📝 EasyTier 介绍

EasyTier 特点

• 去中心化：无需依赖中心化服务，节点平等且独立。

• 安全：支持利用 WireGuard 加密通信，也支持 AES-GCM 加密保护中转流量。

• 高性能：全链路零拷贝，性能与主流组网软件相当。

• 跨平台：支持 MacOS/Linux/Windows/Android，未来将支持 IOS。可执行文件静态链接，部署简单。

• 无公网 IP 组网：支持利用共享的公网节点组网，

• NAT 穿透：支持基于 UDP 的 NAT 穿透，即使在复杂的网络环境下也能建立稳定的连接。(据说在NAT4-NAT4网络下也可能打洞成功)

• 子网代理（点对网）：节点可以将可访问的网段作为代理暴露给 VPN 子网，允许其他节点通过该节点访问这些子网。

• 智能路由：根据流量智能选择链路，减少延迟，提高吞吐量。

• TCP 支持：在 UDP 受限的情况下，通过并发 TCP 链接提供可靠的数据传输，优化性能。

• 高可用性：支持多路径和在检测到高丢包率或网络错误时切换到健康路径。

• IPV6 支持：支持利用 IPV6 组网。

• 多协议类型: 支持使用 WebSocket、QUIC 等协议进行节点间通信。

• Web 管理界面：支持通过 Web 界面管理节点。

个人使用感受

📝 EasyTier 安装方法

EasyTier 一键安装脚本

EasyTier 基础配置

防火墙放行EasyTier端口

EasyTier 运行命令

启动EasyTier

重启EasyTier

停止EasyTier

查看EasyTier运行状态

EasyTier-CLI命令

查看EasyTier已连接的节点

查看EasyTier当前节点信息

EasyTier 子网代理

🤗 总结归纳

• 出口节点目前不能代理DNS流量，即EasyTier无法对设备的DNS进行劫持，所以无法实现通过节点进行科学上网。目前也不支持Magic DNS功能。

• 两侧完全NAT44且不具有IPv6公网地址情况下的内网穿透表现还未进行测试。目前已经确认在一方具有公网IPv6情况下或IPv4处于端口映射及以上,即便另一方处于NAT44环境，P2P可建立连接。

• WireGuard目前还未进行测试，因为我基本上不用WireGuard。这几天看看抽空研究一下。

📎 参考文章

• https://easytier.cn/

• https://github.com/EasyTier/Easytier

📝 InnerTune介绍

功能特点：

• 无广告播放：可以从YouTube/YouTube Music播放歌曲，且没有广告干扰。

• 后台播放：支持在后台播放音乐，即使切换到其他应用，音乐也能继续播放。

• 搜索功能：支持从YouTube Music搜索歌曲、视频、专辑和播放列表。

• 登录支持：用户可以通过YouTube Music账号登录获取个性化推荐和收藏内容。

• 缓存与离线播放：可以缓存和下载歌曲，支持离线播放。

• 同步歌词：提供与歌曲同步显示的歌词功能。

• 歌词翻译：内置歌词翻译功能，帮助用户理解外语歌曲。

• 跳过静音：自动跳过歌曲中的静音部分，提升播放体验。

• 音频标准化：自动调整音量，保持不同歌曲之间的音量一致。

• 节奏/音高调整：可以调节歌曲的播放速度和音调，满足不同需求。

• 动态主题：根据系统主题动态变化应用的外观，带来个性化体验。

• Android Auto支持：在Android Auto环境中使用该应用，适用于车载系统。

• 个性化快捷选择：提供快速选择功能，便捷找到用户喜爱的音乐。

• Discord Rich Presence支持：与Discord集成，展示正在播放的歌曲信息。

程序界面：

主界面：

音乐播放界面及歌词界面：

设置界面：

InnerTune下载地址

Releases · z-huang/InnerTune

A Material 3 YouTube Music client for Android. Contribute to z-huang/InnerTune development by creating an account on GitHub.

https://github.com/z-huang/InnerTune/releases

InnerTune | F-Droid - Free and Open Source Android App Repository

A Material 3 YouTube Music client for Android

https://f-droid.org/packages/com.zionhuang.music/

„InnerTune“ – IzzyOnDroid F-Droid Repository

A Material 3 YouTube Music client for Android

https://apt.izzysoft.de/fdroid/index/apk/com.zionhuang.music

InnerTune提示Unknown Error播放失败

使用Debug的Foss版本

自行编译安装包

1. 设置开发环境

2. 下载或克隆InnerTune仓库

3. 解压项目

4. 在Android Studio中打开项目

5. 生成签名APK

6. 定位生成的APK文件

7. 备份并替换现有InnerTune应用

8. 恢复备份并登录Google账号

9. 安全提示

📎 参考文章

• z-huang/InnerTune: A Material 3 YouTube Music client for Android

📝 什么是以太坊公共RPC节点？

🤗 为什么需要以太坊公共RPC节点？

📎 常用的以太坊公共RPC节点有哪些？

1. https://mainnet.infura.io - Infura是以太坊和IPFS的托管节点服务，提供了以太坊主网和测试网络的RPC节点。

2. https://cloudflare-eth.com - Cloudflare提供的以太坊主网RPC节点。

3. https://api.mycryptoapi.com/eth - MyCrypto API提供的以太坊主网RPC节点。

4. https://rpc.slock.it/mainnet - Slock.it提供的以太坊主网RPC节点。

5. https://eth.rpc.rivet.cloud - Rivet提供的以太坊主网RPC节点。

6. https://mainnet-rpc.dexon.org - Dexon提供的以太坊主网RPC节点。

7. https://eth-mainnet.alchemyapi.io/v2/{API_KEY} - Alchemy提供的以太坊主网RPC节点，可申请私有api key使用。

8. https://rpc.moonriver.moonbeam.network - Moonriver提供的以太坊主网RPC节点。

9. https://eth.rpc.tor.us - Torus提供的以太坊主网RPC节点。

10. https://mainnet-rpc.thundercore.com - ThunderCore提供的以太坊主网RPC节点。

11. https://rpc.ankr.com/eth - Ankr提供的ETH主网RPC节点。付费版本支持Websocket协议。

12. https://quicknode.com - 提供支持DApp构建者使用的专业以太坊RPC和Web3 API接入服务。需要注册，免费版提供http provider和wss的API。

13. https://eth.llamarpc.com - llamarpc提供的以太坊主网RPC节点，提供隐私保护

14. https://eth.drpc.org - drpc提供的以太坊主网RPC节点，提供隐私保护

英文版本

What is an Ethereum public RPC node?

Why do we need Ethereum public RPC nodes?

What are some commonly used public RPC nodes for Ethereum?

• https://mainnet.infura.io - Infura provides hosted node services for Ethereum and IPFS, offering RPC nodes for both the Ethereum mainnet and test networks.

• https://cloudflare-eth.com - Cloudflare offers an Ethereum mainnet RPC node.

• https://api.mycryptoapi.com/eth - MyCrypto API supplies an Ethereum mainnet RPC node.

• https://rpc.slock.it/mainnet - Slock.it hosts an Ethereum mainnet RPC node.

• https://eth.rpc.rivet.cloud - Rivet maintains an Ethereum mainnet RPC node.

• https://mainnet-rpc.dexon.org - Dexon operates an Ethereum mainnet RPC node.

• https://eth-mainnet.alchemyapi.io/v2/{API_KEY} - Alchemy offers an Ethereum mainnet RPC node, with a private API key available upon request.

• https://rpc.moonriver.moonbeam.network - Moonriver runs an Ethereum mainnet RPC node.

• https://eth.rpc.tor.us - Torus manages an Ethereum mainnet RPC node.

• https://mainnet-rpc.thundercore.com - ThunderCore operates an Ethereum mainnet RPC node.

• https://rpc.ankr.com/eth - Ankr provides an ETH mainnet RPC node. Their paid version also supports the WebSocket protocol.

📝 主旨内容

支持KASPA的矿池列表

The LARGEST POOL FRAUD in the history! WOOLY POOLY!

🤗 总结归纳

• Kaspa 网络算力显著增长，目前总算力达到 700.71 TH/s，难度为 748.08 T。

• 矿池选择考虑因素：东亚节点可用性、总算力、最低付款门槛和手续费。

• 推荐矿池包括 herominers.com、acc-pool.pw 和 hashpool.com，它们都有亚洲节点。

• 强烈建议避免使用 woolypooly 矿池，因其存在偷算力问题。

• 推荐的交易所为 Gate.io 和 MEXC，用于 Kaspa 交易和出金。

📎 更新

1. 钱包

2. 交易

3. 链上记录查询

4. 图表

5. 流动性挖矿/质押挖矿管理

6. 浏览器

📝 主旨内容

1. https://rpc-mainnet.maticvigil.com - MaticVigil提供的Polygon主网RPC节点。

2. https://polygon-rpc.com - Polygon官方提供的Polygon主网RPC节点。

3. https://rpc-mainnet.matic.network - Matic Network提供的Polygon主网RPC节点。

4. https://matic-mainnet.chainstacklabs.com - Chainstack Labs提供的Polygon主网RPC节点。

5. https://rpc-mainnet.moonbeam.network - Moonbeam Network提供的Polygon主网RPC节点。

6. https://matic-mainnet-full-rpc.bwarelabs.com - BwareLabs提供的Polygon主网RPC节点，目前已迁移到Blast使用。

7. https://rpc-mainnet.matic.quiknode.pro - QuikNode提供的Polygon主网RPC节点。

8. https://rpc-mainnet.maticvigil.com/v1/{your-api-key} - MaticVigil提供的Polygon主网RPC节点，需要申请私有api key。

