笔记本一台配置如下：

minipc主机配置如下：(cpu是r7-5800u)

首先主路由的防火墙要屏蔽局域网内的6672端口，很多家用路由没有这种功能（它们的防火墙能设定比较简单，大多是本地主机向远程特定端口访问封闭/放行的这种策略）。所以我采用了这种铁壳路由器，防火墙策略比较灵活。旁路由系统是openwrt的，主要是用来加速局域网内用户到r星的服务器tcp连接的。电信的外网不行，直接裸连可能连在线模式都进不去。
其次，二者要配合工作，旁路由要对局域网用户到r星服务器tcp进行加速。同时要放行6672，61455-61457端口，防止加速到局域网6672等端口（会主路由防火墙无法过滤）。

最后就是测试了。测试标准是：公网用户不能加入这个战局，而局域网用户可以加入。

最坑的环节就是测试了，因为r星官网明明白白写着联机用的端口除了6672，还有61455-61458。但是后面四个端口能不能全封锁呢？这就需要测试了。方法是控制变量法：
实验1：只封闭6672，发现还能加入外网的公开战局，失败。
实验2：上述端口全部封闭，发现两个在线设备的玩家显示相互离线，失败。
实验3：在实验2基础上放行61458端口，与实验2相比home菜单里面显示对方玩家在线了，但是esc菜单里面玩家不在线。还是不成功。
实验4：在实验3基础上放行61457端口，发现此次esc菜单也显示对方玩家在线，也能加入对方战局。此外也能接收公网游戏邀请，但是无法加入对方战局，说明当前战局外网无法加入。成功。
结论：需要卡永久单人战局需要卡6672，61455，61456端口封闭。

最后一个成功实验的示例：

两个设备nat类型检测端口被封闭。


主路由acl命令
sys
acl advanced 3000
rule 0 deny udp destination-port eq 6672
rule 1 deny udp source-port eq 6672
rule 2 deny udp destination-port eq 61455
rule 3 deny udp source-port eq 61455
rule 4 deny udp destination-port eq 61456
rule 5 deny udp source-port eq 61456
exit
int vlan1
packet-filter 3000 inbound
packet-filter 3000 outbound
exit