@youx 不好意思啊，我不用 mac ，我用 linux 。
个人觉得搞技术还是 linux 比较好用，能用来处理数据报文的工具也比较多，然后再加上网络知识，还不能少自己的思考，综合起来想一想总能发现问题，您说是吧？

@youx 搞笑呢，都是有办法的。以前最火的办法就是 ttl 检测，随便给 ttl 做下手脚就过了，这也是为什么 ccproxy 好用的原因。本来应用层 ua 也都一样差不多嘛，更何况现在鲜少有明文协议了。然后 linux nat 的话因为默认有保持源端口的行为，改成随机。差不多都可以过了。
然后下面有一个说虚拟机被检测的，很多时候虚拟机的 mac 地址在上游看起来都是一样的，说白了最有可能的就是 netbios 检测……那我 mac/linux 呢，怎么区分 mac 和 ios 手机？ linux 就更魔幻了……
流量判定也不现实，手机下载个*神，几个 GB 就没了，怎么算？电视、nas 就更别提了……再加上现在到处都 mac 地址随机化，根本看不出厂商……最后搞不好还真是 microsoft 合作伙伴，检测局域网 windows 的数量，要查许可证吗？
本来如果双方都是专业选手的话，想通过技术手段阻止网络共享是不现实的……

还有就是，那个 url 扫了以后似乎是 2019 年的产品，不过 2019 年也不该推出这种东西吧？
这下，要求改桥接的更多了，fttr 更卖不出去了。（个人猜测并没有在推）

我一个路由器就上百个 mac/ip 了

nfv 可以，将不同的出口/隧道拆分成 netns 可以更好地解耦，以及可以实现更多东西。
sdn 取决于定义，因为即使如上拆分 netns 了甚至做了 kvm ，也只是单机，没有集群的机会
但是不管哪个都肯定不是性能优先的企业级玩法
以及，某些地方运营商做的云宽带有点这方面的意思
我家路由实现： https://www.v2ex.com/t/1034955

1. 这样做没问题，反正也得经常开着
2. 做好安全措施，没问题的
3. 这样不太好，可能会被运营商处理，运营商因为安全问题不允许你开 http 服务
说安全问题有好多层面……对初学者来说比较合理的实现就是外网暴露 openvpn/wg 的端口，如果你只需要访问内网资源的话可以指定 ip 段（路由表）。

LAN 192.168.0.0/24
IX 192.168.16.0/24
WAN 192.168.18.0/24
TUN 192.168.17.0/24
XC 192.168.19.0/24
Vlans(IoT, etc) 192.168.132.0/24 （ Reserved: 192.168.128.0/20 ）
OpenVPN 192.168.254.0/23
Wireguard 192.168.252.0/23

Ref: https://www.v2ex.com/t/1034955

不等效，但是可以凑合用。
1. 多一次路由转发。
2. 对于 ipv6 ，原本整段 ip 都会转发给你，但是光猫下面再接路由器的话，只能获得其中一个/一小段 ip 了（取决于光猫支持情况）
3. 对于 ipv4 ，多了一层 nat 。dmz 只是能良好地处理 tcp 、udp ，还能比较好地处理其他一些协议，但是如果发一个生的 ip 包过来（没见过的协议），dmz 是没法工作的。

移动线路本身还可以，传输相对比较新（因为建设较晚，和电信相比），价格肯给折扣
问题是：
1. 好多地方进不去，没有资源。你这里既然可以进，那么没这个问题。
2. 客户服务真的是……一言难尽，不过也看各地了。出故障的时候可以自行体会。

甚至只有 dht 没上传下载也会被阻断。
反向墙。
解决办法是关掉 bt （至少 ipv4 ），或者如果能多播的话再拨一个别的 ip 分开

有点事情就说“公安局怎么怎么样”，然后诱骗你出让利益
这不就是典型的电信诈骗嘛

当然是玩得开心啊
普通的上网开服务什么的基本功能当然是要保障的，然后可以尝试一下脑子里偶尔冒出来的新骚操作
再有就是我的这个那个特殊的独特的恶心的需求，要用什么解决方案才能做到最满意最舒服最开心呢
当然是自己搓啰
毕竟咱也算是专业选手嘛

p.s. 我家核心路由是一台软路由，其他 vm 之类的在其他硬件上。

arp 这东西老，但是大多数仍然好用。
但是，用 arp 欺骗，特别破坏网络，强烈不建议使用。
v6 使用 ndp （上面写了，ref: https://zh.wikipedia.org/wiki/%E9%82%BB%E5%B1%85%E5%8F%91%E7%8E%B0%E5%8D%8F%E8%AE%AE ）
看一下 icmpv6 的 type133~137
也不复杂，有 ndppd ，或者自己看着包结构搓也容易

以及 我选择自己搓主路由

这个标题确实很能激发讨论的欲望
不过，除了 arp ，至少还有 ndp 要处理吧……什么，不管 v6 ？
就算不管 v6 ，那 arp 欺骗也不是每次都能成功的，如果 arp 过期没成功，连接不就尴尬了？
再有就是关闭设备的时候了，网关没了，其他设备断网重新学习网关……

这不挺好的嘛
快测测性能怎么样
只要你不怕他
他就是免费的隧道
grpc/wss 走起来

cf 的话 curl 一下不就知道了吗
如果他 nat 的话连他出口 ip 也一起看光光

curl -v https://ip.sb/cdn-cgi/trace --resolve ip.sb:443:104.18.4.101

quic 实际上也不一定可行，看服务端配置/实现
不过，您都 quic 了，目前是没有 sni 阻断的
（ quic 的 sni 是加密的，虽然第三方可以做到直接解密

p.s. 很多时候简单地分片就可以过无状态 sni 阻断，甚至都不需要代理服务器

问题是，如何确定是“不针对 pcdn 而是把所有用户一刀切”呢

@wuruxu
conntrack -F conntrack
小心网络波动/中断