@janda 8# 如果是单纯拒绝外网访问容器的话，是的。
但如果还有筛选可访问 IP 等高级需求的话，配合端口转发也可以，就是不太雅观。大量容器下不推荐，难管理。

也不清楚你是生产环境用的还是自己开发机 /VPS 玩的，
如果是生产环境，宿主必须 firewalld 情况下，直接容器里单独配置 firewalld 应该最不容易出错；
如果是自己机器上玩，→_→当然用 127.0.0.1/0.0.0.0 来回切换简单粗暴易用呀，折腾防火墙什么的最讨厌了。

@janda 6# What ？什么意思。
run 一次就新建一个新的容器，你为什么每次启动都要新建一个容器呢？用原来的那个容器不可以吗？新建容器时你输入 [-p 127.0.0.1:8080:8080] 和 [-p 8080:8080] 的差别也不算大吧。/(ㄒoㄒ)/~~何况谁闲的没事整体新建容器呀。

就是因为动系统不如动容器我才提的那两条呀，/疑问？你是修改宿主防火墙不嫌麻烦，但许久遇不到一次新建容器嫌多打 9 个字符吗？
还是我没理解你的回复是什么意思？很迷呀。。

这个问题在 Docker 官方文档中说的很明白，显然你是没有阅读官方文档就直接使用的 Docker 。
Docker 自动设定的 iptables 规则 [DOCKER-USER DOCKER] 比你手动设定的 iptables/firewalld 规则优先级要高，所以除非把规则添加到上述 [] 中才能生效。
不过如果你嫌麻烦还可以：
0.如果需要外网访问，可在容器内设定防火墙；
1.如果不需要外网访问 /爷就喜欢宿主防火墙，Docker 绑定 0.0.0.0 改为 127.0.0.1 。(●'◡'●)

@iConnect 知乎 APP 这个例子不太合适，因为知乎 APP 正是题目中说的“基于浏览器的客户端”，而不是“原生的客户端”。

不过知乎的安卓 APP 做的是真烂，动不动界面黑块卡死，明明内置了企鹅家的 x5 内核，却时灵时不灵，一会是 x5，一会又是 webview，太烂了。知乎的人也别怪到 x5 身上，哔哩客户端用的也是 x5，毛事没有。

@Xusually 19# 嗯，这样看来应该是他被降权了，→_→就是让我们不要和他没事争论，没有结果的。

信号的强度和“几格”是由运营商自己定义的，这速度显然联通对信号满格的要求比较低，或者信号很强但该基站人多炸了。
同一手机信号都是满格(5/5)，信号强度：（联通卡-106dBm，33asu ）、（移动卡-67dBm，23asu ），显然的“双标”。
我说一下自己在葱省中北部的体验吧：
移动信号最好、语音最贵、宽带次贵；
电信信号次好、语音便宜、宽带最贵；
联通信号最差、语音次贵、宽带便宜。
（流量为啥不比较呢？因为新套餐价格 3 家出奇的一致→_→，5 元 /3 元，没啥好比的）
联通还是缺乏竞争力呀，和俩兄弟没法打呀，移动根本够不着，电信和它玩田忌赛马，自己又没钱，唯有混改还有机会。
利益相关：非运营商从业者，电信卡已销户，联通+移动使用者。

@geekvcn 14# 哎，怎么跟你说呢？我明白你的意思，但你的表达逻辑很有问题呀，你说的 [运营商级 Qos 都是按照 IP 段优先级的，根本不会根据协议 Qos] 和你在 4#的言论存在一样的毛病。
你要明白所谓的“IP 地址”也只不过是 OSI 模型中的第三层中很普通的协议中的一种，IP 本身没有什么特别的地方只是一种协议而已，网际协议（英语：Internet Protocol，缩写：IP ）。
我对你 4#表述的问题在于你的句子表达相当于：“所有薯片都会被炸，没有所谓的用土豆炸的，都是用马铃薯炸的。”
另外，你的消息我收不到提醒，这是被降权的表现吗？

@geekvcn 4# 显然第二句和第三句是自相矛盾的，协议是优先级实现的基础。
甭管是二层以太网、四层 TCP/UDP 、五层 SOCKS 还是七层的各种应用协议，所谓的优先级都是以这些各层协议为基础划分的，在二层可以按 MAC 地址、四层按端口、七层按 IM 优先 Web 次之 BT 垫底等等，优先级是果，网管按不同协议排序才是因。