9. https://rpc-mainnet.matic.network/v1/{your-api-key} - Matic Network提供的Polygon主网RPC节点，需要申请私有 api key。

10. https://matic-mainnet-archive-rpc.bwarelabs.com - BwareLabs提供的Polygon主网归档RPC节点，目前已迁移到Blast使用。

11. https://polygon-rpc.com/ - Ankr提供的Polygon主网RPC节点

📝 英文版本

📝 剧集介绍

1. 2017美国影视艺术与科学学院奖 - 突出原创短剧的一般杰出表演

2. 2017 Writers Guild America奖 - 最佳短剧系列剧本

3. 2017Online Film Critics Society奖 - 最佳短剧系列

4. 2017隐形画廊最佳网剧

元数据信息

📝 IPv4规则配置

允许本地回环接口

允许已建立的连接

允许特定服务端口

SSH

HTTP(80)和HTTPS(443)

Tinny Tinny RSS (181)

DNS

ICMP (Ping)

限制SSH登录尝试

日志记录和丢弃其他流量

设置默认策略

规则保存

📝 IPv6规则配置

允许本地回环接口

允许已建立的连接

允许特定服务端口

SSH

HTTP(80)和HTTPS(443)

Tinny Tinny RSS(181)

DNS

ICMP(Ping)

限制SSH登录尝试

日志记录和丢弃其他流量

设置默认策略

规则保存

📎 参考文章

• Ubuntu Community Wiki: IptablesHowTo

• Netfilter.org

• Cloud-server-firewall-setup-ipv4-ipv6

安装步骤：

准备工作

安装 XIVLauncherCN

拷贝国服游戏文件

添加非 Steam 游戏

允许外部文件夹访问 XIVLauncher

切换到游戏模式

第一次设置/运行游戏

最后

📎 参考文章

• XIVLauncherCN Steam Deck 安装指南 | faq (ottercorp.github.io)

背景

Dlvr.it配置同步RSS至Twitter

支持的社交媒体账户

• Facebook

• X（Twitter）

• Threads

• Pinterest

• Linedin

• Google Business Profile

• Bluesky

• Instagram

• Tiktok

• Reddit

• Wordpress

• Tumblr

• Blogger

• Discord

• Mastodon

• Feed

• Slack

• StockTwits

• Nextdoor

Dlvr.it的价格

2024年12月30日更新

📝 WordPress优化内容

1. Does not use passive listeners to improve scrolling performance

Quote:

So that notice is being triggered for the Cloudflare Rocket Loader feature - you can disable this in the Speed tab of your Cloudflare dashboard.

2. Largest contentful paint image was lazily loaded.

3. Serve images in next-gen formats

什么是WebP格式：

WebP是一种同时提供失真与无失真压缩的图片档案格式，目的在于减少图片的档案大小、提高图片档案在网路上的传送时间，但同时又能和JPG与PNG等格式相同的图片品质。根据维基百科的资料显示，WebP的档案大小比PNG档少了45%，即使PNG档已经使用压缩工具进行压缩处理过，WrbP仍可以减少28%的档案大小。

4. Links do not have a discernible name

5. Buttons Do Not Have Accessible Names

6. Serve static assets with an efficient cache policy

7. <code></code>标签内容太长，CSS不折行或样式错误问题

8. 尽量不要使用Google Adsense的Auto ads

📝 WordPress优化总结

• NotionNext博客精简优化 | Deep Router

• 用Cursor帮我优化博客SEO | Deep Router

📝 QosMate介绍

算法支持

• HFSC：适用于需要精细控制不同类型流量的环境。它通过分层调度来确保实时应用（如在线游戏、VoIP）的带宽优先分配。

• CAKE：CAKE算法应该是大多数人都熟悉的一种算法，专为简化和优化家庭网络而设计，具有自动调整网络带宽的功能，帮助减少延迟问题，尤其是当多设备同时连接网络时。

插件自动配置

游戏流量优化

与SQM对比

📝 QosMate安装方法

安装须知

1. 已禁用并停止任何现有的QoS服务或脚本（如SQM、Qosify、DSCPCLASSIFY、SimpleHFSCgamerscript等），以避免冲突。

2. 重新启动路由器，以清除旧设置，确保一个干净的启动环境。

3. Qos插件需安装在主路由上，即直接与外网进行连接的拨号路由。在旁路由或旁路网关上安装没有作用，同时如果使用硬件加速情况下，可能存在无法精确控制的情况。

4. 使用更为贴近官方OpenWRT固件的版本，例如ImmortalWRT。选择固件可以参考《2025年国内OpenWRT主流固件对比 | Deep Router》

QosMate后端执行文件安装

Luci前端控制页面安装

🤗 QosMate使用指南

• 访问OpenWRT的LuCI控制网页界面，并打开网络 - QoSmate。

• 配置基本设置。对于基础配置，调整以下关键参数：
• WAN接口：选择你的 WAN接口，一般为wan
• 下载速度 (kbps)：设置为实际下载速度的80%-90%
• 上传速度 (kbps)：设置为实际上传速度的80%-90%
• 根队列调度算法：选择HFSC（默认）或CAKE

• 应用更改。

自动配置

1. 在QoSmate设置页面，点击Start Auto Setup。

2. （可选）输入游戏设备的IP地址以优先处理其流量，地址支持IPv4和IPv6。

3. 等待宽带网络测速和配置完成。

已知问题

📎 参考文章

• hudra0/qosmate

• QoSmate: (Yet Another) Quality of Service Tool for OpenWrt

🍿 Twitter Click'n'Save介绍

Twitter Click'n'Save增强功能：

1. 把推文（Tweets）中的链接直接转化为链接以及在浏览器标题中合并；

2. 高亮显示已访问的推文（Tweets）链接；

3. 自动展开“折叠区域”，免除手动点开的麻烦；

4. 隐藏签名栏、注册攻略、趋势和推荐话题等Twitter界面元素，但是不包括广告。

Twitter Click'n'Save使用方法：

1. 点击下载按钮（从greasyfork网站下脚本），或直接点击这个链接；

2. 在你的用户脚本管理器（例如Tampermonkey、Greasemonkey、Violentmonkey等）中确认安装即可。

3. 刷新你的Twitter推特页面，然后你会在Tweets推文的视频或者图片左上角看到一个的按钮，点击之后即可下载对应的视频、图片或者GIF。已经下载过的视频或者图片，红色的按钮会变成绿色。

Twitter Click'n'Save下载地址：

📝 国内OpenWRT固件开发环境介绍

功能的完善性

系统的稳定性

软件生态的完整性

几乎为0的盈利能力

📝 国内主流OpenWRT固件

• ImmortalWRT

• Lienol源码固件

• Lean源码固件

• iStoreOS固件

• KWRT固件（原openwrt.ai）

📝 ImmortalWRT

ImmortalWRT的优势：

• 默认配置国内的软件源

• 默认系统参数优化

• ImmortalWRT软件源收录一些OpenWRT没有的应用，相对更全，例如Dae、OpenClash等科学上网插件。

• 替换部分精简版系统软件为完整版（例如dnsmasq-full）

• 支持opkg在线安装kmod模块

• 内核跟进更为迅速

• 提供在线编译与下载选项

ImmortalWRT的缺点:

• 部分硬件驱动为开源版本，性能与稳定性可能不如闭源的商业版本

• 软件源对闭源的软件不进行收录

• 默认固件预分配磁盘空间较小，只有300MB，需要自己手动扩容。

ImmortalWRT的相关地址

📝 Lienol源码固件

Lienol固件的优势：

• 预置热门插件（例如Passwall、SSR Plus+等，这两个插件也是最早一批在OpenWRT上的师夷长技以制夷插件，预置插件降低使用门槛）

• 相对OpenWRT官方固件更轻量化，移除非必要组件，适配低配设备，例如硬路由等

• 传闻更稳定

• 及时跟进上游OpenWRT官方更新

Lienol固件的缺点：

• 轻量化及深度定制带来的系统兼容性下降，跨固件安装插件可能存在问题。

• 定制化门槛较高，无法在线自定义编译固件，需手动自行编译固件。

• 需要使用OpenWRT官方软件源或镜像软件源

Lienol的相关地址

📝 Lean源码固件（QWRT+）

Lean源码固件优势

• 收费固件（QWRT）使用闭源驱动，性能更好，例如MTK系列，经miaoer指正，主要以高通QCA系列为主。

• 早期支持Fullcone NAT、SFE（Shortcut Forwarding Engine）混合加速等

• 模块化代码结构通过 package/lean 目录提供独立的功能包

• 第三方衍生版本较多，例如eSir、Sirpdboy等，插件与配置可共享使用。

Lean源码固件缺点

• 部分使用闭源驱动的固件版本需要购买（QWRT）

• 轻量化及深度定制带来的系统兼容性下降，跨固件安装插件可能存在问题。

• 定制化门槛较高，无法在线自定义编译固件，需手动自行编译固件。

• 版本过多，选择恐惧症。

• 文档碎片化严重，分散在恩山论坛的各个角落

• 需要使用OpenWRT官方软件源或镜像软件源

Lean的相关地址

📝 iStoreOS固件

iStoreOS固件优势

• 集成软件中心KoolCenter，插件安装门槛进一步降低

• NAS功能集成，适合有内网存储与传输的用户

• 功能界面优化，更适合新手入门使用

• 颜值相对较高

• 升级时可保留插件

• 支持在线升级，免刷固件

iStoreOS固件缺点

• 固件内部分插件闭源

• 无法在线定制固件

• 硬路由兼容范围较窄（仅支持ARS2、H6XK、H88K、R2S、R4S、R4SE、R5S、R66S、R68S、R6S、RPI4、RTD1619B、Station P2、T68M、X86_64等）

