很多教程都忽略了防火墙的默认状态。
一般省事点都是
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

以下针对 ocserv 的回复， vpn 防火墙部分都差不多，由于 ocserv 会新建 vpns0 vpns1 ，所以 vpns+是通配符

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i vpns+ -j ACCEPT #大多数教程都少了这条，导致无法进行 dns 查询

-A POSTROUTING -o venet0 -j MASQUERADE

pptp ，怎么这东西还是这么多人用。

vpn 的话 l2tp 没问题，但是还是推荐 ocserv 提供的 anyconnect ，主要优势在于端口可以随意指定， udp 流量夸张，客户端丰富，连接非常稳定。 softethervpn 提供的 l2tp 目前只有手机端正常， windows 还是会被干扰，而 SSTP 似乎是有 linux 下的客户端，还是建议 ocserv ，可以更改端口就是一个很大的优势。

ss 的话， 8 月份就爆出返回探测的时候有问题，虽然前段时间用了一下最新的 libev 版本，但是 windows-gui 客户端还是老提示 timeout ，不大用这个。

用 stunnel 吧， v5.26 版直接内置 sock5 实现
https://www.stunnel.org/config_windows.html

stunnel 是个很安全的软件，它有 linux windows openwrt 的客户端，用了 3 张自签证书，基于 pki 认证 1.pem 用于服务器端 verify 3 验证客户端身份， verify 2 用于客户端验证服务器端加密用证书。所以它是个很安全的防止中间人攻击的方案。又是 linode ，看论坛的反应， linode 还不如搬瓦工。。。搬瓦工的掉包率 1%不到。

client = yes
;compression = zlib

socket = r:TCP_NODELAY=1
socket = l:SO_LINGER=1:60
socket = r:SO_OOBINLINE=no
;socket = a:SO_REUSEADDR=yes
TIMEOUTconnect = 10

RNDbytes = 1024
RNDfile = r:/rnd.txt
RNDoverwrite = yes
debug = 6

sslVersion = all
;options = NO_TLSv1.2
options = NO_TLSv1.1
options = NO_TLSv1
options = NO_SSLv3
options = NO_SSLv2

;ciphers = ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384
;ciphers = ECDHE-RSA-AES256-GCM-SHA384
;ciphers = ECDHE-RSA-AES128-GCM-SHA256

cert = 1.pem
verify=2
CAfile = stunnel.pem
checkHost = XXX.XXX.XXX.XXX


[server1]
accept = 127.0.0.1:1081
connect = XXX.XXX.XXX.XXX:1723

>at 23:00 "shutdown -s -t 0 -f"
新加了一项作业，其作业 ID = 1

>at
状态 ID 日期 时间 命令行
-------------------------------------------------------------------------------
1 今天 23:00 "shutdown -s -t 0 -f"

>at 1 /delete

这真的很平常，难以理解的是那些吃胡萝卜干，省出两个月工资去买 iphone 的人。还有那土豪金。。。以前记得有个人说过买 iphone 保值，以后就算卖了还值个 2 千。

psping
https://technet.microsoft.com/en-us/sysinternals/psping.aspx

排序，计算的是 ping 的延迟命中数量。不像 windows ping ，刚还开始还以为是渐涨的。

哈，我都不敢说了，上次说 nghttpx 快，现在一过 20:00 TLs1.2 都没流量。。。

。。。放着计划任务不用。

普通环境就开机批处理加载 at 实际上终止计划任务仍然运行不了 at 。

https://www.v2ex.com/t/235392
http://linuxmantra.com/2010/06/how-to-stop-syn-flood-attack-using-iptables.html
ddos 不是 iptables 防得住的，以前就拿到一个 ip 可能前人把它做成 dns 服务器， iptables drop 53 端口还是收到警告邮件，最后只能换 ip ，这日志也交待不清是别人 ddos 服务器，还是服务器 ddos 别人。

倒是经常用 stunnel ，按实例的话它都能把 google tcp 53 加密到本地，不知道 tcp 80 是否可行。然后它的 verify 3 就是用来对客户端证书进行认证用的，只是看起来还是不如浏览器方便。

