千兆大内网，无所谓啦。光猫都是千兆，也像百兆跑 98M 一样，大多垃圾千兆路由单做路由的话还能跑满，加个 wifi 服务，就废了。不在意功耗的话，用的旧笔记本千兆的卡，跑软路由算了。7621A 单做有线路由还行。

wifi 的话，没有上 ax 的路由不评价，手上这些 ac68u，ac86u 都是旧货，也只能跑跑 500M 的样子。

换其他吧。openvpn

我就是 2 年整原价的那种，179 套餐，优惠 30 两年，是 149 。两年后 30 优惠没有了，连副卡都要收费，就是 179+20.所以打算 2 年一换套餐的就换，不打算的话，没必要。

实际上我个人见解，端对端加密，对外是非标准端口，客观上说不是更引人注目。一个表面警告，一个暗中监控。总觉的取消了个人备案后，网络环境越来越差了。我走 ipv6 非公端口 web 快 1 年了，电信的。

这个等于换 dns 解析啊。坑爹的时候还会 48 小时才生效。

我这里 v4 、v6 都没封 443，封 80 。但用了非标准端口进 web，并没有什么异常，都 2 年多了。

ipv6+3389

各位没有注意个条款么？看看合同工单中的一条（哪怕是现在的资费页面）：

套餐资费有效期为 2 年，到期中国电信可以调整相关资费，双方没有异议就续约。

这个漏洞可大着呢，那天用来搞事情，用户有个什么说法。所以不要当真，只是一般电信有钱赚，也不用强硬去改已经签定合同的资费，只是它要改，你也没话说。因为合同签了，同学。

@nathanwongggg 呃，老家是普通小区的，不同地区可能不一样的。我 16 年换的电信 100M 融合，单号码，159，30G 流量+电视盒子。17 年 8 月换的 200M 融合，套餐费标是 179，带 2 副卡。当时还推送翼支付，所以反了 24 个月就是 2 年 30 元翼支付红包，等于是 179-30 用了 2 年，后来 19 年不送了，2 年后副卡也收费了（这个莫名其妙）。当初办理时说副卡是不收费的。所以现在 179+20=199 继续交着钱。当初 19 年时是有 169 的 200M，大体和这个 179 的 2017Q3 一致，电信不给换。

套餐还是惨淡 3 卡共享的 40G 4G 流量降速，无限流+800 分钟。200M 光纤+电视盒子。不过电信你懂的，200M 似乎都能飙到 300M 这样，唯一可恶的是上传···300M 下行就是 30M 上传了。因为 16 年要的公网 ipv4 还一直都是在没掉过，19 年 ipv6 改造最后一波后就有了 v4+v6 双公网，48 小时断一次，所以也一直没有理会。就心安理得一样用这 199 的 “300M”

还有一个住处 19 年办理的 99 融合 100M，大内网，死活不给 v4 公网，v6 公网。

广州南沙旧镇那边的电信也是，办的融合套餐，小区地铺用的，电视盒子没有用过，但广州的贵，18 年办的 200M 239 一个月。3 个卡，40G，1000 分钟，也是要了个公网 v4，后来也是双公网，然后也是 300M/30M 。

以前改用电信是为了容易拿 v4 公网回家，而非出国。现在都走 v6，都没有什么关系了。

反正我觉得便宜的套餐我机会都没有机会办，之前 17 年在番禺万达 B2 住，看见联通的广告。1100 开了 1 年 50M 所谓商宽·····后来我电信电话卡多，都直接用 4g，19 年中后 4g 就坑了，直接降到 2M 网速，一个月才用 20G 。

网厅很多套餐都没有的，联通移动也差不多。个人感受，他们的系统非常乱，不同级别，不同时期，不同地区的套餐不一样，有权限的又认识的人可办理的又不一样，这个东西，只能说，系统里的套餐都是有的，只要集团没有下架，或者因为合同，有些套餐公开下架，但内部还有。所以 5G 后，4G 融合至少公开下架。

