@t2t2 那主路由上的怎么办？主要是你现在是桥接，dhcp会给所有内网的分配
你试试把
副路由的LAN设置里的掩码255.255.255.128,ip为192.168.1.129，网关为主路由，dhcp范围为192.168.1.130-254,网关为自己
主路由dhcp掩码255.255.255.0，dhcp范围1-127。
其实我不会网络，说错了不要打我……

@t2t2 这个我也不是太熟
鉴于你是用两个路由器，我建议两个路由器的dhcp分开，一个给1-128，一个129-255，然后应该就可以分开qos规则了
我说改掩码是为了防客户端自己改ip，如果客户都可信的话就没问题

或者刷openwrt呗
其实你根本不需要两台路由器，直接一台开两个网
限速可以改掩码分两个子网，然后根据ip来qos

主要高危是用cgi的网站，你的桌面系统不对外开服务器就没事。

@soulteary 更坑的是小规模cc混合http slow， 表面上看是cc，实际上卡死的slow

nginx可以加conn_limit和req_limit
也可以iptables限制连接频率和并发连接

@oldcai 试试把原分区bind mount到其他地方

找不到，unmount以后出现
如果不想umount，试试把原分区bind mount到其他地方

智能DNS？

在luci里interface-》dhcp那里ipv6 mode全部选relay行不行？

你ls -l 然后对照mount看就知道了

@Tianpu centos还有很多其他都是这样，因为tmp就是给你短期用的磁盘，而不是内存盘，内存盘是shm，/run则是通常的pid目录，挂内存是因为这个需求

你可以看看mount

如果是debian系，你应该看见/tmp没有mount，因为tmp就是直接写到根分区了，但是开机时会删除/tmp的内容。
/var也没有mount，所以也在根分区
/var/run是ln到/run
而/run，在mount可以看见，是tmpfs，也就是内存fs了。

可以修改/etc/default/tmpfs（debian系），把/tmp也mount内存
systemd应该是启用tmp.mount（不确定，需验证）

一般来说pid都会放/run

@Radeon
如果一定要保存在计算机媒介上（这时已经败了），加密链上的每个保护密码的强度必须大于被保护对象才有意义
那照你这么说银行的服务器都该砸掉，NSA的服务器都该砸掉了？
有安全有秘密再正常不过，通过合理的权限管理，安全是可以保证的。如果那么容易就能绕过权限管理，Linux安全组都可以吃屎去了。

@Radeon
你怎么不说传输时还有破解呢？
密码会被加密传输，而私钥登录不会，这就是本质上的区别。

@Radeon
login用户能关掉r权限自然也能开启r权限，不存在只能用私钥不能读的情况
你看懂我用sudo的作用了么？你只能sudo用，只能ssh用，除非ssh有bug否则安全

noligin只是对login/shell有用，写个程序不用shell轻松绕掉

我哪里说过nologin了？停用帐户只有root能解，但可以sudo。

@Radeon 保证密码强度也是管理员安全基本素养之一。
私钥密码主要还是为了减轻客户机物理接触的危害，比如我上面说的sudo法也无法阻止一个能操作客户机的恶意用户，这个恶意用户不能读取私钥，却可以直接使用，如果没密码就直接能登录了。
尽管如此，AES也不是吃素的。想穷举私钥成本不小，在发现之前能争取足够的反应时间足矣。

@Radeon
可以用ssh-add管理

@Radeon
1. “不懂你在说什么。私钥在终端机上，和服务器上的sudo没有关系”
无论是客户机还是服务器，sudo都不是无限的。如果你的管理员连自己电脑安全都无法保证的话，我建议你换个人。
我说客户机上sudo是这样用的：新建一个禁止登录的用户，把私钥chown给他，今后登录的时候用sudo ssh。文件系统的permmison可以保证任何人无法读私钥，sudoer设置则可以允许某个用户以另一个用户的身份执行某程序，sudo者，被sudo者，程序，都是可限制的。
而服务器上一般用sudo比用suid少，但是两种方法都可以实现同样的效果，即非root赋予有限的管理权限。
当然，如果你客户机root被盗那就什么都没用了，无论密码还是私钥。

2. “这就是我说的其他条件一样的情况下，不留下任何硬盘上的可供破解的原始资料更安全。今天你觉得AES是安全的，也许NSA不觉得，或者过了2年AES被曝有重大缺陷怎么办？那时候你的pass phrase保护的密钥早被人拷走了，在你修复漏洞前攻击者先出手了怎么办”

同上，正确使用不存在此问题。
另外，加密从来就不是无限的。用密码还有窃听的风险呢，你怎么不说rsa加密通道的安全性？这就是我说物理隔离，安全客户机，甚至禁止root远程的原因

3. “本地安全根本没有想象中好做到。开发调试阶段开发机往往被用作登陆终端。开发机上安装的软件鱼龙混杂，而且个个能读 ~/.ssh/*。开发机会被带着到处跑，会丢”

还是那句话：如果你的管理员连自己电脑安全都无法保证的话，我建议你换个人。专机专用，这是安全的基本