@solaro 对于楼主的问题，单纯的 WebSocket 和 HTTP 都是基于 TCP 实现，如果我是网关的话肯定会把 WebSocket 设定为 [高优先级+低带宽] 。WebSocket+TLS 后外显和 HTTPS 等 TLS 没任何区别，你又看不到 TLS 里面的东西，用 WebSocket 主要是为了它的全双工能力，而全双工对于无状态 DL 来说没有什么优势多此一举。某 v2 采用 WebSocket 纯粹是因为某 CDN 支持这个东西而已，并不是协议本身对 DL 有什么优点。
速度上不来就直接上 HTTP 搭个空白文件下载测速试试，近期外网环境本来就差，等凌晨 4 点左右你再测速试试速度就上来了。

概念都是错的，专线是专线，公网时公网。专线不管是 IEPL 、IPLC 、MPLS 还是 SD-WAN （可能你接触到的多数都是这个，毕竟这个可以走公网，别的你想接入至少得买个设备吧）都是个大内网，专线得接入公网节点才能访问公网的资源。
所以专线没有啥等级 3 、等级 4，技术上的不同，物理隔离在不同层的区别而已，更无法和公网比较优先级。能比较的只有专线的某一端如果接入了公网节点，那么接入的这个公网节点就是这个专线访问公网时的所谓“等级”。
能进行比较 QoS 的只有等级 1 、等级 2 的公网。专线之间能比较的是"服务可靠性"，速率是一定保证的，速率不保证还叫啥专线呀。

@850521109 #20 用非标准端口可以解决一时，一旦成规模后某端口的下场只会成为第二个 53，根本原因还是 DNS 请求未加密，而且客户端改 DNS 端口的活也不漂亮。
加密 DNS 在 DoT/DoH 之前就有了，所以缺的不是方法而是规范。DoT 的活干得比较彻底，目标是朝着替代系统旧 DNS 来的，道阻且艰，一步步来吧。DoH 活干的就比较偷巧，依附于普遍的 Https 协议，需要搭配旧 DNS/DoT 等使用，算是在 DoT 普及前的缓冲吧，内置于应用中无痛支持挺好的，目前像 Chrome/Edge/360 极速等浏览器都内置了，一键开启无痛切换 DoH 。

这码打的真严实。。
直接 ping 的 IP 吗，有没有绑域名？移动家宽好久之前遇到的了，不具有时效性，某些小国的顶级域名会特别限制。不过直接 banIP 的倒没遇到过。

@XMD 真 DNS 劫持这样换是没用的，终端换成路由网关的 IP 和系统默认自动获取 DNS 没有任何区别，因为原理上网关会原样转发 53 端口请求不作任何修改。
终端换 DNS 只对运营商不劫持 DNS 时有效，只能上 DoH/DoT 解决，但凡有其它方法，也不可能逼得发明出 DoH/DoT 来。

这个头像好像在 B 站见过

@encro →_→别的暂且不提，关于第 5 条的红帽和 Sun，你说这两家公司通过开源得到了业界的一致认可，会不会给人一种钦定的感觉？红帽强推 Gnome 、Systemd 一派在社区里也算是毁誉参半吧，将来报道上除了偏差你可是要负责任滴。

@AoTmmy 你那边哪个省份，手机流量能获取到 IPv6 了吗？或者能提供下你的“假”IPv6 地址吗？因为离规定的截止日期不多了，大家都在如火如荼建 5G，好奇竟然还有地方没 IPv6 。因为规定是新装宽带 IPv4 、IPv6 至少给一个公网的（就是必须有公网）。

@AoTmmy 客服 ta 懂个毛线，一句话堵死你完成你这通电话才是首要的。老线路不说，2016 年之后新装的 3 家家宽哪家还没有 v6 ？是家宽，别拿校园、承包商二道贩子三道贩子那些举例。
ps：用手机流量时 v6 可比 v4 好用多了~

@AoTmmy 那你那儿的客服还挺专业的呀，还能听懂 IPv6 是啥，我这的连 v4 公网是啥客服都听不懂。别问，问客服就让你拉商用。