• 系统版本落后，对新版本插件可能存在不兼容

iStoreOS相关地址：

📝 KWRT固件（原kiddin9固件）

KWRT固件优势

• 提供自建软件仓库（软件源），插件数量有保证

• 提供在线编译及自定义编译

• 预置配置支持编译时选择，例如伪装成iStoreOS、预置Docker、预置科学上网插件等

• 支持一键配置旁路由模式，降低旁路由用户使用门槛

• 支持opkg在线安装k-mod模块

KWRT固件缺点

• 在线固件编译需要登录，免费账户存在限制

• 内核版本跟进不及时

• 开发者较少为系统进行定制优化

KWRT相关地址：

🤗 总结归纳

• 在线定制编译：即固件是否提供在线编译选择器，并提供编译时预装插件选择和预执行脚本配置系统

• 固件软件源：使用自建软件源还是官方软件源。一般来说，自建软件源的插件数量大于官方软件源，同时在国内的访问情况更好。

• 上游版本跟进：是否及时跟进OpenWRT官方版本

• 帮助文档：是否提供帮助手册用于配置OpenWRT系统，或提供Debug手册等。

• 插件数量：软件源提供的*.ipk 插件数量。当软件源未提供插件的*.ipk文件时，部分情况下需要通过编译来进行安装，麻烦。

• 付费：是否固件是否收费或付费情况。

📎 参考文章

• coolsnowwolf/lede: Lean's LEDE source

• Lienol/openwrt: Lienol's Modified OpenWrt source

• immortalwrt/immortalwrt: An opensource OpenWrt variant for mainland China users.

• KoolCenter - 酷酷软件中心

📝 为什么需要动态域名解析？

1. 从运营商获取动态公共IP地址（非固定IP，也不一定是公网IPv4地址）

2. 需要远程访问内网设备（如：NAS存储、IP摄像头、WEB服务器）

3. 主路由器不支持DDNS功能（常见于运营商定制光猫）

📝 网络拓扑示意图

📝 配置三部曲（附具体操作指令）

步骤①：注册域名服务

步骤②：OpenWRT软件安装

步骤③：配置文件修改

📝 疑难解答要点

• http://v4.ident.me/

• http://ip1.dynupdate.no-ip.com/

• http://ip.sb

📝 最佳实践建议

1. 安全加固：建议开启两步验证生成独立API密码

2. 端口转发规则：在主路由设置仅限于必要端口

3. 自动续期：no-ip免费域名需每月登录确认

4. 备选方案：可同步配置Cloudflare DDNS

5. IP更新频率限制：多数DDNS限制5分钟/次的更新请求，高频触发会被暂时封禁

6. 地域性屏蔽风险：部分国外服务商域名（如.ddns.net）可能受区域防火墙干扰

7. 数据隐私条款：检查服务商的隐私政策，避免监控请求日志（优先选择DuckDNS等开源方案）

8. 重要服务建议至少配置两个不同提供商的DDNS，通过DNS轮询（Round Robin）实现故障转移，例如主用Dynu+备用ClouDNS。

📝 免费的DDNS服务提供商

📎 参考文章

📝 MikroTik RouterOS 7.18更新内容

▍关键功能更新

1. IPv6全面加速

• 新增FastPath（默认开启）和FastTrack技术，有关FastPath和FastTrack介绍可以参考《RouterOS使用OSPF智能分流国外流量》中的总结归纳部分。

• L2TP/VXLAN/IPsec全面支持IPv6硬件加速

• /31 CIDR支持（优化点对点链路子网划分）

2. BTRFS高级存储功能

• 支持在线调整RAID阵列、子卷快照、数据去重

• 通过SSH执行btrfs send/receive跨设备同步数据

3. 5G/LTE增强

• ⚡ 新增eSIM管理（支持动态配置认证）

• Quectel RG255C-GL等新款工业模组适配

• 5G CA（载波聚合）信息可视化（需支持模组）

4. 企业级流量管控

5. 硬件芯片级加速

• CCR2116的IPsec吞吐提升至2.4Mpps

• CRS354支持VXLAN硬件卸载

6. 容器Container功能优化

• 修改默认容器镜像变更为https://lscr.io ，避免部分区域Dockerhub无法访问

• 支持访问容器镜像时使用HTTP重定向（反向代理成为可能）

• 允许通过 remote-image 属性指定容器镜像地址

• 默认使用容器根目录的父目录进行解压，使得容器层文件直接下载到目标磁盘

▍关键缺陷修复清单（按风险等级分类）

高危漏洞修复

• CVE-2024-2983：HTTP API未授权访问（用户管理模块）

• 无限MAC更新循环：Bridge模块内存泄漏漏洞（v7.17引入）

• PPPoE服务崩溃：部分Alpine架构设备IPsec异常

业务连续性改进

1. Safe-Mode增强/system script add name=pre-upgrade source={...}（新增安全模式脚本接口）

2. 动态DNS容灾/ip cloud set back-to-home-files=yes（新增云端配置恢复）

3. 硬件兼容性

• 华为SP570/580网卡驱动支持

• 修正RB4011默认网口命名冲突

▍性能对比实测

▍升级指南（注意事项）

1. 强制预检清单

2. 回滚策略

• 保留7.16系统镜像：/system backup save name=pre718 exclude=" sensitive-data"

