@zro DHCP Relay 单用不能实现 IPv6 中继，还需要 NDP Proxy 。

因为 iptables 在这里只是起到一个 NAT 的作用，指定从 eth8 出去的数据包需要进行 IP 伪装。
具体数据包的流向，还是由路由表负责的。

汗，写了这么多突然发现搞错了，还有个 A 网卡...

如果没有 A 网卡的话，我这个配置是没问题的。
有 A 网卡的话，就需要按照上面其它网友说的那样配置策略路由了。但是你这个 iptables 的配置应该是没有问题不需要改的。

补充一下，配置正确的话路由表里应该有这样几个条目：
网段 掩码 下一跳 接口
0.0.0.0 0.0.0.0(默认路由) 192.168.33.254 eth8
172.16.20.0 255.255.255.0 0.0.0.0(直连) eth7
192.168.33.0 255.255.255.0 0.0.0.0(直连) eth8

如果两个网卡上都有默认路由那就是配置错了。

如果不是纯手动命令配置，而是使用了某些网络配置工具（图形界面或者配置文件的），注意 eth7 （内网网卡 172 网段）上面应该只配置相应的 IP 地址，“默认网关”必须留空不配置。eth8 （ 192 外网网段）配置相应的 IP 地址，同时“默认网关”设置成下一跳 192.168.33.254 。

这个 iptable 的 NAT 设置应该没有问题
检查一下：
1. 路由表是否正确？检查路由表里面默认路由是不是从 192.那个接口出去的。如果有问题的话就要修改网络设置，172.那个网卡应该只配置 IP 不配置网关。
2. 有没有启用 IP 转发功能？命令 sysctl net.ipv4.ip_forward 输出 1 才算成功。如果输出 0 的话就要修改配置，命令 sysctl -w net.ipv4.ip_forward=1 可临时启用，要永久启用还要修改 sysctl 相关配置文件。

@wazon Relay 模式实现的透传，肯定是会改 MAC 的。应该能起到伪装 MAC 的作用。而且 traceroute 里会多路由器一跳。

如果是 NETGEAR 这种真透传，就不会改 MAC，traceroute 里也看不到路由器。

题外话，其实 IPv6 有防火墙的情况，也可以沿用以前的 NAT UDP 打洞设施来实现穿透防火墙 P2P 通信，而且成功率比穿透 NAT 更高，因为不存在某些特殊类型 NAT 打不了洞的情况。

说一下目前我知道的：

华硕(ASUS)路由器：支持 IPv6 防火墙开关和自定义放行规则； IPv6 模式里有"Passthrough"但实际上是 Relay 模式（即不是真的透传，而是通过 NDP Proxy 来实现同前缀的不同子网的联通），使用 6relayd 实现，不太稳定。（目前通过 Relay 实现 IPv6 透传只有两种方案，一种是不太稳定的 6relayd，另一种是新版 OpenWRT 专用的 odhcpd，后者比较稳定）

网件(NETGEAR)路由器：支持 Passthrough 模式（真透传，非 Relay ）；不支持防火墙配置，IPv6 标准模式下禁止传入连接，Passthrough 模式下无防火墙。

TP-Link：新固件才支持 IPv6 。支持 IPv6 透传（固件里称为“桥模式”）。应该不支持防火墙配置。

@zxc1234 “监视器”是 monitor 这一词的直译，放在这里不容易理解是什么意思。
“管程”是专有名词，特指某些编程语言内建的一种互斥同步机制（相关知识在市面上的操作系统教材中都有描述）。
所以 Java 中的 monitor 应译为管程，更加准确。

同款路由，不过我用的是原版 OpenWRT 系统，个人觉得 OpenWRT 比较干净可靠，而且性能也不赖（ mt7621 NAT 加速已经并进 Linux 主线内核，有线随便跑），无线稍差一些（协商 866Mbps 实际速度 200~300Mbps ）但是影响不大。

高恪系统现在支持 ipv6 吗？现在很多地区家庭宽带都能用 ipv6 了，所有内网设备都有公网 ipv6，配合支持 v6 的 ddns 可以免转发访问家中设备。

端口的话，路由器防火墙打开（华硕、Openwrt 默认开启防火墙，可配置；网件防火墙强制开启不可配置），默认就是禁止所有入站连接的，不用担心安全性。

别的都还行，但是“scp 命令方便”？

用鼠标把文件从 explorer 里往 WinSCP 里一拖，不香吗？

@Immortal 现在 Linux 里反而是 N 卡方便。如果是 Ubuntu 的话，不需要手动下载（反而容易 GG ），直接用 apt 或者“附加驱动”装，笔记本双显卡还会自动激活 nvidia-prime （新版 ubuntu 已经不再推荐且默认不兼容 bumblebee ）。而且 N 卡 Linux 闭源驱动其实质量很高，安装成功后基本上没有性能问题。
而 A 卡的话就比较难搞了，Linux 对于 A 卡新卡(GCN)有 amdgpu 开源驱动，但是功能和性能有限，如果要装 amdgpu-pro 闭源驱动，又很麻烦；如果是旧卡就更坑了，amdgpu 驱动不兼容，只能用旧的性能不佳的 radeon 驱动，且以前的 fglrx 闭源驱动目前已经完全无法使用了。

建议插一张 N 卡做亮机卡，manjaro 支持 N 卡傻瓜安装，启动的时候选择 non-free 模式可以自动加载 N 卡闭源官方驱动

@Osk 不过楼主用的 CentOS，还真有可能有这种问题。CentOS 不像平时用的 Ubuntu，它里面软件版本比较旧。

@Osk 现在的 Linux 基本不存在这种问题，Linux 下的 NTFS 驱动早就加入了检测 Windows 休眠状态的功能，Windows 休眠或者开启快速启动的情况下会拒绝挂载相应的分区（而且有相当精准的错误提示：Windows is hibernated, refused to mount.）。除非作死命令行加参数强行挂载，不太可能出现误操作破坏文件系统的情况的。Linux 也不是什么“不食人间烟火”的系统，它对这种常见情况是 aware 的。

另外 EFI 系统分区也没有问题，Windows 正常运行的情况下是不挂载 EFI 系统分区的。

清除一下 chrome 的所有站点权限设置（恢复到默认的 flash 需要手工激活的状态）试试

@realpg 现在各大浏览器（包括 chrome,firefox 等）都还是支持 flash 的，只是需要手动激活。2020 年以后才会彻底禁用 flash