现在的网络要是全覆盖根本无需更换设备， tplink 无非经常死机，刷成 ddwrt openwrt 就可以用 cron 控制一天一重启了，这就是智能路由器具备逻辑判断可进行 shell 编程。

开发些花花 web 界面就变出一个智能路由器名词。。。

这个 hashlimit 我也研究得少，不知道如何进行测试。你可以通过 hashlimit-name portslimit
通过 cat /proc/net/ipt_hashlimit/portslimit 看看。它的本意做为 limit 的增强版本匹配每个源 ip ，但是多了 srcip srcport dstip dstport 我也答不上来了。。。

一直用秋叶原的线，一方面因为真的 amp 买不到，当年网线也便宜一米一块。哪知道后来一米二块越来越贵。
最后网线也就那么回事干嘛非得 amp 。

秋叶原的线还是不错的，不管用于长距离 poe 供电，还是做 rj45 头线软非常省力的。京东。。。早在 newegg 时代就已经在售卖，京东还没生出来。

秋叶原还是值得信赖的，至于杂牌线工程上用于节省成本，烂线有烂线的烦恼，材质硬自已做 rj45 头都累，长距离电供不上。。。只能将就用。一般只考虑自己用过的。

喜欢跳槽的人对公司并不是好事。并不是什么公司任何部门都用脑袋做研发的，他们需要的是能发挥老黄牛精神默默给公司贡献一顶三的所谓没用的人，而那些挑战公司制度，说领导坏话的，对公司无爱的人统统都是裁员的优先选择。

平时都用秋叶原的线，普通的也在室外的用了 2 年，风吹雨淋是否有破损不清楚。

专门的户外线在普通的网线外面有专门一层皮，一般整条线中间不要接起来，就不会因为雨淋氧化。肯定稳稳的。

limit 的原理是匹配每秒通过的数据包，根据 tcp 握手的过程通过限制源数据包的数量来同时限制返回的数据包数量，所以原则上不是用来限制流量用途的。一般能调节的就是--hashlimit-burst 100 突发最高可以通过 100 包，然后不断的减少直到 0 ，而 hashlimit 80/sec 是用来产生多少包来补偿--hashlimit-burst 100 减少的，但最高也只能到 100 ，所以它不是用来限流量的，只是因为限制并发而连带的抑制流量过程。

我那两句用 wget 测试的时候， wget 属于单线程可以将流量限制在 200kb-1mb 之间。也许你应该用-hashlimit-mode srcip 限制每 ip ，然后调整 80/sec 为 40/sec 。然后再试试。

行为管理设备，应该主要起安全接入作用。比如会限制员工访问淘宝之类的，反正有注意到比较明显的页面访问故障，通通都是它的问题。其实这种东西一般人转人大家都知道的。

这个东西看起来就是老板请员工，如果你不在工作时间上淘宝就不会被限制。但是它更可怕的是有记录功能，注意是有记录功能的， http 就不用讲了，最近看了一些文档原来 https 也是可以轻易中间人的。而此时网管人员的人品就备受关注。前公司，当然是领导同意购买了网康的设备，可是领导往往不懂技术啊。据说网管被开除就是因为发现他在阅读领导的邮件，呵呵搞笑。一个 100 多人的办公点，没想到一个小小的网管掌握了那么多人的隐私。设备上的硬盘好像是 160GB 容量的。

你想了解别人的隐私吗，欢迎使用作为管理设备。特别是自己花钱雇人还并员工掌握了隐私，要小心哦！

骗钱不多高息利诱吗，然后人跑了，钱没了。还是继续余额宝。

比较理想的是用 tc ，不过 vps 不支持。
connlimit 一直没有好的印象，容易导致网络中断，像打开网页时突然就是白屏页面，在第三方固件和 ros 上测试过，印象一直不好， vps 上还没实际应用过。

limit 是需要一个具体 ip 才能实现效果的，所以如果仅仅使用 limit 需要不断的侦测源 /目的 ip ，然后用脚本动态调用 iptables 进行插值处理才能针对特定 ip 实现连接数匹配，而 hashlimit 则是个增强版至少解决前面这些过程。


-A INPUT -p tcp -m multiport --dport 80,1723,8080,8443,8843 -m hashlimit --hashlimit-name obfs --hashlimit 80/sec --hashlimit-burst 350 --hashlimit-mode srcip,srcport --hashlimit-htable-expire 300000 -j ACCEPT
-A INPUT -p tcp -m multiport --dport 80,1723,8080,8443,8843 -j REJECT

这个 hashlimit 由于是用令牌筒概念实现的，所以匹配的每秒数据包通过数量就有多有少，造成流量的不精确，效果肯定是不如 tc 的。有时候没有别的方法也只能根据 tcp 握手的过程，通过限制数据包来达到限制流量的过程。

limit 肯定比 connlimit 好， connlimit 实际测试在打开网页方面会导致断开白页。但是这属于全局限制，需要具体指定 ip ，用 hashlimit 吧，可以通过限制并发来限制流量。更高级的有 quota 。

竟然说 iptables 没用，完全没有丁点安全意识，分分钟钟等着被人爆破。

不是有个在线 pac 吗用的就是这服务器，如果没限速的话，我这里也跟搬瓦工一个样，受制电信并没什么惊喜。

nat 内网还有一个实现，有 openwrt 的话按照网上的教程还是能很快配置成功的。

www.remlab.net/miredo

ipv6 线路跟 ipv6 代理还是不一样的。

电信公网 ip 用户最方便的也许就是 6to4 了， ipv6 线路的实现最大的好处可以借助网上分布在世界各地的免费 ipv6 tunnel 实现穿越，真正的条条大路通 google 。也就是原先只能 1 个 ipv4 访问，现在拥有 1 个 ipv4+3 个 ipv6+N 个 ipv6 tunnel ，一下就可以突破种种关卡。如果得借助 haproxy 就可以将访问通过不同的 ip 线路出去到服务器上统一的代理，看起来流量就分布到不同的线路上了。

nat 内网的话有 gogoc 吧，但是一直不清楚服务器端是如何实现的。所以只要有电信的公网 ip ，实现 6to4 6in4 还是没问题的。

哈哈，以前就算跑到上海的郊区，都在郊区了那天空就跟地上的黄土一样混，哪有什么云之类的东西。老家是浙江空气质量排名前二的地方，天天蓝天白云。过半小时到市区到处有一股工业化的味道，那天空马上变色不再蔚蓝。

有时候安装一些软件，像早期的 softether 版本内置的 nat 版本就会导致 cpu 占用 90%，通常这些问题也不是重启就能解决的，只能用脚本去侦测然后重启进程。最搞的一次 centos 7 yum update 以后 openssl 进程执行以后不会退出导致多个进程 cpu 占用非常高，最后似乎是禁用了。最好用 top 看一下是什么东东占用了 cpu 和内存资源。

linux 下面是有个命令可以用来回复内存的，不过 vps 好像是禁用的。第三方路由固件也就 ralink 可以通过它来无限回复内存，内存这东西无限消耗下去终有一天会导致进程因剩余内存不足而崩溃只能重启了。然后 linux 下面可以做 tc 优先级来标记流量队列。