还有如果你端口用的不多 5 口够用的话可以去 pdd 80 多买个运营商定制一体机 sar205gp-cm 换上。

找客服看有没有新固件

试试限制 dnat 后的端口范围，因为运营商是 nat1 。

试试现在 dnat 后的端口范围

tplink 的 AC+AP 支持，或者 AC+易展 2.0 路由器也可以

@l4ever 他的意思是只开通 volte 不开上网

如果使用 openwrt 且使用的 iptables 而不是 nftables ，取消区域间 MASQUERADE ，然后配置如下防火墙规则，可以限制 nat 后端口，从而防止运营商侧连接数不够

config nat
option name 'nat_tccpudp'
list proto 'tcp'
list proto 'udp'
option src 'wan'
option target 'MASQUERADE'
option extra '! -s 100.64.0.0/10 --to-ports 61000-62900 '
option family 'ipv4'

config nat
option name 'nat_icmp'
list proto 'icmp'
option src 'wan'
option target 'MASQUERADE'
option family 'ipv4'
option extra '! -s 100.64.0.0/10'

我有个想法，没有公网 ip 的那条宽带修改 nat 规则，限制 nat 后端口数量不超 2000 个，因为运营商是 nat1 ，而自己的网关一般是 nat4 ，这样自己网关这边可以复用端口到运营商这边也就不会超连接数了。

因为光猫规范就是这样设计的

电信光猫规范原文：
家庭网关用户侧端口应支持多种业务数据携带不同的 VLAN ID （每一种业务的上下行 VLAN ID 相同），应支持以下数据两种绑定模式，每个端口的绑定模式可通过本地 GUI 及 TR069 进行配置：

基于端口绑定：各用户侧端口应支持和 WAN 连接的绑定和非绑定模式。关于进行了绑定的端口，对应端口数据经由绑定的 WAN 连接收发；关于未进行绑定的端口（非绑定模式），对应端口数据经由缺省路由/缺省连接收发。

基于 VLAN 绑定：按照配置的 VLAN 转换表进行转发，没有 VLAN 标志的数据经由缺省路由/缺省连接收发，带有 VLAN 转换表中未指定的 VLAN ID 的数据丢弃

端口在两种绑定模式下，在 PPPoE 拨号前后，与带“INTERNET”关键字的 WAN 连接绑定的终端应能够访咨询家庭网关 WEB 页面，各终端间应能相互访咨询。

关于缺省路由/缺省连接的确定：
带“INTERNET”关键字的 WAN 连接（包括路由和桥接）为缺省路由/缺省连接（ PPPoE 代理情形下，两条 WAN 连接都能够是缺省路由，实际按拨号帐号确定路由）
当存在多条带“INTERNET”关键字的路由或桥接 WAN 连接时，终端自动选择其中生效的一条为缺省路由/缺省连接。
没有支持“INTERNET”关键字的 WAN 连接时，则没有缺省路由，端口未和其它 WAN 连接绑定的，则不能上公网。

现在阿里云 200M 云主机新用户抢 38 不抢 68 ，只有搞个这个转发异网流量

非常不错的方法，学习了

非常不错的文章，学习了。

公网 IP 连接数受限的话那一般是你猫或者路由器的问题

旁路由不要开 nat 地址转换就没你说的问题了

感觉你把因果搞错了，单播包在交换机没做策略情况下不可能发给你，所以会不会是先交换机上 arp 指向你了才导致把包发给你，和你后面的 icmp 没关系。

三层交换机不能做 nat 吧？然后你怎么把包转过去？用流策略重定向？就算你重定向了发给 11.1.2.3 ，一般服务器没开路由功能直接就丢包了，不会回 icmp ，服务器开了路由就回又把包发给交换机

怎么使用呢

也可以不用交换机，但是还是走隐形光纤，买一套 fttr ，主机放书房，从机放客厅，主机改成 lan 上行，如果能把入户网线换成光纤更好，这样主机就用 pon 上行。

可以考虑网管交换机+透明隐形光纤，交换机买水星 se106pro,120 多一个，交换机有 4 个 2.5G 光口，2 个 10gsfp 接口。
PDD 买 2 台 se106pro ，咸鱼买几对单纤 10G 光模块，再买点小方头隐形光纤，se106pro 客厅书房各放一个，用隐形光纤连接，光猫设置成 vlan 绑定接到网管交换机电口，光纤做 trunk 口，在客厅交换机把 iptv 的 vlan 绑定到某个端口，然后这个端口接机顶盒，再把上网 vlan 绑定到其余接口用来上网或者接路由器。