• 升级后24小时内执行基线性能测试

3. 延迟更新场景以下设备建议观察1个月后再升级：

• RB2011/RB951等MIPSBE架构设备

• 使用BG77 LTE模组的Chateau系列

▍典型配置案例

MLAG高可用集群（新增心跳检测）

IPv6快速部署模板

▍完整更新日志

*) 60ghz - improved system stability; *) bgp - fixed certain affinity options not working properly; *) bgp - improved system stability when printing BGP advertisements; *) bgp - make NO_ADVERTISE, NO_EXPORT, NO_PEER communities work; *) bond - added transmit hash policies for encapsulated traffic; *) bridge - added MLAG heartbeat property; *) bridge - avoid duplicate VLAN entries with dynamic wifi VLANs; *) bridge - do not reset MLAG peer port on heartbeat timeout (log warning instead); *) bridge - fixed endless MAC update loop (introduced in v7.17); *) bridge - fixed missing S flag on interface configuration changes; *) bridge - improved stability when using MLAG with MSTP (introduced in v7.17); *) bridge - improvements to MLAG host table updates; *) bridge - process more DHCP message types (decline, NAK, inform); *) bridge - removed controller-bridge (CB) and port-extender (PE) support; *) bridge - show VXLAN remote-ip in host table; *) btest - allow limiting access to server by IP address; *) certificate - fixed localized text conversion to UTF-8 on certificate creation; *) chr - fixed limited upgrades for expired instances; *) chr/x86 - added network driver for Huawei SP570/580 NIC; *) chr/x86 - fixed error message on bootup; *) chr/x86 - fixed GRE issues with ice network driver; *) chr/x86 - Realtek r8169 updated driver; *) cloud - added "Back To Home Files" feature; *) cloud,bth - use in-interface matcher for masquerade rule; *) console - added dsv.remap to :serialize command to unpack array of maps from print as-value; *) console - added file-name parameter to :serialize; *) console - allow ISO timezone format in :totime command; *) console - allow tab as dsv delimiter; *) console - allow to toggle script error logging with "/console settings log-script-errors"; *) console - do not autocomplete arguments when match is both exact and ambiguous; *) console - do not show numbering in print follow; *) console - fixed "get" and "proplist" for certain settings; *) console - fixed issue where ping command displays two lines at the same time; *) console - fixed issue with disappearing global variable; *) console - implement scriptable safe-mode commands and safe-mode handler; *) console - improved hints; *) console - log errors within scripts to the system log; *) console - make non-pseudo terminals work with imports; *) console - put !empty sentence when API query returns nothing; *) console - renamed "back-to-home-users" to "back-to-home-user"; *) container - add default registry-url=https://lscr.io; *) container - allow HTTP redirects when accessing container registry; *) container - allow specifying registry using remote-image property; *) container - improved image arch choice; *) container - use parent directory of container root-dir for unpack by default, so that container layer files are downloaded directly on target disk; *) defconf - added IPv6 FastTrack configuration; *) device-mode - do not allow changing CPU frequency if "routerboard" is not allowed by device mode (introduced in v7.17); *) device-mode - fixed feature and mode update via power-reset on PPC devices; *) dhcpv4-client - allow selecting to which routing tables add default route; *) dhcpv4-client - fixed default option export output; *) dhcpv4-server - fixed "active-mac-address" update when client has changed MAC address; *) dhcpv4-server - fixed framed-route removal; *) dhcpv4-server - fixed lease assigning when server address is not bind to server interface (introduced in v7.17); *) dhcpv6-client - added "validate-server-duid" option; *) dhcpv6-client - allow specifying custom DUID; *) dhcpv6-client - do not run script on prefix renewal; *) dhcpv6-relay - added option to create routes for bindings passing through relay; *) dhcpv6-server - respond to client in case of RADIUS reject; *) discovery - advertise IPv6 capabilities based on "Disable IPv6" global setting; *) discovery - improved stability during configuration changes; *) discovery - report actual PSE power-pair with LLDP; *) discovery - use power-via-mdi-short LLDP TLV only on pse-type1 802.3af; *) disk - add disk trim command (/disk format-drive diskx file-system=trim); *) disk - allow to add swap space without container package; *) disk - allow to set only type=raid devices as raid-master; *) disk - cleanup raid members mountpoint, improve default name of file base block-device; *) disk - do not allow adding device in raid when major settings mismatch in superblock and config; *) disk - do not allow configuring empty slot as raid member; *) disk - fix detecting disks on virtual machines; *) disk - fixed removing device from raid while resyncing; *) disk - fixed setting up dependent devices when file-based block-device becomes available; *) disk - fixed showing free space on tmpfs (introduced in v7.17); *) disk - improved stability; *) disk - improved system stability when SMB interface list is used (introduced in v7.17); *) disk - mount multi-device btrfs filesystems more reliably at startup; *) disk - set non-empty fs label when formatting by default; *) dns - do not show warning messages for DNS static entries when they are not needed; *) ethernet - fixed issue with default-names for RB4011, RB1100Dx4, RB800 devices; *) ethernet - fixed link-down on startup for ARM64 devices (introduced in v7.16); *) ethernet - improved link speed reporting on 2.5G-baseT and 10Gbase-T ports; *) fetch - added "http-max-redirect-count" parameter, allows to follow redirects; *) fetch - do not require "content-length" or "transfer-encoding" for HTTP; *) file - added "recursive" and "relative" parameters to "/file/print" for use in conjunction with "path" parameter; *) file - allow printing specific directories via path parameter; *) file - improved handling of filesystems with many files; *) firewall - allow in-interface/in-bridge-port/in-bridge matching in postrouting chains; *) firewall - fixed incorrectly inverted hotspot value configuration; *) firewall - increased maximum connection tracking entry count based on device total RAM size; *) hotspot - fixed an issue where extra "flash/" is added to html-directory for devices with flash folders (introduced in v7.17); *) igmp-proxy - fixed multicast routing after upstream interface flaps (introduced in v7.17); *) iot - added new "iot-bt-extra" package for ARM, ARM64 which enables use of USB Bluetooth adapters (LE 4.0+); *) iot - improvements to LoRa logging and stability; *) iot - limited MQTT payload size to 32 KB; *) ip - added support for /31 address; *) ippool - added pool usage statistics; *) ipsec - added hardware acceleration support for hEX refresh; *) ipsec - fixed chacha20 poly1305 proposal; *) ipsec - fixed installed SAs update process when SAs are removed; *) ipv6 - added ability to disable dynamic IPv6 LL address generation on non-VPN interfaces; *) ipv6 - added FastTrack support; *) ipv6 - added routing FastPath support (enabled by default); *) ipv6 - added support for neighbor removal and static entries; *) ipv6 - fixed configuration loss due to conflicting settings after upgrade (introduced in v7.17); *) l2tp - added IPv6 FastPath support; *) l3hw - added initial HW offloading for VXLAN on compatible switches; *) l3hw - added neigh-dump-retries property; *) l3hw - fixed /32 (IPv6 /128) route offloading when using interface as gateway; *) l3hw - fixed partial route offloading for 98DX224S, 98DX226S, 98DX3236 switches; *) l3hw - respect interface specifier (%) when matching a gateway; *) log - added CEF format support for remote logging; *) log - added option to select TCP or UDP for remote logging; *) lte - added at-chat support for EC21EU; *) lte - added basic support for Quectel RG255C-GL modem in "at+qcfg="usbnet",0" USB composition; *) lte - added confirmation-code parameter for eSIM provisioning; *) lte - added initial eSIM management support; *) lte - fixed cases where the MBIM dialer could get stuck; *) lte - fixed Huawei ME909s-120 support; *) lte - fixed interface recovery in mixed multiapn setup for MBIM modems; *) lte - fixed missing 5G info for "/interface lte print" command; *) lte - fixed missing IPv6 prefix advertisement on renamed LTE interfaces; *) lte - fixed prolonged reboots on Chateau 5G ax; *) lte - fixed SIM slot initialization with multi-APN setups; *) lte - improved automatic link recovery and modem redial functions; *) lte - improved initialization for external USB modems; *) lte - lte monitor, show CQI when modem reports it as 0 - undetectable, no RX/down-link resource block assigned to modem by provider; *) lte - R11eL-EC200A-EU fixed online firmware upgrade and added support for firmware update from local file; *) lte - R11eL-EC200A-EU improved failed connection handling and recovery; *) lte - reduce modem initialization time for R11e-LTE-US; *) lte - reduced SIM slot switchover time for modems with AT control channel (except R11e-LTE); *) lte - removed nonexistent CQI reading for EC200A-EU modem; *) net - added initial support for automatic multicast tunneling (AMT) interface; *) netinstall - try to re-create socket if link status changes; *) netinstall-cli - fixed DHCP magic cookie; *) ospf - fixed DN bit not being set; *) ospfv3 - fixed ignored metric for intra-area routes; *) ovpn - added requirement for server name when exporting configuration; *) ovpn - disable hardware accelerator for GCM on Alpine CPUs (introduced in v7.17); *) ovpn-client - added 1000 character limit for password; *) pimsm - fixed incorrect neighbor entry when using lo interface; *) poe-out - added "power-pair" info to poe-out monitor (CLI only); *) poe-out - added console hints; *) poe-out - added new modes "forced-on-a" and "forced-on-bt" (CLI only); *) poe-out - upgraded firmware for 802.3at/bt PSE controlled boards (the update will cause brief power interruption to PoE-out interfaces); *) port - improved handling of USB device plug/unplug events; *) ppc - fixed HW encryption (introduced in v7.17); *) ppp - add support for configuration of upload/download queue types in profile; *) ppp - added support for random UDP source ports; *) ppp - fixed setting loss when adding new ppp-client interface for BG77 modem from CLI; *) ppp - properly cleanup failed inactive sessions on pppoe-server; *) ptp - do not send packets on STP blocked ports; *) ptp - improved system stability; *) qos-hw - fixed global buffer limits for 98CX8410 switch; *) queue - improved system stability when many simple queues are added (introduced in v7.17); *) queue - improved system stability; *) queue - prevent CAKE bandwidth config from potentially causing lost connectivity to a device; *) resolver - fixed static FQDN resolving (introduced in v7.17); *) rip - fixed visibility of added key-chains in interface-template; *) rose-storage - add btrfs filesystem add-device/remove-device/replace-device/replace-cancel commands to add/remove/replace disks to/from a live filesystem; *) rose-storage - add btrfs filesystem balance-start/cancel commands; *) rose-storage - add btrfs filesystem scrub-start, scrub-cancel commands (CLI only); *) rose-storage - add btrfs transfers, supports send/receive into/from file for transferring subvolumes across btrfs filesystems; *) rose-storage - add support to add/remove btrfs subvolumes/snapshots; *) rose-storage - added support for advanced btrfs features: multi-disk support, subvolumes, snapshots, subvolume send/receive, data/metadata profiles, compression, etc; *) rose-storage - allow to separately mount any btrfs subvolumes; *) rose-storage - fixes for btrfs server; *) rose-storage - update rsync to 3.4.1; *) rose-storage,ssh - support btrfs send/receive over ssh; *) route - added /ip/route/check tool; *) route - added subnet length validation on route add; *) route - do not use disabled addresses when selecting routing id; *) route - fixed busy loops (route lockups); *) route - fixed incorrect H flag usage; *) route - improved stability when polling static routes via SNMP; *) route - properly resolve imported BGP VPN routes; *) routerboot - disable packet switching during etherboot for hEX refresh ("/system routerboard upgrade" required); *) routerboot - improved stability for IPQ8072 ("/system routerboard upgrade" required); *) routing-filter - improved stability when using large address lists (>5000); *) routing-filter - improved usage of quotes in filter rules; *) sfp - fixed missing "1G-baseX" supported rate for NetMetal ac2 and hEX S devices; *) sfp - improved linking with certain QSFP modules on CRS354 devices; *) sfp - improved system stability with some GPON modules for CCR2004 and CCR2116 devices; *) sfp,qsfp - improved initialization and linking; *) smb - fixed connection issues with clients using older SMB versions (introduced in v7.17); *) smb - fixes for SMB server; *) smb - improved system stability; *) snmp - added "mtxrAlarmSocketStatus" OID to MIKROTIK-MIB; *) snmp - added disk serial number through description field; *) snmp - sort disk list and assign correct disk types; *) ssh - improved channel resumption after rekey and eof handling; *) supout - added IPv6 settings section; *) supout - added per CPU load information; *) switch - allow entering IPv6 netmask for switch rules (CLI only); *) switch - fixed dynamic switch rules created by dot1x server (introduced in v7.17); *) switch - fixed issues with inactive hardware-offloaded bond ports; *) switch - improved egress-rate on QSFP28 ports; *) switch - improved system stability for CRS304 switch; *) switch - improvements to certain switch operations (port disable, shaper and switch initialization); *) system - added option to list and install available packages (after using "check-for-updates"); *) system - do not allow to install multiple wireless driver packages at the same time; *) system - do not cause unnecessary sector writes on check-for-updates; *) system - enable "ipv6" package on RouterOS v6 downgrade if IPv6 is enabled; *) system - fixed a potential memory leak that occurred when resetting states after an error; *) system - force time to be at least at package build time minus 1d; *) system - improved HTTPS speed; *) system - improved stability on busy systems; *) system,arm - automatically increase boot part size on upgrade or netinstall (fixed upgrade failed due to a lack of space on kernel disk/partition); *) tile - improved system stability; *) traceroute - added "too many hops" error when max-hops are reached; *) traceroute - limit max-hops maximum value to 255; *) user - improved authentication procedure when RADIUS is not used; *) vxlan - added disable option for VTEPs; *) vxlan - added IPv6 FastPath support; *) vxlan - added option to dynamically bridge interface and port settings (hw, pvid); *) vxlan - added TTL property; *) vxlan - changed default port to 4789; *) vxlan - fixed unset for "group" and "interface" properties; *) vxlan - replaced the "inherit" with "auto" option for dont-fragment property (new default); *) webfig - added confirmation when quitting in Safe Mode; *) webfig - do not reload form when failed to create new object; *) webfig - fixed "TCP Flags" property when inverted flags are set in console; *) webfig - fixed datetime setting under certain menus; *) webfig - fixed displaying passwords; *) webfig - fixed Switch/Ports menu not showing correctly; *) webfig - hide certificate information in IP Services menu when not applicable; *) webfig - remember expand/fold state; *) wifi - added max-clients parameter; *) wifi - avoid excessive re-transmission of SA Query action frames; *) wifi - fix issue which made it possible for multiple concurrent WPA3 authentications to interfere with each other; *) wifi - implement steering parameters to delay probe responses to clients in the 2.4GHz band; *) wifi - log a warning when a client requests power save mode during association as this may prevent successful connection establishment; *) wifi - re-word the "can't find PMKSA" log message to "no cached PMK"; *) wifi - try to authenticate client as non-FT client if it provides incomplete set of FT parameters; *) wifi-qcom - fix reporting of radio minimum antenna gain for hAP ax^2; *) wifi-qcom - prevent AP from transmitting broadcast data unencrypted during authentication of first client; *) winbox - added "Copy to Provisioning" button under "WiFi/Radios" menu; *) winbox - added "Last Logged In/Out" and "Times Matched" properties under "WiFi/Access List" menu; *) winbox - added "Reset Alert" button under "IP/DHCP Server/Alerts" menu; *) winbox - added L3HW Advanced and Monitor; *) winbox - added missing options under "System/Disk" menu; *) winbox - added TCP settings under "Tools/Traffic Generator/Packet Templates" menu; *) winbox - do not show 0 Tx/Rx rate under "WiFi/Registration" menu when values are not known; *) winbox - do not show LTE "Antenna Scan" button on devices that do not support it; *) winbox - fixed locked input fields when creating new certificate template; *) winbox - show LTE "CA Band" field only when CA info is available; *) winbox - show warning messages for static DNS entries; *) x86 - fixed "unsupported speed" warning;

