@ivmm #41 真是竭泽而渔的手段啊。这种手段简单的高效广告，通常来说会让不感兴趣的用户感觉反感。
长期来下来用户就变得不想看广告了，那对自己的产品也没有好处了啊，不管你广告好不好，我就是不想看了。

@ivmm #30 不应该是走推送用户可能感兴趣内容的广告这条路么。

有 VIP 去广告就是在说我广告都巨难看，不想看？买 VIP 啊

@Havee #10
https://www.v2ex.com/t/337317?p=1#r_3997045

K2 是不错啊， wifi 信号很好，受限于 lan 只有 100M ，无线最高也就 90+M ，然后官方 openwrt 系统有后门，要当路由器用最好是刷机。

不过官方系统使用的是原厂闭源驱动，表现比较好。

我是拿来当软路由的无线扩展，就用恢复配置文件的漏洞把 telnet 打开，就可上去随意乱搞了。

哇，现在 PayPal 汇率比银联高了啊，我记得以前试了一次是银联高

@ferrum #13
我是不敢上 399 的车，直接咸鱼买的别人下车后不要的 k2 。
https://ww2.sinaimg.cn/large/71d69efbly1fc7npqd56lj20qt05dt9c.jpg

斐讯 K2 ，虽然官方系统是有后门的，但是你只用它做无线拓展的话非常好，只可惜 lan 是百兆没法跑出更好成绩了。

@lausius #22
https://ww2.sinaimg.cn/large/71d69efbly1fc5po08osdj20rh0e8wg6.jpg

@JJaicmkmy #18
这么弄的话好像会触发路由黑洞，以前看别人提过。

@aru
你需要针对端口限制的话可以在要填"{your WAN}"的那两行加入端口匹配条件.

然后一般来说容易缺失的 iptables 模块就是 u32 或者 bpf 了,大多数人只是用 iptables 解决些简单的需求,所以不会用到这种需要写字节码的模块.

不过可以自己编译 openwrt 固件的时候把这几个模块一起编译进去,再或者你可以看看 openwrt 官方源有没有提供补全 iptables 的包,这样就不用自己编译了.

@aru 我用 x86 的 AMD 速龙 x4 老爷机跑满 100M 是一点问题也没有,几乎没有负载,轻轻松.
路由器的嵌入式平台就不知道了,只对 80 起效是可以做到的,但是上网主要流量也就是 80 的多啊...

@est iptables 本职工作是防火墙啊,要发包大概要打补丁实现了吧,这方面我不太懂

@TMily

额,我不清楚 openwrt 上的防火墙区域是怎么回事,你可以直接填上去试试,不行的话,就用排除法.

把不是 wan 口的接口排除掉

@est

其实这个规则对某国家级防火墙的 RST 包也有效,只不过它会对服务器和客户端双方都发送,虽然有效但是救不了这条连接.

@lixingcong

你可以搜索一下 iptables U32 模块的用法

大致意思是：从 0 位开始将 4 字节的取值框右移 0x16 位，然后对取值和 0x3C 按位与，再然后根据结果跳过相应长度的字节数，在新的的位置开始再跳过 4 字节，和 0xFFFF 按位与，所得的值应该等于 0 。

效果简单来说就是跳过 ip 头，在 UDP 头找到校验和的位置，匹配校验和是 0 的包，再因为前面有“！”取反，所以校验和不是 0 的会被匹配到。

@vinsoncou

因噎废食，我很佩服哦

@CloudnuY

如果你是说抢答包 UDP 的 TTL,这个 TTL 不太适合拿来写规则,变动的可能性比较大.

如果你说的是抢答包的解析的 TTL,那是 600,但是这个容易误伤,然后要在 iptables 上面获得这个数值也比较困难.

@lslqtz

做劫持的通常是一个旁路设备,参考某国家级防火墙.这些设备通常不会直接拦截或者修改包,应为开销很大.

也就有后门的路由器或者公司内网的上网行为审计这样的设备才会做得很彻底.

我是做了抓包发现劫持包之后会有正确的包到达才会这么做的.有的时候正确的包还比劫持包快...