其实最好的方法就是自己耳朵塞上，或者去锻炼累了就呼呼睡。不然你敢保证他们不玩游戏就不会唱卡拉 ok 。。。

又想做坏事又想人不知道。所有的游戏都是有特定端口的。用 cron 使用 shell 随机时间 iptables ACCEPT 又 REJECT 这就造成随机掉线效果，，，，感觉没什么用，，，还是塞上耳朵适应环境吧。

qos 没有想象中那么复杂，它可以简单到有个 ip 地址 就可以构建一条 qos 限速，所以这个特征简单到只知道 ip 地址就够了，根本不需要关注 ss 到底是看起来像 http 还是 ssl 流量，一条规则就限速完毕。甚至有各种动态流量限速。
按照 net speed 作者的描述电信线路的流量变化是由于线路太长 tcp 重发之类的问题，目前的 kcptun 就是来解决这些问题，相关描述太专业大家还是自己上作者主页看。
放到实际环境电信+gfw 到底会出现什么问题？
1 ， linode 的测速 ip ，访问一次电信就能瞬间丢来 13 个 tcp reset ，这种情况说明电信有针对特定 ip 限制。
2 ，同样将 socks5 端口应用在 tcp 53 ，敏感词就不会有 tcp reset 现象。
3 ，出国流量比较神奇下行 100kb/s 不到，上行却可以全速 300kb/s ，这个问题到底是电信造成的，还是搬瓦工造成的不得而知，显然掌握 qos 技术是可以让有限的流量应用在更多的用户，它可以带来直接的经济效益。用电信经常是全速下载过会儿就 100kb/s 左右。看起来这个动态限速大家都差不多只有 100kb/s 。
4 ，目前一些像 openvpn 之类的基本还是狂丢 tcpreset 。
5 ， udp 流量确实能带来相对 tcp 的高速感觉，像 ocserv ， softether 。但是一旦安装在 openwrt 就需要实际测试，在 mtk7620 openwrt 15.0 cc 上， ocserv 的流量远远不如 softether 快，同样经过加密的 kcptun 也远远不如不加密的，这个可能主要还是受制 mips 那可怜的 cpu 性能。

电信铁定有 qos 的存在， qos 也没有那么复杂它简单到只需要知道 ip 地址就足够了，至于现阶段的 kcptun 能用到多久还不知道，它也是目前最好的直接可以安装在 openwrt mtk7620 直接通过搬瓦工看 1080p 的。
想安全就用 stunnel ，三张基于 pki 证书验证可以有效的防止线路中间人，想看 youtube 就用 kcptun 。 ss 的存在还是因为它有移动客户端吧。

这种东西市面上 ubnt 好像是有，但不是主动禁止， openwrt 我非常确认在 broadcom,atheros,mtk 都可以用 shell 实现根据信号强度主动踢除。。。 openwrt 需要的工具应该在 hostap-utils 里，具体自己研究吧，上次笔记本挂了，硬盘里的资料都没取出来。。。

以前为 uap 写的主动踢除 atheros 芯片连接客户端

#!/bin/sh
#etc/persistent/kick_dato.sh
cd /bin;mca-dump | grep -Eo ..\(\:..\){5} >/tmp/mac.lst
iwlist ath0 ap | grep -Eo ..\(\:..\){5} | tr A-Z a-z >/tmp/wmac.tmp
ifconfig | grep -Eo ..\(\:..\){5} | tr A-Z a-z >>/tmp/wmac.tmp

xcl=/tmp/wmac.tmp
_f=/tmp/mac.lst
if [ -e $xcl ] ; then
while read kmac ; do
sed -i -e "/${kmac}/d" $_f
done < $xcl;fi

>/tmp/bmac.lst #

mca-sta 00:00:00:00:00:00 > /dev/null

for i in $(cat /tmp/mac.lst); do signal=`grep -A8 "$i" /tmp/mca_dump.out | sed -n "/signal/p" |grep -o "[0-9]\+"`
if [ $signal -gt 80 ] ;then #设置 rssi 小于多少则条件成立

echo $i>>/tmp/bmac.lst #

for ath in `ls /proc/sys/net | grep ath` ; do iwpriv $ath addmac "$i";iwpriv ath0 kickmac "$i";done
echo "`(date +"%m/%d/%Y %T")` kickmac_$i signal_$signal" >> /tmp/log;fi;done
sleep 3 #;for ath in `ls /proc/sys/net | grep ath` ; do iwpriv $ath maccmd 3;done
for ath in `ls /proc/sys/net | grep ath` ; do for i in $(cat /tmp/bmac.lst);do iwpriv $ath delmac $i;done;done