📎 参考文章

• MikroTik Routers and Wireless - Software

• RFC 9234 - Route Leak Prevention and Detection Using Roles in UPDATE and OPEN Messages

📝 Dae配置部分

Daed安装

Global配置

DNS

路由部分

Route整体规则

direct与direct(must)区别

📝 AdGuard Home配置部分

🤗 总结归纳

后续

关于AdGuard Home的卸载

📎 参考文章

• [Support Request] 开启dae后，AdGuard Home拦截不显示客户端 · daeuniverse/dae · Discussion #668

• dae/docs/en/configuration/external-dns.md at main · daeuniverse/dae

📝 RSS同步Twitter搭建前提

• 一个Twitter开发者平台账号，申请入口为：Developer Platform，个人使用免费Plan即可，每个月允许500条POSTS。对于同步豆瓣或者个人博客来说，足够使用。Twitter开发者平台注册时会要求填写申请理由，例如：

• 一个PipeDream账号，申请入口为：pipedream，可以使用Google或者Github账号登录。同样免费计划即可，可以创建3个工作流，足够使用。

📝 RSS同步Twitter配置流程

获取Twitter Key And Tokens

• App Permissions选择Read and write ，因为我们要发布推文；

• Type of App选择Web App, Automated App or Bot

• App Info中Callback URL和Website URL 填写自己的域名，如果没有就填写pipedream的。

• 点击Save 会输出一个Client ID和Token，但是这个不是我们需要的，没有什么用。

配置Pipedream环境变量

• TWITTER_ACCESS_SECRET ： 获取的Access Token Secret

• TWITTER_ACCESS_TOKEN ： 获取的Access Token

• TWITTER_API_SECRET ： 获取的API Key Secret

• TWITTER_API_KEY ： 获取的API Key Secret

配置Pipedream Project和Workflow

添加RSS Trigger触发器

添加RSS触发动作

Twitter推文（Tweet）效果

Twitter同步代码优化版本

• 增加了针对影视、音乐、读书不同的emoji；

• 增加了封面图上传功能；

• 增加了错误判断。

🤗 总结归纳

2025/01/02 更新

📎 参考文章

• Twitter Developer Apps

• Running Node.js in workflows

📝 OpenWRT配置动态路由背景

• 主路由器：OpenWRT（ImmortalWrt 23.05.4 r28061-399f9a1db3 / LuCI openwrt-23.05 branch git-24.265.44782-0ff45d8）
• 光猫桥接，接口为wan
• 内核版本为5.15.167(stable)
• 架构X86_64

• 旁路由（旁路网关）：OpenWRT（ImmortalWrt 23.05.4 r28061-399f9a1db3 / LuCI openwrt-23.05 branch git-24.265.44782-0ff45d8）
• 接口为br-lan，网关为主路由IP地址
• 运行OpenClash作为科学服务
• 内核版本为5.15.167(stable)
• 架构X86_64

📝 为什么要使用OSPF进行分流

增加直连效率

增加网络容错性

📝 OpenWRT配置接收Bird的OSPF动态路由

OpenWRT旁路由（旁路网关）配置

安装Bird2

• 通过opkg安装所需软件包

• 编辑配置文件

生成Bird动态路由规则

• 编辑Produc.py

• 编辑Makefile

• 生成路由表

• 确认Bird2路由表状态

• 添加定时任务

OpenWRT主路由配置

安装Bird2

配置Bird2

查看bird获取OSPF邻居信息

查看bird获取OSPF动态路由信息

主路由OpenWRT防路由环回处理

• 为旁路由添加默认路由规则

• 新建IPv4局域网路由规则

• 新建IPv4广域网路由规则

• 配置防火墙规则

🤗 总结归纳

📎 参考文章

• Troubleshoot OSPF Neighbors Stuck in Exstart/Exchange State

• https://github.com/openwrt/routing/tree/openwrt-22.03/bird2

📝 个人对DNS服务器选择的看法

📝 国内DNS服务器

📝 国外DNS服务器

推荐使用的DNS服务器

仅作测试使用的DNS服务器

DNS延迟测试脚本

非公共DNS服务（增强型DNS服务）

• XNS.One提供非公共DNS使用，属于付费服务，需要邀请码，可以在他们的Telegram频道蹲一下。付费不支持支付宝与微信，只能信用卡付款。

• NextDNS，我目前主要使用的DNS服务，免费版每个月提供30万次查询，基本够日常使用。可定制拦截列表。

• AdGuard DNS，与NextDNS类似，免费版每个月提供30万次查询，允许配置5个接入点，2个服务器，支持配置100条自定义规则。

📝 其他关于DNS的参考信息

enable_pipeline: TCP/DoT使用RFC 7766新的query pipelining连接复用模式。

• 启用后可大幅提高连接利用率，减少建立连接/握手的次数，进而降低响应延时。

• 并非所有DNS服务器都支持。必须确定DNS服务器支持后再启用该选项。

• Tips: 已知Google和Cloudflare的TCP/DoT是支持该模式的。知名的公共DNS服务商大多数都支持该模式。如果你使用MosDNS，可以使用 mosdns probe pipeline {tcp|tls}://server_ip[:port] 测试命令测试服务器是否支持。比如 mosdns probe pipeline tls://8.8.8.8 。

什么是ECS(EDNS Client Subnet)？

ECS(EDNS Client Subnet)是扩展DNS查询的一种机制，旨在提升内容分发网络（CDN）和地理位置相关的服务的效率。通常DNS服务器只看到客户端的IP地址，但通过ECS，DNS请求会包含客户端IP的一部分（子网信息）。这样，内容分发网络可以根据客户端的地理位置，返回更接近用户的服务器，减少延迟，提升性能。ECS主要用于优化网络和加速服务的访问，但也可能带来一定的隐私泄露风险。

测试了几家主流 DNS 的 ECS 功能 - V2EX

DNS - @baraja - 这几天折腾了一下自建 AdGuard Home 的上游 DNS ，发现某些号称支持 ECS 的 dns 比如 nextdns 、cloudflare-gateway 都不太适合作为 AGH 的上游。因

https://www.v2ex.com/t/1086059

什么是DOH（DNS over HTTPS）？

DoH（DNS over HTTPS）是一种技术，用来加密你的DNS查询。通常情况下（UDP及TCP协议情况下），DNS查询是明文的，容易被ISP运营商看到和监控。而DoH会通过HTTPS协议加密这些查询，确保你的请求内容是安全的，不会被ISP和运营商偷看。就像你在发送加密的信息一样，DoH保护了你上网时的隐私，并在一定程度上可以避免DNS劫持。

什么是ECH（Encrypted Client Hello）？

ECH（Encrypted Client Hello）是一种技术，用来加密你访问网站时的SNI（服务器名称指示）信息。通常情况下，当你想访问某个网站时，这个请求是明文的，运营商或其他第三方可以轻易看到你在访问什么网站，并可能进行拦截或阻断（例如SNI阻断）。这也是为什么有时你在国内访问GitHub和Linux.DO会遇到Time Out问题的原因之一。有了ECH，这些SNI信息就被加密了，外面的人就看不到你要访问哪个网站，从而提高了你的隐私和安全性。简单来说，ECH就像是在发送加密的信息，让你的浏览行为更加私密。

