我遇到了跟你一样的问题了，邪门...

路由是新装的armbian，内核5.17，直接用nftables，做了个最最最简单的masquerade，
其他啥都检查过了，不会有弱智问题。
理论上应该就正常了，实际上好像也确实正常了，
但访问很多网站感觉都被盾了似得...我这里说的都是国内网站...

比如这个


访问ustc的debian mirror不行，http和https测试过都不行。
淘宝完全不行
jd是部分可以，很明显一些cdn不行。
qq邮箱看似可以，但丫与安全认证相关的cdn部分不行。
百度，bing都可以，我自建的服务器也ok。



然后是重点测试的从ustc的debian mirror里面wget一个包，现象就如图所示，到传数据的时候卡住了。
但ssh自己的几个服务器却都没问题。

然后抓包分析了一下子，过程如图所示，感觉就是http要传payload的时候被黑洞了...
而且https情况也类似。





最后，完全一样的网络环境，换华为的ap就没问题，我这个小路由器换openwrt的系统也没问题，但如果我要用armbian就是不行...我也换了几个不同版本的内核测试了下，没啥区别。但我没换老一点的内核直接测试iptables的情况。
这尼玛是啥情况啊...无法理解...
感觉像是masquerade被isp检测到然后咔嚓了。也许openwrt有更好的masquerade姿势？？？


【 在 leeyc 的大作中提到: 】
: tcp的协议貌似都正常，没啥问题
: 但是，udp的好像有问题
: 用conntrack -L查看的结果如下
: ...................
--
FROM 114.222.222.*