然后确实不同办理渠道，价格不一样，像政企 4g 卡那样，你营业厅就是没有那些套餐。城中村的渠道又不一样。所以加上通货膨胀，以后的资费看起来，客观都会涨价的。只是人接受不了，钱不值钱了，那些老不死也想像原来那么滋润，自然看起来要涨价，经济好的时候，15-18 年这些年，都在烧钱。

电信的融合计费很抓狂的，比如今天产生话费 69.29 ，一个月后就 199，你算 199/30x12 也不对，所以不知道是怎么算的。

联通那边一个月扣多少，月初就扣了，30 就 30，50 就 50，米粉卡那边，按天算也能算出来

移动更恶心，算能算，但显示模式恶心。广州全球通，预付费计算，比如月租 38 元，月初，你真实余额 39 元，就显示实时话费 38，可用余额为 39，就是不扣你的钱，而真实可用余额只有 1 元，打个电话就会停机的那种。但如果你真实余额 37 元，哦豁，显示是应激费 38 元，你以为你欠费 38 元？不是的，你冲 1 元进去，又会显示可用基本余额为 38 元，就是让你看着，不扣费，但不能没有，少了 1 毛即停机，比如打个电话用了 3 毛，还会告诉你应该交 38.3 话费了。

当然，穷人才纠结这个，有钱人都是直接冲 1000 进去的。

所以总理忙别的事情去了，资费什么的。

电信有活动的时候，按年缴费会便宜一些，但我这类老用户，最开始是按月办理的，并不能改成年收费。就是 19 年那些融合套餐，按年交也是少了一个月资费的。

@yanzhiling2001 家宽有的区域还能用 443，商宽这些口就是用来卖钱的。

@nathanwongggg 4G 融合 2017Q3 的 200M 还 199 呢

@computerfan IPV6 公网更多意义是回家，而非出门。

呃 (⊙﹏⊙)

windows 用户有没有 git，都自带 powershell 的。只要是 8.1 以上的系统。就是 powershell 4.x ？以上。

直接用 get-filehash -algorithm sha1/sha256/md5 都行吧

@mrzx You are right ！

开墙保平安，现在的爆破，除了 0day 能由外爆破，基本都是都是由内连出的，哪怕是最简单无趣的墙，都保平安。

由内就得靠主动防御了。

我个人外网访问简单点就开 ssh+端口转发来设置 web 。

安全易用相对矛盾的，只是反对为了省事关墙的行为，和探讨下 ::1 扫描问题。

@wazon

::1 问题只是思维惯性，相对于某些朋友说的 ipv6 公网地址繁多，扫描难的说法，不是说一定有风险。

任何系统爆破都是基于 0day 或者弱密码，不安全或者不当设置导致的。

比如 openwrt 官方固件中，默认情况下是，web 的 80 和 443 （启用的话）是监听于 0.0.0.0:80 / 0.0.0.0:443,V6 是监听 [::]:80 / [::]:443，只是一种思维惯性，或者说安全与易用是相对的，这么设置只是防止除了普通情况是用默认的 3 类地址 192.168.1.1 访问，本机 127.0.0.1 的访问，还有 wan 口访问，这样配置是方便使用，除非个人对这个有安全要求，否则有些服务都是监听全端口的。

关于路由本身 LAN 口地址，用 ifconfig 能查到，实际上两个地址情况都是有的（个人实测）：

1.路由拨号，光猫桥接，广东电信，带 V4 公网，LAN 口 V6 地址为全球地址，"前缀::1"，路由 ASUS AC1900P 。
2.路由拨号，光猫桥接，广东移动，V4 内网，LAN 口 V6 地址为全球地址，EUI64，路由 ASUS AC1200P 。

移动的 WAN 口 LAN 口网段 2409:abcd 是相同的。

也可能是固件原因导致，但目前两地设备无法交换，所以没法测试。

不过如你所说，无论哪个地址，一般常规的设备都会禁止连接自身，但这个可能只是 bug，因为这个在耍大牌的 asus 官方固件中，既然开启 ssh 的 WAN+LAN 访问，为什么就会监听[::]:22，但奇葩的是，v4 的墙，也就是 iptables 开了转发到自身，而 ip6tables，也就是 v6 的墙，并没有开启。爆破要 1.2.3 都满足才有可能，所以像移动，80，443 都封杀了，广州南沙电信带 v4 公网的 443 没有禁，禁了 80，内网 v4 的封了 v6 的 80，443.