什么是DNSSEC(Domain Name System Security Extensions)？

DNSSEC(Domain Name System Security Extensions)是DNS系统的安全扩展协议，通过数字签名技术来确保DNS记录的真实性和完整性。它通过建立从根域名到下级域名的信任链，使用公私钥对对DNS记录进行签名和验证，能有效防止DNS欺骗和缓存污染。DNSSEC引入了几个关键记录类型：DNSKEY用于存储域名公钥，RRSIG包含数字签名信息，DS记录用于下级域委派签名，以及NSEC/NSEC3用于提供域名不存在的证明。虽然DNSSEC的配置较为复杂，可能增加DNS服务器负载并导致响应包变大，但它在防止DNS劫持和欺骗方面发挥着重要作用，目前已得到Google DNS (8.8.8.8)和Cloudflare (1.1.1.1)等主流公共DNS服务器的支持。

其他关于DNS选择的文章？

📝 Follow for Android 项目介绍

Follow for Android 项目地址

支持功能

• Google和Github的登录可用

• RSS正常可以阅读(Youtube订阅源暂时无法直接播放视频)

• 添加订阅源正常

• 大部分页面显示正常（目前还没有找到不正常的）

• 使用Service Worker进行缓存

• 理论上支持Android TV使用

安装文件

🤗 总结归纳

📎 参考文章

• https://github.com/RSSNext/Follow

• https://v2.tauri.app/start/

实验环境

• 旁路由（旁路网关）：OpenWRT（ImmortalWrt 23.05.4 r28061-399f9a1db3 / LuCI openwrt-23.05 branch git-24.265.44782-0ff45d8）
• 接口为br-lan，网关为主路由IP地址
• 运行OpenClash作为科学服务
• 内核版本为5.15.167(stable)
• 架构X86_64

📝 OpenClash实验性：绕过中国大陆IP的原理

• ip set/nft set 管理，也就是IP集合管理

• China_ip_route规则匹配及重定向

• 利用Dnsmasq进行国内域名列表（/etc/openclash/accelerated-domains.china.conf）内的域名解析

IP集合

China_ip_route规则匹配

openclash_mangle链

• 条件判断：检查变量 china_ip_route 是否等于 1。如果是，表示启用了绕过中国大陆IP。

• 嵌套条件判断：检查变量 enable_redirect_dns 是否不等于 2。这里0是不劫持DNS，1是通过dnsmasq劫持，2是通过防火墙劫持。
• 如果不等于2，即不使用防火墙劫持：nft 'add rule inet fw4 openclash_mangle ip daddr @china_ip_route ip daddr != @china_ip_route_pass counter return’
• 如果等于2：nft 'add rule inet fw4 openclash_mangle ip daddr @china_ip_route counter return’

openclash链

• 条件判断：检查变量 china_ip_route 是否等于 1。如果是，表示启用了绕过中国大陆IP。

• 嵌套条件判断：检查变量 enable_redirect_dns 是否不等于 2。这里0是不劫持DNS，1是通过dnsmasq劫持，2是通过防火墙劫持。
• 如果不等于2，即不使用防火墙劫持：nft 'add rule inet fw4 openclash ip daddr @china_ip_route ip daddr != @china_ip_route_pass counter return'
• 如果等于2：nft 'add rule inet fw4 openclash ip daddr @china_ip_route counter return'

openclash_mangle_output链

• 条件判断：检查变量 china_ip_route 是否等于 1。如果是，表示启用了绕过中国大陆IP。

• 嵌套条件判断：检查变量 enable_redirect_dns 是否不等于 2。这里0是不劫持DNS，1是通过dnsmasq劫持，2是通过防火墙劫持。其中，skuid≠65534为非特权用户，即nobody用户
• 如果不等于2，即不使用防火墙劫持：nft 'add rule inet fw4 openclash_mangle_output skuid != 65534 ip daddr @china_ip_route ip daddr != @china_ip_route_pass counter return'
• 如果等于2：nft 'add rule inet fw4 openclash_mangle_output skuid != 65534 ip daddr @china_ip_route counter return'

China_ip_route_pass规则匹配

📝 配置流程

China_ip_route的nft规则配置

• 首先我们需要处于fake-ip模式

• 关闭实验性绕过中国大陆IP选项，因为我们要手动添加防火墙规则进行绕过

• 关闭DNS劫持

添加防火墙规则

openclash链

openclash_mangle链

openclash_mangle_output链

配置OpenClash自定义防火墙规则

关于IPV6

关于规则更新

已知问题

🤗 总结归纳

📎 参考文章

• [Feature] 能否在 Wiki 加上 "实验性：绕过中国大陆 IP" 具体实现的流程图 #3467

NieR Automata Ver 1.1a介绍

友情提示！Netflix也可以看的！已经上Netflix了！合租可以看这里：

环球巴士 · 奈飞站

一站式流媒体合租平台

https://universalbus.cn/?s=exAP2dszCqi7

三周没更新啦！！！！想念A2！！！！

【NEW】第八集：[ANi] NieRAutomata Ver11a - 尼爾：自動人形 Ver1.1a - 08 [1080P][Baha][WEB-DL][AAC AVC][CHT][MP4]

INFO

Info By: ANi API (Auto Generated)Subtitle: HardSub 中文繁体Mediainfo: Resolution: 1080P Video Format: AVC Audio Format: AAC

第七集：[神楽坂 まひろ] 尼爾：自動人形 Ver1.1a / NieR:Automata Ver1.1a - 07 (CR 1920x1080 AVC AAC MKV)

Information:

Overall Bit Rate: 8 186 kb/s字幕: Deutsch (Germany), English (US), Español (Latin America), Español (España), Français (France), Italian (Italy), Português (Brasil), Русский (Russia), 中文（简体）| 繁化姬, 中文（繁體）时长: 00:23:41.660CRC32: BACE4467MediaInfo

第六集：[NanakoRaws] NieR Automata Ver 1.1a - 06 (1080p).mp4

第五集：[NanakoRaws] NieR Automata Ver 1.1a - 05 (1080p).mp4

📝 RouterOS直接访问光猫教程

前置条件

• 光猫使用桥接模式，由RouterOS进行拨号

• 光猫管理地址为192.168.1.1

• RouterOS及家庭局域网的网段位于10.0.0.0/24

• RouterOS连接光猫的端口为ether4

配置方法

🤗 总结归纳

📎 参考文章

• https://www.right.com.cn/forum/thread-4053796-1-1.html

📝 OpenWRT软件源

OpenWRT官方镜像站

1. OpenWRT官方下载站点：

• URL: https://downloads.openwrt.org/

• 这是 OpenWRT的主站点，提供所有官方版本的固件和软件包。该站点是获取最新稳定版、开发版（snapshot）和历史版本的主要来源。

2. OpenWRT官方GitHub仓库：

• URL: https://github.com/openwrt/openwrt

• 虽然主要用于代码存储和开发，但也提供了一些资源和文档链接。

3. OpenWRT Cloudflare镜像仓库

• URL： https://mirrors.cicku.me/openwrt/

• 使用CDN (Cloudflare)的镜像，由cicku.me提供，并获得官方认可。

OpenWRT国内镜像站

1. 清华大学开源软件镜像站：

• URL: https://mirrors.tuna.tsinghua.edu.cn/openwrt

• 提供了OpenWRT各个版本的镜像，非常稳定和快速。

2. 中科大开源镜像站：

• URL: https://mirrors.ustc.edu.cn/openwrt

• 也是一个非常可靠的镜像源，提供OpenWRT的各个版本。

3. 阿里云开源镜像站：

• URL: https://mirrors.aliyun.com/openwrt

• 提供稳定的OpenWRT镜像下载服务。

4. 重庆大学开源镜像站：

• URL: https://mirrors.cqu.edu.cn/openwrt/

• 同样是一个可以选择的国内镜像源。

5. 南京大学开源镜像站：

• URL: https://mirror.nju.edu.cn/openwrt/

• 提供了OpenWRT的多版本支持。

6. 上海交通大学开源镜像站：

• URL: https://mirror.sjtu.edu.cn/openwrt/

• 提供稳定的开源软件镜像服务。

7. 兰州大学开源镜像站：

• URL: https://mirror.lzu.edu.cn/openwrt/

• 提供多个开源项目的镜像下载。界面有点意思。

8. 浙江大学开源镜像站：

• URL: https://mirrors.zju.edu.cn/openwrt/

• 提供多种开源软件项目的镜像。

9. 腾讯云开源镜像站：

• URL： https://mirrors.cloud.tencent.com/openwrt/

• 提供稳定的OpenWRT镜像下载服务。

OpenWRT个人镜像站

1. OpenWRT.AI软件仓库：

• URL: https://dl.openwrt.ai/

• Kiddin9的自建软件仓库，目前只支持OpenWRT 23.05版本。

如何选择和使用OpenWRT软件源镜像站

OPKG配置示例

常见OpenWRT架构

命令行替换OPKG软件源

注意事项

📎 参考文章

• https://openwrt.org/docs/guide-user/additional-software/opkg

📝 OSPF介绍

📝 配置背景

• 主路由器：RouterOS(ROS)
• 光猫桥接模式，通过PPPoE Client建立pppoe-out1建立拨号，并通过指定AC Bras的方式，获取公网IPv4地址和公网IPv6地地址。
• 4个网口，分别为eth1 ~ eth4，其中eth4作为WAN口与光猫物理连接，pppoe-out1也是这个接口； 其他三个接口建立桥接，为bridge1，变成类似交换机的模式。
• 版本为7.16(Stable)，目前已经更新至7.18(Stable)

• 旁路由（旁路网关）：Debian 12(Linux debian 6.1.0-30-amd64)
• 接口为ens18，网关为主路由bridge1地址
• 运行DAED作为科学上网服务

📝 配置指南

Debian配置

开启IPv4及IPv6转发

安装Bird2及配置

• 通过apt进行安装:

• 编辑Bird2配置文件:

