默认设置是允许 LAN=>WAN ，不允许 WAN=>LAN ，是有限制的。

这里是你理解错了。防火墙基本设置里面入站 /出站 /转发是对路由器本身来说的，入站是外网或者内网到路由器本身的流量（比如说自己访问路由器控制面板就属于这一类），出站是路由器本身到外网或者内网的流量（比如说路由器里面在线安装 OpenWRT 插件就属于这一类），转发是不同网络之间不涉及路由器本身的流量（正常上网的流量都属于这一类）。第一行源区域是 LAN ，“出站”“入站”“转发”都是接受，指的是从 LAN 到路由器，路由器到 LAN ，LAN 到其它区域（目前只有一个 WAN ），这三个肯定默认是不限制。第二行源区域 WAN ，“入站”“转发”是拒绝，这个才是默认阻止外网访问内网的设置。

你理解的外网内网之间的入站 /出站，实际上对应的是这里“转发”这一列，第一行 LAN=>WAN 的“转发”就相当于内网设备的出站，第二行 WAN=>REJECT(因为后面转发设置为拒绝了，不然这里是 LAN)的“转发”相当于内网设备的入站，这个默认是拒绝，所以其实是有限制的，不会直接把内网设备暴露在公网。

看一下 ip6tables 防火墙配置正不正常

@xipuxiaoyehua 可以用 ssh 登录 openwrt 命令行里 ip addr 看所有地址，3d6c 估计是 br-lan 的 link-local 地址

openclash 里的 IPv6 流量代理有打开吗

@xipuxiaoyehua 你看一下 br-lan 这个接口自己的 ipv6 是不是 3d6c 结尾的

@qbqbqbqb #5 是针对 Multiprocessing 多进程的。os.fork()就简单粗暴很多，子进程继承 fork 时的状态，之后对象状态的改变就不共享了，所以后来创建的线程池肯定是每个进程一个。想要统一池子还不如直接用 Multiprocessing 里的进程池。

用多进程的话，传递给子进程 target 函数的参数和传回来的返回值必须是能用 pickle 序列化、反序列化的，或者是 multiprocessing 库里面的 Queue, Value, Array 之类的专用的进程间通信工具。不能随便传递其它对象。

另外就是子进程也不能随便用全局变量、全局对象（常量可以用，有状态的对象慎用），因为子进程里全局对象的初始状态是有区别的，而且修改之后也不会同步到其它进程。

Python 多进程有三种模式 fork, spawn, forkserver：
1 ） fork 模式子进程会继承此时主进程的状态（相当于当前 Python 分裂成两个，其中主进程继续执行当前函数，子进程跳到 target 函数）
2 ） spawn 和 forkserver 模式子进程为程序刚初始化后的状态（相当于重新启动了一个 Python import 了所有库，然后不执行__main__直接跳到 target 函数开始执行）。

Linux 默认 fork ，Mac py3.8 以后默认 spawn, Windows 只支持 spawn 。

@Biwood 酷安在设置里关闭自动安装之后，用谷歌重新扫描就不会提示风险了。

我记得 wifianalyzer 好像是不显示 kv 的，只有 r 会显示为 FT

@qbqbqbqb 大意了，刚才查了一下 FIDO 资料，看上去好像 FIDO 为了防止可能的重放攻击强制签名里加计数器，每次签名都是不一样的。那就确实不能用来加密。请无视#7 和#8 的内容吧...

@qbqbqbqb 更正一下，“就是 HMAC 的方案”不准确，HMAC 和非对称签名是两种不同的技术。
我这里想说的是，这种方案类似于基于 HMAC 的密钥派生方案。

另外 FIDO2 也不是完全不能用来加解密。最简单的方法就是可以用 FIDO2 设备签名一段特定的明文数据来派生出一个加密密钥（这样如果你不持有相应的 FIDO2 设备就不能签出同样的签名，从而就不能得到密钥）。其实就是 HMAC 的方案。

用这种方法的话，只要 FIDO2 设备的芯片是安全的不会泄露内部签名私钥，同时加密软件也不把派生出来的密钥写入硬盘，就和普通的纯软件纯密码对称加密一样安全了。

@theklf4 Windows 凭据管理器是否加密的情况是比较复杂的。
1 ） 如果 Windows 账户是纯密码登录的话那就是有正常的加密，是安全的。
2 ） Win8 的“图片密码”是不安全的，加密 key 明文保存在注册表里。
3 ） 如果启用了 Windows hello （包括 PIN ，指纹，人脸等），加密会由一个叫 Next Generation Cryptography （简称 NGC 或者 CNG ）的组件负责，这个安全性要看电脑是否有 TPM ，有 TPM 时会用 TPM 生成和保护相应的加密 key ，没 TPM 就是明文保存了。

参考资料： https://www.insecurity.be/blog/2020/12/24/dpapi-in-depth-with-tooling-standalone-dpapi/

@Getting

二层网络是以太网的话，路由表项是需要同时包含“出接口”和“下一跳”（俗称“网关”）两个字段的。
1 ） 出接口是不能不指定的，如果不填写的话系统会帮你自动推断，实际上还是相当于有指定接口；
2 ） 下一跳不指定，代表二层直连，目标机器必须在同一个广播域（通俗地说就是通过交换机连接，或者“同网段”）内才能连接；跨网段，需要经过三层路由的，必须配置下一跳，否则肯定连不通的；
3 ） 配置 IP 的时候填写的“子网掩码”和“默认网关”实际上就相当于一种简化的路由表配置，子网掩码自动生成相应前缀的二层直连路由；默认网关会生成一条 0 前缀的路由；和手动添加的路由属于平行关系，遵循相同的优先规则（最长匹配前缀优先，如果有前缀相同的则是 metric 值低的优先）；所以不存在所谓“不写就走默认网关”的说法。

如果是 PPP 之类的点对点网络，路由表里就只需要指定“出接口”一个字段，“下一跳”对于这类网络是没有意义的，比如说有时候你在电脑上 PPPoE 拨号也会显示一个“默认网关”但其实这个地址并没有什么实际意义。也只有在这类网络环境里才能不填或乱填“网关”。

@flynaj 这种一般都是运营商防火墙。安卓手机一般不自带防火墙（比如说手机梯子开启了允许局域网连接一般就真的允许了）。

我也用 vim-plug 管理 vim 插件，直接写 Plug 'USER/REPO'的话应该走的是 HTTPS 协议吧，git config --global http.proxy 设置代理用梯子是有效的。