pro plus max ultra xxxl#

有一个TP路由器的型号叫TL-7DR6430，我之前180买的，支持wifi7。我用了大概几天，发现在路由器旁边的时候一直会头晕。我之前没发现，后来问了群友才知道这东西的增强模式的信号强的离谱（国标是23dBm，但是这个路由器的信号强度已经秒了aruba的AP了，真的离谱），遂把这个路由器放在了很很远的地方，结果发现隔了两堵水泥墙手机还能收到-49dBm的信号，过于抽象，20米，满格。在这么远的距离下我依然能够协商出1000+Mbps的速度，真的是大受震撼。

当然还有一个TL-7DR6450，算是30的上位。TP还是祖传偷散热，30用的时候可以加个风扇吹吹。但是200块钱不到真的太牛逼了。

BT#

必须使用qBittorrent client blocker或者BTN-PBH，接入行为分析和云端黑名单，不然吸血的客户端会直接把你的上传全部吃满送你归西。现在的滥用已经不能靠增强版ban UA了，基本上只能通过行为分析和共享黑名单处理，真的太多太多了。

如果你有公网#

可以考虑开fullcone，但是把upnp关了。这样子能够减少很多pcdn直接注册成upnp服务偷跑流量。

PCDN等等#

真的，有钱买个起夜级防火墙。这东西我目前的解决方法是，把特别会跑PCDN的设备，比如电视拉入一个用户组，然后对这个用户组应用白名单的规则。非已知应用+上行统一限速5Mbps，直接拦截PCDN已知域名，这样子才能够解决PCDN的问题。

Openwrt的流控和QoS真的非常摆设。先不说吃性能，开源DPI方案的识别准确度也是非常的乐。opnSense上也有相关的插件，不过还是对中国有点水土不服。总之，一定一定要对不可控的可能跑PCDN的设备限速，不然随时都可能爆个大的。

IPV6#

嗯，没有人会配IPV6。我的意思是大部分人都不会配置IPV6的防火墙和规则不是说我不会，所以最好在路由器上直接拒绝所有IPV6的入站。或者找起夜级防火墙做风险情报检测自动阻断，不然IPV6真的太危险了。一个0.0.0.0+ip地址泄露就能够让坏人直接访问你本地的服务，而你一般还在用弱密码。

如果你是懒狗，也可以直接禁用IPV6，这一般不会导致什么问题，如果你真的用得到IPV6那你也不会这么懒。

UPNP#

一定要管理好能注册UPNP的设备。你去搜索引擎上搜qB的默认网页title，看看有多少个UPNP设备注册了这个服务。然后又有多少能直接通过这个ip进入路由器/群晖的后台。现在这帮搞DMZ和NAS教程的真的太野了。

DNS缓存#

223.5.5.5都上QPS限制了。ISP的DNS有可能有污染或者别的灵车注入。你需要在内网放一个DNS服务器来代理网络中所有的DNS流量。op上可以用smartdns，当然我推荐smartdns-rs，因为rust版本的支持更新更好，不过正常版本也能用。有些弱智设备是没有本机DNS缓存的，这会导致如果你用公共DNS打到Rate Limit之后直接网络爆掉。