000 TB 都是万兆光+双公网结果应该很公平

@qq651438555 徐汇区 华径镇 华发路