qbqbqbqb

备案扫脸是代替以前的幕布拍照的。如果不要扫脸的话就肯定要用幕布拍照。

如果你自己编译的 ip 命令没有链接 libcap 的话就不会有 drop_cap 这个功能

刚刚查了一下资料，确实是 ip 命令本身的问题。ip 命令在启动的时候检测到非 root 就会扔掉一些 capabilities.

源代码：
https://github.com/shemminger/iproute2/blob/main/ip/ip.c （注意到 main 函数里调用了 drop_cap ）
https://github.com/shemminger/iproute2/blob/main/lib/utils.c （ drop_cap 函数实现）

你看一下 /usr/sbin/ip 是不是链接到 /usr/bin/ip 的软链接。软链接上没法设置 capabilities ，得在实际的文件上设置。

其实这个就是常见的一种对 iptables 的误解：很多人认为 iptables 里的 NAT 规则（ SNAT 和 MASQUERADE ；这里先不讨论 DNAT ）是负责“转发”的。

实际上不是这样的，SNAT 和 MASQUERADE 规则，功能就仅仅是做 NAT ，也就是对从指定出口转发出去的数据包修改源 IP ，并且建立临时映射对返程数据包做对应的处理使其能被正确收到，仅此而已。
至于这个数据包会不会从“指定出口”出去，这个不归 iptables 管，归路由表管。

想实现这个需求需要用到“策略路由”，流程上大概是在 iptables 的 mangle 表里给数据包用 MARK 操作打上标签，然后再在 ip route 这边新建一个路由表 table 并且设定相应的路由，和主路由表区分开来（比如说你现在主路由表是默认走 tun0 ，就新建一张默认走 eth0 的路由表），最后再用 ip rule 里面提供的 fwmark 规则指定打了特定标签的数据包走新建的路由表。

首先很显然 (argv-1)[argc] 和 argv[argc-1]访问的是同一个东西。然后根据 C 语言数组下标操作的定义，(argv-1)[argc]和 argc[argv-1]又是等价的。

客户端设备是 Windows 吗？如果是的话，NAT 类型和 Windows 防火墙也有关系，防火墙没有放行传入连接测出来就是 PortRestrictedCone

@asanelder 这种应该属于某些题目的进阶要求吧，题目里也只是说如果你用的编程语言里字符串是可变数据类型的话可以尝试 inplace 做法，不用也能通过。想达成这个目标的话用 Java, Python 这些语言是没办法的，只能换成 C++.

@FenixVu dpkg 不是非要在同一个系统里用的。只要 recovery 启动盘里有 dpkg 程序，用参数指定一下 database location 就能读取硬盘上面的系统的软件包状态了