按理说正常操作应该是直接关闭你的公网 ipv4 以及 ipv6 ，而不是直接断网，不会真干了啥吧

@zaaad 没有长期内网复制大量文件的需求，千兆足够了吧，万兆除了测速快点，日常使用和千兆对比没啥提升

内网直接 rdp 远程桌面最简单，体验也不会太差

@HelveticaNeue 那说明 igmp snooping 功能没生效，我物理机 ac2 没这问题，而且建议是 vlan 隔离，不开也可以。

@HelveticaNeue 播放一个台，直接在 interface 界面看流量就知道了，一般高清台就 8Mbps 带宽

@HelveticaNeue igmp proxy 模式下，建议要把 br 里面手 igmp snooping 打开，不然你在看组播的时候，你 ros 的 br ，会向 eth3 4 5 个口同时复制组播数据，口多了交换机多了就有组播风暴啥的。如果是硬路由,igmp snooping 可能会丢失某些 switch 的硬件加速功能，不带 switch 的就无所谓，直接开就行了。

@HelveticaNeue 你可以对 in-interface=eth2 开 accept ，ITV 网口没得任何风险

alternative-subnets 搜了下貌似是控制组播跨网发送的，直接全部允许就好了吧
igmp proxy 是把组播跨网段转发用的，在你 ROS 和运营商之间组播数据传输应该是走的二层数据，这里和防火墙没关系，ROS 和内网设备间复制的组播，应该也是二层数据包，和防火墙也没关系，所以你防火墙
drop all not coming from LAN 应该是不影响组播播放的，播放一段时间停了，大概率是因为组播续期失败导致的，如果使用用 udpxy 组播转单拨，有个参数就是设置组播续期间隔。

盲猜组播续期是三层数据包且不是 icmp ，所以受你防火墙的影响，ROS 收到你内网续期请求，转发组运营商这边的时候，drop all not coming from LAN 模式下，在你 ros 的 eth2 （ ITV 口），光猫发过来的三层数据包（包含组播续订交互数据包）被全 drop 了，所以续期失败，导致播放不了。

你可以试试禁用你添加的那个 IPTV 规则，然后修改 drop all not coming from LAN 这条规则，勾一个 connection state=new 试试，如果不中断了，那说明我可能大概猜对了

哪吒不错的吧，只有唐狮少年看到人物造型就更恶心，就完全没心情看

TCL 或者雷鸟带灵控桌面的电视都行啊，开机没广告，桌面和手机差不多，自定义 app 方块那种

用的旁路 op 插件 passwall2(sing-box)，开了 fakedns ，op 的 udp53 改成了 adgh 做缓存和全局 hosts ，很好用

@flynaj 对于辣鸡线路所有基于 tcp 协议的都难用，只有基于 quic 类的才好用，比如 hysv2 协议啥的，gost 除了配置简单外其实速度很一般

关闭设备的 ipv6 隐私扩展，配置设备走 EUI64 自动配置 ipv6 地址，路由器使用 RA 发地址，这样知道路由器的 ipv6 地址(前 64 位)，就知道了指定设备的 ipv6 地址(路由的前 64 位+设备 mac 生成固定后 64 位)，或者再进一步，直接在路由器做全内网设备的 ddns(脚本)

不过想想看在 ros 这里如果对回包做一个策略路由，强行 forward 给下级网关，或许能通？

@ShioWSX 我对底层原理不是很懂，如果你网关这里做 snat 成上级路由的 pppoe 接口 ip ，并路由给上级 pppoe 路由器(ros)，这里不做 pppoe 的 nat 直接转发出去没问题，但是远程回包(dst-addr=pppoe 的 ip)到 ros 后，ros 没有内建的 nat 映射表，它只能把回包当成 input 数据自己处理了，不会 forward 给你 nat 网关了，这时候不通了，所以从原理上来说 pppoe 处理和 nat 分开就不可能实现？

@ShioWSX 你多大带宽啊还要考虑 pppoe 性能损耗的，能支持硬件 nat 的，跑 pppoe 也能跑满了吧，你可以考虑支持硬件 nat 的直接做 pppoe

功能上 ros 很容易就实现了，但是逻辑上，如果 pppoe 拨号设备不做 pppoe 出站 SNAT ，你是上不了网的(之前看到什么 CGNAT 或许可以)
既然你需要下级网关实现 NAT ，那就 pppoe 直接 vlan 二层给下级网关让下级网关直接 pppoe nat 一体更好

黑群运行 tailscale status 看 peer 的连接状态，是不是打洞失败了，走的 relay

国内的服务器，http 和 https 网页，没备案理论上来说是连不上的，云服务商直接就给你屏蔽了跳转自己的备案网页，比较奇怪的是你还可以浏览器访问，不管你开没开 cf 的 proxy 模式，中间都有一个直连你云服务器 ip 的访问 http/https 的过程，理论上来说 emby 网页不备案是连不上的吧