这个网站还活着 www.cn-dos.net

批处理这东西比 shell 难多了。。。一点都没 shell 好用，经常想破脑袋，最后算了还是看看有什么 windows 版的 gnu 工具。

这个隔墙了信号肯定很差，要吗拉根网线，要吗专门设置一台 ap 给他独用。其它方法只适合在公司环境大量 ap 覆盖时通过踢除弱信号到信号更好的 ap 上。

大部分情况是手机，磊科的 qos ，所谓的智能 qos ，顶多就是预置了一些常见环境的规则，总有一些情况仍然会出现延迟。磊科的东东我也设置不来，不知道内部脚本是怎么调用的。可以按网上的教程试试自定义 qos ，不玩游戏的话感觉不到延迟的。

这个最好具备 iptables 相关知识，很多教程不知道防火墙设置就教人关掉 iptables 大错特错。好像很多人用的 fail2ban 还什么来着，其实 iptables 的 recent 模块就可以定义一些常见扫描端口，有人扫就马上 drop 。去 linux 版看看吧，那里有个常见的 state 状态的防火墙规则默认 DROP 只开放必要端口。上面的两步基本一个人用没问题。
前几天 ip 一公布就被系统判定有高达 30000 个并发和你这描述不大一样，小打小闹的话可以搜一下 hashlimit syn flood 。目前就弄了这三步，等待新情况。

看花了是磊科，曾经买了个 nw618 平时很少用，有一天把电源从插座上拔下来，竟然碎化了，真是 bs 磊科的电源。

无线这种东西容易受干扰

1 ，下个 wirelessview 观察是否和其它 ap 信道临近或者重叠，一般理想状态 1 6 11 ， 2 7 12 ， 3 8 13 。这种情况表现为 ping 高延迟
2,疑似的其它家电的同频干扰，好像空调也会
3 ，无线质量并不取决于设备和 ap 有多近，而是取决于信号最差的那个客户端，它决定了所有终端的连接质量，而这往往是 tplink 官方固件无法判断，刷成像 ddwrt openwrt 都有直观的客户端信号强度，待机的手机信号非常差得，通常是-83dbm 而好的信号强度是-65dbm 。每次玩游戏卡就知道老爸回来了。。。。
4 ， qos 设定，没有优先级的流量控制，特别是电信这种低上行的线路，不划分优先级，因为拥塞出现高延迟也很正常。

无盘工作站挺麻烦的吧，成本就省了硬盘吗。好处可能是集中维护一台服务器就够了，可是那些应用软件，特别是 cs 模式的，都是需要第三方另行维护的。曾经跟个网管折腾半天用友，第二天 mssql 依然不能用。

电信普通线路，晚高峰现在一个比较让人可以安慰的答案是人多路拥挤。

从论坛反应的情况，晚高峰似乎除了 CN2,大多数的 vps 都没什么特别，要吗就是前段时间很 ok ，这段时间就废了。通过./speedtest-cli 测试看起来服务器也没限速，国内的电信基本下行速度在 300kb/s 左右。
平时在工作中防止拥塞的解决方法要吗对 ip 进行限速，要吗对 ip 实行并发限制，这些都是有效的抑制流量的方法。每天总感觉很准时的，真的基本就差不多那个点流量就上不去。今天晚上 20:00 以前 udp 流量竟然达到 4000kbps ， tcp 流量当然很废了，可是过了 20:00 以后基本连 udp 也废了。

目前通过 iperf 测试可以准确得测得 vps 到家里 ip 的上行流量，但是具体，到底是什么原因测不出来，按平时工作的经验来看铁定是电信限速了，至于它的限速 tcp reset 是很常见了，是否也连带并发限制，不知道该用什么工具测试，反正电信网络基本是没什么希望了， 2006 年都高瞻远瞩提出 CN2 是增值业务，它当然有必要技术上做出差异。。。都是怀疑，猜测。。。
http://www.cnblogs.com/feisky/archive/2011/11/12/2246626.html