其实现在不开 UPnP 也没多大问题。使用了 libutp 库的各种开源 BT 软件，比如 qbittorrent，都内置了 STUN 打洞，不映射端口也能接受传入连接。

“启用太多安装权限”在较新的安卓 UI 里完全不成问题，有“允许一次”的选项

其实不用在“静态路由”这个页面配置，这样操作复杂化了。

首先在接口配置里，开两个接口：
和 ISP 连接的接口，地址配置成互联地址的本端地址，再把“默认网关”设置成对端地址
内网接口，地址配置成 /64 段里的，注意，内网接口不要填写默认网关！内网接口不要填写默认网关！内网接口不要填写默认网关！（重要的说三遍，默认网关其实就是 /0 静态路由，会写到路由表里的，其实根本不用在静态路由页面里添加）

然后再设置防火墙，ISP 接口划到 WAN 防火墙区域里，内网接口划到 LAN 防火墙区域里，然后防火墙里要允许相应方向的转发，才能互通。防火墙设置不修改是连不了网的。

@julyclyde Direct Attach Cable 或者 Direct Attach Copper，就是两头都预置了 SFP+模块的铜缆，可以短距离内连接光口网卡和光口交换机，就不用搭配光模块和光纤跳线了。

应该不是 Windows 删的，Windows 10 只有在系统大版本升级的时候才会改引导。估计是联想的 BIOS 的坑。
目前市面上很多品牌台式机和笔记本，甚至是组装机主板的 UEFI BIOS 对于非 Windows 系统的引导都有很多坑，明面上支持按照标准 UEFI 的规格设置引导项，实际上只有 bootmgfw.efi 和 bootx64.efi 两个文件保证能用，其它都是 bug 。

访问家中设备用 vpn 反而比$$更方便，比如 L2TP/ipsec 或者 openvpn，前者还不用装客户端。vpn 可以配置成只下发内网路由表，这样连 vpn 的时候只有访问家里网段才经过 vpn，不影响上网。

@systemcall 防火墙规则可以写后缀匹配，格式::XXXX:YYYY:ZZZZ:WWWW/::ffff:ffff:ffff:ffff （前面部分换成要开放的设备的 v6 地址后缀）

bt 下载方面，bt 由两种协议，基于 TCP 的 BT 协议和基于 UDP 的 uTP 协议，其中后者是支持基于 STUN 的 UDP 内网打洞穿透的，不需要 v4 端口映射、v6 开放防火墙、UPNP 就能允许其它用户连入（ v4NAT 设备规则过于严格的情况除外）。
下 bt 建议用 qbittorrent 一类的开源软件，这些开源 bt 客户端基本都支持内网打洞，实测不开放防火墙不开 UPNP 都能亮绿灯，任务属性里有传入连接。比特彗星好像不支持穿透，不调防火墙就是黄灯。

@vhus 大部分家用路由器都自带 IPv6 防火墙默认开启，有的还不提供关闭防火墙的设置（比如 NETGEAR ）。但凡是路由器拨号用户基本都不用考虑这个安全问题。
有问题的反而是光猫自动拨号用户，光猫超级管理员页面有一个防火墙设置，设为高则默认阻断，设为低则默认暴露，这个设置都是运营商自动推送的，而且用户不破解超密也没法修改。

virtualbox 应该可以用 ubuntu 源里的开源版吧，和 Oracle 官网版本没什么区别，也支持安装那个 extension 包

另外，如果你所有网段都配置在一台 OpenWRT 路由器上（其中只有 Internet 的接口开启 NAT，其它内部网段都关闭 NAT ），即星形拓扑的情况，可以不用手动设置静态路由。

最简单的方式就是买个能刷 OpenWRT 的路由，然后防火墙设置里关闭“IP 动态伪装”就是关闭 NAT 了，再配置好静态路由和防火墙允许转发，网段之间就可以互相访问了。

@MonoLogueChi 关闭 NAT 指的是类似于计网教科书上那样的“纯路由”模式，内网里划分多个网段，相互之间没有 NAT，可以用 IP 互相访问。

@SunriseHill 需求肯定是内网划分多个可以互访的网段

@ahhui ftp 被动模式应该没问题，客户端再开一个连接 CONNECT 就行了，除非代理服务器不支持并发。

@zro DHCP Relay 单用不能实现 IPv6 中继，还需要 NDP Proxy 。

因为 iptables 在这里只是起到一个 NAT 的作用，指定从 eth8 出去的数据包需要进行 IP 伪装。
具体数据包的流向，还是由路由表负责的。

汗，写了这么多突然发现搞错了，还有个 A 网卡...

如果没有 A 网卡的话，我这个配置是没问题的。
有 A 网卡的话，就需要按照上面其它网友说的那样配置策略路由了。但是你这个 iptables 的配置应该是没有问题不需要改的。

补充一下，配置正确的话路由表里应该有这样几个条目：
网段 掩码 下一跳 接口
0.0.0.0 0.0.0.0(默认路由) 192.168.33.254 eth8
172.16.20.0 255.255.255.0 0.0.0.0(直连) eth7
192.168.33.0 255.255.255.0 0.0.0.0(直连) eth8

如果两个网卡上都有默认路由那就是配置错了。

如果不是纯手动命令配置，而是使用了某些网络配置工具（图形界面或者配置文件的），注意 eth7 （内网网卡 172 网段）上面应该只配置相应的 IP 地址，“默认网关”必须留空不配置。eth8 （ 192 外网网段）配置相应的 IP 地址，同时“默认网关”设置成下一跳 192.168.33.254 。