• 作用：将BIRD的所有日志输出到系统日志（syslog），可以通过journalctl -xeu bird 进行bird日志查看

• 作用：定义了BIRD路由器的标识（Router ID），Router ID是一个唯一的IPv4地址形式，需要自行更改配置为自己旁路由（旁路网关）的IPv4地址

• 作用：device协议的配置，负责发现和监控网络接口的状态。scan time 60;表示BIRD每60秒扫描一次所有网络接口，以更新接口状态信息。

• 作用：kernel协议用于在BIRD的路由表和操作系统的内核路由表之间同步路由信息。
• import none：不从内核路由表导入路由信息。
• export none：不将BIRD中的路由信息导出到内核路由表。
• 禁止BIRD与操作系统的内核交换任何路由信息，完全独立管理IPv4和IPv6的路由表，避免将Bird的静态路由信息导入到内核路由表造成本地回环，同时减少内核路由表内路由规则数目，便于进行debug。

• 作用：static协议用于定义静态路由。静态路由不会根据网络拓扑的变化自动更新，需要手动配置。
• ipv4：该协议块是针对IPv4的静态路由。
• ipv6：该协议块是针对IPv6的静态路由。
• include "/etc/bird/routes4.conf";：从指定的文件/etc/bird/routes4.conf中导入IPv4静态路由配置。
• include "/etc/bird/routes6.conf";：从指定的文件/etc/bird/routes6.conf中导入IPv6静态路由配置。

• 作用：这部分配置定义了OSPFv2（用于IPv4）的路由协议。
• ipv4 { export all; }：将BIRD中的所有路由信息导出到OSPFv2，供其他OSPF路由器学习。
• area 0.0.0.0：配置OSPF的区域，这里是骨干区域0.0.0.0。在OSPF中，所有非骨干区域必须通过骨干区域连接。
• interface "ens18" { type pointopoint; }：指定OSPFv2在接口ens18上运行，并且接口类型为点对点（point-to-point）。点对点类型通常用于没有中间广播域的直接链路。
• 需要根据自己实际情况修改为旁路由（旁路网关）接口名称。

• 作用：这部分配置定义了OSPFv3（用于IPv6）的路由协议。
• ipv6 { export all; }：将BIRD中的所有路由信息导出到OSPFv3，供其他OSPF路由器学习。
• area 0.0.0.0：配置OSPF的区域，和OSPFv2一样，这里也是骨干区域0.0.0.0。
• interface "ens18" { type pointopoint; }：指定OSPFv3在接口ens18上运行，类型为点对点，和OSPFv2的配置类似。
• 需要根据自己实际情况修改为旁路由（旁路网关）接口名称。

生成静态路由规则

• 克隆仓库

• 编辑Produc.py

• 编辑Makefile

• 生成静态路由表

• 确认Bird2状态

• 确认Bird2路由表状态

RouterOS配置

Router ID配置

OSPF配置

避免路由环路配置

1. 首先在Routing - Tables新建一个路由表，名为bypass，并勾选FIB：

1. 在IP → Firewall → Managle新建规则，并将规则移动到最上方，处于高优先级：

• General
• Chain: prerouting
• In.Interface: bridge1

• Advanced
• Src.MAC Address: Debian旁路由（旁路网关）的网卡MAC地址

• Action
• Action： Mark Routing
• New Route Mark： 选择刚刚新建的Bypass

1. 如果你需要使用IPv6的话，在IPv6 → Firewall → Mangle也新建一条一样的规则，同时将规则移动到最上方，处于高优先级。目前已知规则如果位于MSS钳制规则后，会导致mark routing标记无效。

2. 配置Bypass路由表内路由规则

3. 如果发现配置后从旁路由（旁路网关）Ping不通主路由RouterOS或者无法访问，提示Destination Host Unreachable或者Redirect Host(New nexthop: 10.0.0.1)，可以在Dst.Address添加一项局域网地址范围，例如我的10.0.0.0/24 ,并点击前面空白方块出现“！”，即目标地址不为局域网地址的流量。这样旁路由在使用Tailscale时候也可以正确的访问局域网内其他设备。

• 新建IPv4局域网路由规则
• Dst.Address: 局域网IP地址范围，如果你是主路由是192.168.1.1 ，那么这里写192.168.1.0/24
• Gateway: 填写网桥地址，例如我的是bridge1 ，也是RouterOS建立网桥时默认名字
• Distance: 1
• Routing Table: bypass

• 新建IPv4广域网路由规则
• Dst.Address: 0.0.0.0/0
• Gateway: 填写PPPoE拨号接口名称，例如我的是pppoe-out1
• Distance: 1
• Routing Table: bypass

• 新建IPv6局域网路由规则
• Dst.Address: fe80::/64%bridge1
• Gateway: 填写网桥接口名称，例如我的是bridge1
• Distance: 1
• Routing Table: bypass

• 新建IPv6广域网路由规则
• Dst.Address: ::/0
• Gateway: 填写PPPoE接口名称，例如我的pppoe-out1
• Distance: 1
• Routing Table: bypass

• 新建Routing Rule规则

🤗 总结归纳

📎 参考文章

• RouterOS + OSPF 实现高可用的 IP 分流

• dndx/nchnroutes: !chnroutes - chnroutes negated

📝 背景

为什么使用RouterOS(ROS)作为主路由

1. 我所使用的主路由还是ASUS-ACRH17，已经是6年前的设备，刷了OpenWRT。尽管OpenWRT有SFE功能，但是CPU的处理性能已经落后太多。同时我又有2.5G网络的需求，千兆网络已经不太满足于我的内网使用需求，在添加一个2.5G交换机和更换主路由为支持2.5G的软路由之间，我选择了后者。现在的ASUS-ACRH17已经刷了集客AP固件，踏踏实实的去做一个安静的AP了。

2. 一直听闻RouterOS作为商用路由系统在流控方面做的很好，也相对完善。OpenWRT已经玩的差不多了，尝试一下新的东西。

3. 其他路由系统我也有调研和尝试，例如Opnfense，但是在IPv4的NAT方面做的不是很好，即便经过配置，NAT类型稳定在FullCone(全锥)也很难。

4. 作为主路由，要稳定且可控。

为什么要在RouterOS进行分流

1. 实现国内网站只需要经过主路由一层网关。

2. 实现对称路由。避免因为非对称路由产生的防火墙失效以及合法连接误判为非法而丢弃问题。

3. 完成基于IPv6的地址科学上网分流

📝 配置指南

网络基本配置

IP地址配置

IPv4 DHCP配置

IPv4 DNS配置

IPv6 地址获取

IPv6 ND

添加路由表

• Enable： 勾选

• FIB： 勾选

其他设置

• Fast Forward关闭位置位于左侧菜单栏 → Bridge → 双击Bridge

• Fast Path关闭位置位于左侧菜单栏 → Bridge → Configuration → Settings

• Fast Track没有关闭入口， 需要确认IP和IPv6防火墙filter表中没有fasttrack-connection 相关规则即可。

OpenWRT旁路网关（旁路由）配置

IPv4自动分流

导入IPv4路由表

1. System → Scripts， 新建一个脚本，Name随便写，写个自己能记得住这个脚本是什么的名称。

2. Source输入如下内容：

1. Apply之后，点击一下右边的Run Script。如果没问题的话，IP → Firewall → Address Lists里面应该添加了List名称为CN 的一堆地址。

2. System → Scheduler，新建一个定时任务，Name一样写个自己记得这个定时任务是干什么的名称。

3. One Event输入以下内容：

1. Apply → OK，保存关闭。

添加IPv4防火墙规则

• General
• Chain： prerouting
• Dst.Address List: 下拉选择CN，然后点击前面的空白方块为！ ，即目标地址不属于CN这个Address List。
• Src.Address List: 非必选。源地址范围，如果不选择的话，就是默认全部。如果希望局域网内只有部分设备使用这个自动分流规则，那么可以自己去Address List添加一个列表

• Extra
• Dst.Address Type: 下拉选择local，然后点击前面空白方块为！ ，即目标地址不属于局域网地址

• Action
• Action： 选择makr routing
• New Routing Mark： 选择你添加的路由表，我这里是bypass
• Passthrough： 勾选

• General
• Chain： prerouting
• Src.Address: 填写旁路网关的IP地址
• In.Interface： 选择bridge1 ，如果桥接端口名字不是这个，那么就选你桥接端口的名称，例如Lan什么的。

• Advanced
• Src.MAC Address: 如果你填写了Src.Address，那么这里也可以不填写。 如果你没填写，那么这里写旁路网关的MAC地址，如果旁路网关有WAN口，那就写WAN口地址。

• Action
• Action：Accept

添加IPv4路由规则

• Enable：勾选

• Dst.Address：0.0.0.0/0

• Gateway： 旁路网关IP地址

• Distance：1

• Scope：30

• Target Scope：10

• Routing Table： 最开始建立的那个路由表名称，选中即可，例如我的是bypass

• 国内：客户端 → 主路由 → …

• 国外：客户端 → 主路由 → 旁路网关 → 主路由 → …

IPv6自动分流

导入IPv6路由表

1. System → Scripts， 新建一个脚本，Name随便写，写个自己能记得住这个脚本是什么的名称。

2. Source输入如下内容：

1. Apply之后，点击一下右边的Run Script。如果没问题的话，IP → Firewall → Address Lists里面应该添加了List名称为CN 的一堆地址。

2. System → Scheduler，新建一个定时任务，Name一样写个自己记得这个定时任务是干什么的名称。

3. One Event输入以下内容：

1. Apply → OK，保存关闭。

添加IPv6防火墙规则

• General
• Chain： prerouting
• Dst.Address List: 下拉选择chnroutes.ipv6，然后点击前面的空白方块为！ ，即目标地址不属于chnroutes.ipv6这个Address List。