无线网络是个非常复杂的话题，

1,首先问题最严重的还是周围环境干扰，这个你可以去下个 WirelessNetView 软件，以前的公司周围遍布 60 个 AP ，而 2.4G 只有 3 个邻近信道， 1/6/11,2/7/12,3/8/13 。这种环境折腾无线只有哭的份，不知道无线信号来自哪里，也不大可能跟人家协商信道的使用，员工每天可以打爆你的电话，任何吹成神的 AP 最后还是布有线省事。当然你有时间可以慢慢根据周围信号强度指定信道，然后通过简单的 ping 192.168.1.1 -t 观察延迟情况就可以了，问题是你今天调整了，人家明天又自动变一个。。。永无宁日。最后也许以后只能期待老板建个铜墙铁壁的建筑。

2,接着因为 wifi 协议的队列问题，所谓的无线弱信号水桶原理，最弱的信号成为整个 AP 影响整体性能最厉害的那环，而通常一个进入黑屏的 iphone 可以弱到-85dbm 。这个弱信号原理铁定是存在的，但是在一些干扰少的环境通过购买一个大功率 AP 在 3L 左侧墙壁连接 2L 右侧墙壁的大功率 AP 这个弱信号原理可以无视它的存在。

3,设备多了各种兼容性问题就出来了，像那 ubnt UAP 稳定性烂得一踏糊涂。好多年没买过 tplink 的设备了。。。反而是以前的那些 tp641+之前的型号更稳定。。。

4,至少掌握基于 ip 的流量限速，虽然这种 qos 不是最佳的方法，但至少可以防止少量用户占用 90%以上的带宽，别相信员工的鬼话，好好工作，下毛片看视频的多的是。

用过的设备也少，也许我会向你推荐 mtk7620 刷 asus 固件，这个也许是最便宜的选择，然后如果确认信道没有占用的话，布个 3 个上去，解决 40 个设备还是小菜一碟。

培训相对来说是个低投入高产出的行业，以前的公司从营收 1 亿突然增长到 10 多亿。一个做英语培训的部门从 2 千万增长到接近 4 亿的产值。甚至中小学生培训一小时培训收费 900 多听了吓死人，而实际老师才 70 元 /小时。

it 行业授课人群不像中小学生不靠家长，大多是对自己现在工作不满意自掏腰包一次付费 500-3 万之间选择也相对慎重。问题是短短几个月时间你能学到东西吗？以前 java 火爆，对培训人员要求很高，高中生非计算机专业人员不收，这样上课不会因为培训人员基础差距导致进度不一，培训出来的人员才能推荐到 IBM 之类的公司。可是培训事实是个营收行业，到了人家做游戏项目时完全就是只要你能出学费小学生也收。。。生源质量可想而知。
培训也不是这么好做的，规模一直在缩小， 400 平方的场地年租金电费要 80 多万，网络推广 100 多万以上(以前这 100 多万就是纯利润，后来笑称都是给百度打工的，每天烧 2500 块真是烧不起)。培训教师基本都是在职人员有好有坏，教学质量无法控制，有责任心的下下课时间还帮学员辅导，没责任心的没到时间就下课了。
至于包就业，和民政局的培训项目一旦学员培训成功就会返还学费到培训机构，培训机构确实也是有能力推荐好的就业单位的，可是培训质量就那样，培训人员学习能力也就那样最终不符合用人单位要求的也是大把人在。

最后培训成了拼资源行业，看谁能烧得起百度推广。大部分人慕名而来，最终失望离去。

真贵，以前买的 18$希望能换 ip ，对方还不愿意，现在竟然可以 19$换 ip ，我当然更不愿意。

现在用搬瓦工只使用 l2tp,stunnel,kcptun 还是非常稳定的。像 softether 自己的客户端似乎很容易触发直接强行半路砍断连接。

没什么特别大的需求的话， mtk7620 的 asus 固件信号稳定，类 tomato 设置可能是个蛮好的选择，没碰到过兼容问题。联想 Y1s 在 openwrt 15.05 在 pppoe 掉线重拔时就非常容易导致路由 reboot 。类似情况在优酷路由宝 openwrt 15.05.1 又不再出现。

至于无线导致的断流，同样的优酷路由宝刷的同样的 openwrt 15.05.1 在家里就从来没遇到过无线在却无网络情况，公司在使用笔记本的 intel 无线网卡时却有很大的机率重复出现无线断流情况发生，有 SSID 却无网络。

至于千元设备，没什么好推荐的，自己手里最贵的也就 rb2011 ，很多时候对于 wifi 11ac 不怎么感冒，更多的还是对固件能实现的功能比较感兴趣。 49 块的优酷路由宝也不错了。。。能刷 openwrt 有接近 4000 的包可选择，这也是为什么没时间玩树莓派， openwrt 就可以完成很多任务，只是很多不是现在市面宣传的智能路由概念，很多还是需要自己在 cli 界面玩， linux 很好很强大。