所以说这个只是存在隐患，如果用其他不开源固件的，又没有开放 ssh 进去，你实际上也不知道开了什么端口，比如一般的家用路由。

::1+莫名其妙的端口+关闭的 ipv6 墙，那是什么样子。另外像 openwrt 默认是不禁 ping 的，::1 只是更容易找到房门，怎么进屋，就看时效了。像 v4 公网的广东电信，47：55 强制断线一次，要是内网 v4，一周不换 v6 地址的那种。

肖申克只是有足够的时间+压力。

另外，我个人还是哪个观点，虽然逻辑上内网设备都获得的全球的 ipv6 地址，至少从逻辑链路上说，还是通过 LAN---》 WAN--》 internet 的，所以 ipv6 墙对于开放内网设备用的是 FORWARD =。= 就是俗称的转发！

开墙就能避免很多不必要的隐患，仅此。

如果是光猫拨号，实际上哪个 TR69 的同城网不是一个巨大无比的漏洞？

@cwbsw 这个倒是，希望以后会有所改善，目前就只能自己改了。

@cwbsw 问题在于，按照 ipv4 的惯性思维，总要有一个“总设备”来分配前缀吧，然后从 isp 那边获得前缀，默认就是::1 为第一个总设备了。路由的 ip 地址竟然不是 SLAAC 一样，后缀为 MAC 生成。而非自己编译的固件，这个压根不存在修改的可能性。

不过鉴于当前的一些 IPV6 应用不成熟，一些默认的配置倒是不经意就关了门的。ASUS 的 1900P，1750AC 一类固件，如上所说默认开启 ssh 的 wan 口访问，是会监听:::22，但是防火墙那边，v4 会开放 wan 的 22 端口到本机，V6 的墙默认还是禁止 WAN 所有连接入本机的，虽说 LAN 是公网，但逻辑线路上访问还是 internet--》 wan--》 lan 。

所以像楼上说的，关闭 v6 墙，在这个还没重视的 v6 时代，要爆破总开关，关墙才是送人头的行为。

@wazon 实际上不是后缀的问题。对于 v6 来说，从路由的角度，wan 口和 lan 口必然是不同网段，所以就不管 wan 口那边的那个 v6 地址了。wan 口无论在 v4 还是 v6，wan 对于一般人来说都是“墙外”，看管很严格。

lan 口这边的获取的前缀，其实可以自己搜集的，比如电信自己拨号后的前 240e:1234:abcd:5678，至少在某个时间断，三段变化，第二段变化也不大，有的是时间的话，也是能扫描的，毕竟路由的 lan 口就是 240e:1234:abcd:5678:2276::1 管理地址，从自己的网段开始扫。

而一般 lan 口这边，如果按照 v4 的思路，几乎是不防的。如果 web 服务是监听 0.0.0.0:80 和 :::80,爆破的可能性还是蛮高的，不过目前已知比如 ASUS，web 服务监听只有 ipv4，v6 没有监听，倒是开了 ssh+wan 口访问 ssh，ssh 就是监听 v4+v6 了，只开放 ssh 的 lan 口访问，ssh 就只监听 v4，所以实际大多数家用路由，大多也是没有准备好的。

为什么想着单纯爆破内网一个机器，那么地址确实很难，爆破总开关不要啥有啥？

之前装 100M 时旧猫，后来升级融合套餐后，需要千兆猫，就给换了个华为的新猫，估计区域没几个用 200M+。

收费了 200，不要说大清亡了，毕竟老家是小镇。旧的那个猫也不收回去，现在还在躺尸中。不过也过几年了。