• Action
• Action： 选择makr routing
• New Routing Mark： 选择你添加的路由表，我这里是bypass
• Passthrough： 勾选

• General
• Chain： prerouting
• In.Interface： 选择bridge1 ，如果桥接端口名字不是这个，那么就选你桥接端口的名称，例如Lan什么的。

• Advanced
• Src.MAC Address: 写旁路网关的MAC地址，如果旁路网关有WAN口，那就写WAN口地址。

• Action
• Action：Accept

添加IPv6路由规则

• Enable：勾选

• Dst.Address：::/0

• Gateway： 旁路网关的本地链路IPv6地址 ，例如fe80::d359:6e90:0:be24:11ff:feff:ff6b

• Distance：1

• Scope：30

• Target Scope：10

• Routing Table： 最开始建立的那个路由表名称，选中即可，例如我的是bypass

• 国内：客户端 → 主路由 → …

• 国外：客户端 → 主路由 → 旁路网关 → 主路由 → …

🤗 其他脚本

📎 参考文章

• RouterOS使用IP地址列表分流，分流给旁路由或者VPN

• 一键免费部署：你只需要有一个 OpenAI API Key，就可以使用 Vercel免费一键部署你的私人 ChatGPT 网页应用。完全免费，也不用负担任何的服务器费用。

• 精美的 UI：这个网页界面有响应式设计，支持深色模式，还可以识别和高亮代码块。

• 海量的 prompt（提示词） 列表：这个仓库内置了大量的中文和英文 prompt，可以帮助你启动不同主题的对话。

• 超长对话支持：这个仓库可以自动压缩上下文聊天记录，在节省 Token 的同时支持超长对话。

• 一键导出聊天记录：这个仓库可以让你一键导出聊天记录，完整的 Markdown 支持，方便你与他人分享。

部署教程

访问配置

其他问题

📝 《怪物猎人：荒野》config.ini修改方法

ParallelBuildProcessorCount

RenderWorkerThreadPriorityAboveNormal

MinimumStreamingTextureResolution

Fog_Enable

VolumetricFogControl_Enable

配置config.ini只读权限

🤗 《怪物猎人：荒野》其他优化办法

📎 参考文章

• Typo in the config.ini :: Monster Hunter Wilds General Discussions

📝 Mihomo内核介绍及替换方法

Mihomo内核介绍

Mihomo功能介绍

代理模块

• 支持多种出站传输协议，如VLESS XTLS、Trojan XTLS和Hysteria。目前对WireGuard的支持情况并不是很好，具体可参考[Bug] clash verge1.6.6，使用v.18.5内核连接到wireguard服务时连接失败，但是使用wireguard或者使用非mate内核连接正常 · Issue #1355 · MetaCubeX/mihomo (github.com)

• 实现了基于TCP握手机制的主动健康检测（如urltest/fallback）。

• 支持Relay代理链和TCP连接并发。

规则模块:

• 全面的规则支持，包括GEOSITE、GEOIP、入站类型规则IN-TYPE和规则集RULE-SET。

• 支持SRC-PORT和DST-PORT的多条件、TCP/UDP的分别控制、网络类型匹配（TCP/UDP）、PROCESS-NAME匹配等。

• 逻辑判断规则（NOT/OR/AND）、子规则集、所有规则的源IPCIDR条件。

• GEODATA MODE切换（mmdb/dat）和GEODATA LOADER模式切换（普通/小内存模式），适用于各种设备。

DNS模块:

• 包括域名嗅探器Sniffer、使用Geosite的Fallback-Filter和Redir-Host远程解析。

• 支持使用代理解析IP和DNS over QUIC。

TUN模块:

• 支持macOS、Linux和Windows平台。

• 内置iptables和Wintun驱动程序，无需手动配置。

• 支持gVisor/System堆栈以及Mix堆栈（混合堆栈）。

Mihomo新增功能

• 增加HTTP/3 DNS支持（H3的速度真的很快），包括是否优先使用DOH的HTTP/3以及指定DOH服务器强制使用HTTP/3

• nameserver-policy规则：优先于nameserver及fallback的dns进行解析，可以在规则中通过GEOSITE分组进行DNS指定，增加DNS解析规则灵活性。但由于nameserver与fallback dns server同时请求的原因，并不能解决DNS泄露问题。

• fallback-filter规则：支持GEOIP及GEOSITE匹配

• proxy-server-nameserver：指定解析节点所使用的DNS服务器

• 增加PROCESS-NAME进程匹配，软路由上可匹配本机进程

• 增加PROCESS-NAME-REGEX，使用进程名称正则表达式匹配

• 增加PROCESS-PATH-REGEX，使用进程路径正则表达式匹配

• 增加SUB-RULE子规则

• 支持gVisor和System的混合堆栈，tcp使用system栈，udp使用gvisor栈，使用体验可能相对更好，同时稳定性也有保证。

• 支持流量转发隧道（Tunnel）

OpenClash替换Mihomo内核方法

1. 首先确认你使用的是OpenWRT及OpenClash，并对自己将进行的操作目标有所知悉。下述操作的系统为X86-64架构，OpenWRT版本为ImmortalWrt 23.05.4。如果担心出现不可恢复的问题，可以先备份虚拟机或OpenClash整体配置。本篇内容也适用于OpenClash内核更新失败的手动解决方案。

2. 通过SSH登入OpenWRT，并进入OpenClash的核心所在文件夹：

1. 备份原来的meta核心：

1. 下载Mihomo核心，从https://github.com/MetaCubeX/mihomo/releases 选择版本和自己路由器架构的核心包，并复制链接地址，替换下面命令中的地址，X86-64用户选择mihomo-linux-amd64-compatible-go120后缀即可。

1. OpenWRT网页端进入OpenClash，点击插件设置 - 版本更新，查看[Meta]当前内核版本是否为v1.18.7，如图所示

1. 如果显示为当前下载的内核版本号，即表示替换成功。重启OpenClash即可生效。不要再点击检查并更新了。

🤗 总结归纳

📎 参考文章

• DNS配置 - 虚空终端 Docs (metacubex.one)

• https://github.com/vernesong/Openclash/releases

📝 Neovim安装配置

开始之前

Neovim编译安装流程开始

🤗 OpenWRT编译安装Neovim精简版

OPKG安装依赖

PIP安装依赖CMAKE

编译安装Gettext

创建存根库

拉取Neovim库并编译安装

直接下载Neovim二进制文件

📎 参考文章

• Neovim/INSTALL.md

• Building OpenWrt ON OpenWrt

• Build-neovim-on-openwrt

📝 付费内容

连接数量对网速的影响

1. 带宽消耗：每个连接都占用了网络带宽，活动连接数量增加时，带宽会被多个连接分摊，导致每个连接可用的带宽减少，最终导致整体网速下降。

2. 路由器/网络设备的处理能力：路由器和其他网络设备在处理大量连接时会增加工作负荷。如果设备的处理能力有限，过多的连接会导致设备反应变慢，增加数据包的处理延迟，进而影响网速。

3. 网络拥塞：过多的连接可能会导致网络拥塞，尤其是在家庭局域网中。网络拥塞会导致数据包丢失、重传等问题，进一步降低实际的传输速度。

4. NAT表的限制：对于使用NAT（网络地址转换）的网络，每个连接需要在NAT表中建立一条记录。NAT表的容量有限，当连接数过多时，NAT表可能会溢出或处理速度变慢，导致网络性能下降。

5. CPU和内存负载：如果你的设备（如计算机或服务器）处理大量的并发连接，CPU和内存负载会增加，可能导致设备性能下降，进而影响网速。例如我的Asus Acrh17，在12000活动连接数时，内存占用超过70%，此时局域网内其他设备明显可感觉到延迟。

6. 运营商活动连接数量限制：大部分运营商会对每户入网的宽带进行活动连接数量限制，不同地区、不同运营商甚至所属不同片区均不相同，当达到一定量的活动连接数量时，更多的连接会进行丢包处理，所以会直接影响到使用者的体验。目前检索到的消息可以查看这里：

宽带连接数限制测试结果（来源）： 上海电信：公网不限制，私网 8000，云宽带 2800 上海移动：私网 2500 上海联通：公网 6000，私网 1500 江苏移动：公网不限制，私网 2500 浙江移动：公网 6000，私网 2000 江苏联通：公网 6000，私网 3000 江苏电信：公网不限制，私网 6000

本地网络环境介绍

1. 光猫：桥接模式（中兴老款F450，已尝试修改了硬桥接，未使用软桥接方式，同时，未做光猫本身最大连接数修改）

2. 主路由：ASUS-ACRH17，系统为OpenWRT，开启Fullcone NAT。

3. 旁路由（旁路网关）：X86虚拟机（Hyper-V虚拟化），系统为OpenWRT的衍生版本ImmortalWRT(本篇中并不重要)。

4. 网心云：X86版本（Hyper-V虚拟化）并配置静态地址，网关直接指向主路由，避免流量经过旁路。

命令行限制方法

配置文件限制方法（不确认在fw4表内是否成功）

OpenWRT查看端口占用

1. 查看单独端口占用情况及对应程序，例如8080为要进行查看的端口

1. 查看客户端IP地址端口占用情况

🤗 总结归纳

• kmod-nft-core（核心）

• kmod-nft-nat（nat相关规则配置参数支持）

• kmod-nft-ct（计数相关规则配置参数支持）

• conntrack（查看连接，可选）

网心云其他问题

📎 参考文章

• nftable简单规则管理

• Netfilter Management

• 以及恩山论坛各种高手的帖子