华硕的东西是好，可是性价比太差劲。它家的千元级设备也许唯一的好处就是华硕制造，有 11ac+千兆端口，仅此而已。自从它家使用了 tomato 的源码并且开源，华硕的固件早就是满大街都是。仅这个功能 50 块的优酷路由宝也可以刷。。。。

现在市面上满大街的 100 块以下的 mtk7620 通刷 asus 固件。

凤凰城是测试过的最适合浙江电信的，一整年都没折腾过机房。 kcptun 直接 1000kb/s 全速下载。

经常很奇怪的问题看似同样的地点，为什么还是有人反应快有人反应慢。如果不熟悉 iptables 知识，慢快也很正常。关于 ssh 的问题可以搜一下 iptables tcp reset 。只是不全面掌握 iptables 知识，光靠网上的简短介绍 iptables 阻止 tcp reset 对于菜鸟来说依然是一片迷茫。

这个应该是个简单的问题啊，对于 iptables -P INPUT DROP 防火墙。很多教程往往缺少一句
你可以 iptables -S INPUT
然后尝试 iptables -I INPUT -i tun0 -j ACCEPT 也就是接受来自 vpn 虚拟 tun0 接口的的数据。

另外就是控制进程的

海卓手机加速
http://www.coolapk.com/apk/net.hidroid.hitask

竟然在 moto g2 上不能正常使用海卓手机加速，这个也不错。
ES 任务管理器
http://www.coolapk.com/apk/com.estrongs.android.taskmanager

想知道后台真正跑的进程吗。

系统监控:OS Monitor
http://www.coolapk.com/apk/com.eolwral.osmonitor

不要做一些你无法控制的事情。 android 下面最好的防火墙软件，需要 root
http://www.coolapk.com/apk/com.jtschohl.donate.androidfirewall
你只需要在软件
设置自定义脚本 /自定义禁用脚本 在防火墙被禁用时执行的脚本： 输入
iptables -F
iptables -X
保存就可以了，避免和系统自带的 iptables 规则冲突而导致流量限制无效。

android 下面恶心的软件当然是非常多，比如最近遇到的泰捷播放器，退出客户端，后台进程并末退出发起大量的连接，耗电池又耗流量。

要有效的使用 adnroid firewall 控制手机的流量进出，而不是借助 android 这个根本显示不准确的界面。

1,首先家用网络跟企业带宽的最大一个区别就是并发数有限制。像家里用的电信 8M 光纤大概在 1500 个左右的并发数。
2,控制流量有直接对流量进行控制，看不见的使用并发限制对流量进行控制，所以一旦超过 1500 个左右的并发，那么电信局端开始丢包，那么 tcp 的 3 次握手过程就无法建立，那么流量自然会被抑制。
3,其它的可能设备本身的固件优化就限制了并发的连接，甚至电信有意无意的提供有问题的固件。曾经就在 ADSL 时代使用过电信送的 ADSL modem 上海贝尔吧，这 modem 的特点就是一旦使用 p2p 程序流量就开始自动波动。。。后来刷 tplink 的固件解决。

4,迅雷跟 QQ 旋风有很大差别，迅雷随便就是 1200+并发数，而 QQ 旋风才只有 400+左右。从平时观察的经验来看，显然迅雷发起了很多无意义的并发数。甚至一个设计不合理的 QOS 规则会导致连路由管理界面都无法打开。。。

5,9 楼提供的针对 tcp udp 的连接消亡控制是有意义的，它能有效的让一些不必要的连接快速消亡，但是显然不主动控制，这些默认的消亡时间还是不够快。

5,所以问题就在如何控制并发数量在 1500 以下。
ddwrt 提供了一种非常有效的针对特定 ip 抑制并发的方法
https://www.dd-wrt.com/wiki/index.php/Preventing_Brute_Force_Attacks
最终的例子就变成
a.使用 limit 对源 ip 192.168.1.2 发往外界的并发数进行匹配发送，抑制了发送的包，自然根据 tcp 的握手过程抑制了接收的包。 limit 非常平滑不像 connlimit 一样会直接造成网络断开，更丰富的控制选项可能就是 hashlimit 了
b.规则 1 规则 2 对网页浏览端口和其它端口进行自上而下的区分，似乎简单的 iptables 规则的上下排序就能解决迅雷问题。总共有 100 包，每秒相应可以产生 60 包，这个 limit 的解释还是比较晕，自己 google 吧
c.规则 3 抑制 icmp 包的生成，似乎在一些 p2p 环境确认有用。
d.规则 4 规则 5 对剩余的过量的包用 REJECT 进行快速丢弃， 9 楼的 timeout 消亡设置就有快速的回应效果了
e.规则 6 剩余的其它包只能丢弃处理了。
a="`iptables -vnL FORWARD --line-numbers | grep "PMTU" | cut -c1-5` - 1";a=`expr $a`
规则 6 iptables -I FORWARD $a -s 192.168.1.2 -j DROP
规则 5 iptables -I FORWARD $a -s 192.168.1.2 -p udp -j REJECT --reject-with icmp-proto-unreachable
规则 4 iptables -I FORWARD $a -s 192.168.1.2 -p tcp -j REJECT --reject-with icmp-proto-unreachable
规则 3 iptables -I FORWARD $a -s 192.168.1.2 -p ICMP --icmp-type echo-request -m limit --limit 4/sec -j ACCEPT
规则 2 iptables -I FORWARD $a -s 192.168.1.2 -m limit --limit 60/s --limit-burst 100 -j ACCEPT
规则 1 iptables -I FORWARD $a -s 192.168.1.2 -p tcp -m multiport --dport 80,443 -m limit --limit 60/s --limit-burst 100 -j ACCEPT;

