写什么单元测试？用户有问题会自己反馈 bug 来，用户就是最好的单元测试。 [dog]

@shuax 传统交换机不支持 balance-rr 你必须 2.5G 是 linux 内核才行。或者服务器对接服务器

LACP 聚合只能支持多客户端才有用，你单个 mac 访问只能走一个端口。
你可以用 smb v3 特性，配多个内网 IP 聚合。可以达到你要的效果。
https://post.smzdm.com/p/akmr4n9r/

@sunnysab @drymonfidelia

>>https://www.cloudflare.com/plans/zero-trust-services/ 三十人三百块钱，很低成本了吧


他意思就是 nas 和客户机之间应当使用防火墙隔离开，NAS 作为安全区，通过防火墙的零信任（其实就一带权限管理的 VPN ，讲的高大上）来同一认证区分权限，实现客户机和 NAS 之间的通讯是使用加密方式。
专业的零信任还有审计功能，谁访问了什么。

这样做合理，只是扔个 cf 的零信任感觉就有点跑题哈哈。

我来扔一个 wg-easy ？在 nas 里部署即可.
然后 nas 的 iptables input 只允许 VPN 端口访问，其余端口一律拒绝。
也可以设置一个白名单 list 。

wg0 接口的 vpn 地址，在 forward 里配拒绝。
https://www.lautenbacher.io/en/lamp-en/wireguard-prohibit-communication-between-clients-client-isolation/


我是很想找一个基于 wg 的零信任方案，带一点界面配置和管理看板啥的。给不动网络的用，感觉好像还是得用防火墙系统才能很好的解决。不然 iptables 厚厚的一本，不熟悉这个的人肯定搞不定。

@kome
“ 交换机 Console 口在配置完登录账号和密码后, 拆机剪断 Console 口跟主板的连线;”

哥们有点狠啊哈哈

emmm 仅仅防 arp 攻击的话，买个好一点的管理交换机把 arp 防护打开就好了。

https://support.huawei.com/enterprise/zh/doc/EDOC1100033978/780a867f#dc_cfg_ARP_SEC_0020


用硬件防火墙是不是有点杀鸡用牛刀。

passkey 现在不是很舒服么

@8cbx 不需要了，现在支持 acme dns api 方式，写 txt 来校验。

群晖现在支持 acme 直接支持自己续期证书。

以前搭配 acme 的话还是需要重启群晖的 nginx

@bukekangli 应该是绿联的泛域名证书的私钥封装在绿联的系统里分发到所有的产品里。有 shell 权限就能拿到私钥呗。

@coolcoffee 只要你比路由发包快就好，而且防 arp 不是在防火墙，一般有防火墙的环境都有三层交换机。简而言之还是有可行性。

@coolcoffee 同一个 L2 局域网下即可。arp 攻击挟持网关 mac dns 抢答

没人提 acme.sh 么

要区分他到底有没有动 GPL 组件源码，例如根据自己要求修改了内核。
如果单纯就是做个 web 界面，相当于跑在一个 linux 下的程序，那么这个程序只要没用到 GPL 源码，那么也不是必须开源。

@onichandame 有计算公式的，你可以看看 减少过大导致被丢弃。
某些运营商会对 udp qos ，可以套 udp2raw 解决。

@onichandame 试试 wg 的 mtu 设置为 1380

@tanjnr 很多人认为这就是赤裸裸的 pua

我发现其实不期望更换系统的主要原因就是没时间，工时很重要，事情太多，根本忙不过来。能跑就别动的原则。交付即黑盒。

然后就是学习成本，我们公司使用 centos 的很大一部分原因是因为不想学其他 linux 的包管理命令。用习惯不想换。给到运维替代系统的要求就是务必要命令一致。（这里不讨论需要脚本兼容的问题）

不错，我也想知道，之前想找这样的软件没找到。