上面的方法针对特定 ip 对付迅雷时打开网页是有效果的。只是如果处理不好--limit --limit-burst 对其它正常应用是有一定的抑制作用的

6,openwrt 采用的是对 INPUT 方向的 syn_flood 进行抑制，那么回应的包自然也相应抑制。昨天刚迅雷过虽然网速才 300-800kb/s 之间波动，但是至少网页打开流畅。显然 openwrt 的防火墙规则还是有很大的区别于 ddwrt tomato 的性能上的优化。

-A INPUT -i pppoe-wan -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-N syn_flood
-A syn_flood -m limit --limit 3/sec --limit-burst 25 -j RETURN
-A syn_flood -j DROP

7,一个设计良好的 qos 规则也是有一定的抑制效果的。可以参考
我的 tomato 原版 QOS 设定
http://www.right.com.cn/forum/thread-102891-1-1.html
(出处: 恩山无线论坛)

wifidog 没怎么研究， chillispot 倒为这个弹窗问题，最后的答案

Your Client gets a Chillispot IP but no welcome page, or certain websites don't open (MTU Bug)
http://www.dd-wrt.com/wiki/index.php/Hotspot_Chillispot#Your_Client_gets_a_Chillispot_IP_but_no_welcome_page.2C_or_certain_websites_don.27t_open_.28MTU_Bug.29
哎，已经在梦游状态了，也不知道具体哪条才有效果，反正是可以了。
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1421:65535 -j TCPMSS --clamp-mss-to-pmtu
iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

直接使用自己的路由器 pppoe 拔号是最佳模式。从描述上来看也替换过 tplink 看起来无法确认问题所在。
上次电信好心打了 5 通电话要我升级 20m 我忍了，因为上行却只有原先的一半，按以前的数据最多只有 140kb/s 。一般测下行比较准确的方法只接一台电脑，直接去 qq.com 下载 qq 通过 web 单线程确认。
曾经用过峰火 hg260 当时上海电信只有 130kb/s 上行，使用快播似乎也就 500kb/s 左右。太小的上行会因为并发连接过多或者拥塞而导致下行也不及格。以前 adsl 时代电信的猫又叫阉割猫，固件应该是故意导致使用 p2p 时流量非常不稳定，通常更新正常固件解决。光纤时代倒没碰到过，哈才用过 4 个光纤猫谁知道电信黑手。

tplink 的路由器通常不存在 qos 设置。
1 ，首先确定网线是否是 586b
2,web 单线程下载确定下行
3 ， qq 邮箱附件上传确认上行是否只有 1m 左右
4 ，是否 p2p 时连路由器管理界面都打不开
5 ，高级玩家尝试 qos 设定，尝试对 p2p 电脑 ip 进行并发抑制，以前用 4M 时迅雷 1200 并发，网络基本就趴了。

ping 能不能防安全真不好说，一般有 limit hashlimit 做速率匹配。
但是在 ipv6 防火墙特定的 icmp 回应会用来确定 mtu 值还是封包？所以 ping 到底是干什么用的不清楚。

可怜的 stunnel 。。。。
http://ww3.sinaimg.cn/large/0060lm7Tgw1f6fo0bkbkbj30rx0k1jvr.jpg

NB 的 kcptun 。远远超过实际下行 1000kb/s
http://ww2.sinaimg.cn/large/0060lm7Tgw1f6fo0digkjj30rx0nfdpr.jpg

这个。。。自己先测试 kcptun 再决定吧。当时花 19$不到买的 20GB 2T 流量的还不错，现在 20$基本只有 500G 流量，如果跑 kcptun 的话还是有点吃紧。。。，再高的配置感觉不如买 vultr 有性价比。。。