WireGuard 安裝了 2 天就被阻断了，不是说很难被识别吗？

WireGuard 特征很明显

wireguard 很容易被识别，你之前应该理解错了。

wireguard 是 VPN ，只是用来提供加密隧道而已，不能实现伪装

wireguard 在设计时就没有考虑混淆，不知道 OP 是从哪里听说“很难被识别”的？
而且 wireguard 直连 海外本身就几乎属于 worst practice 了，海外线路 UDP 经常被干扰到不怎么可用。你可以考虑在自己建立 tcp 信道之上使用 wireguard

用的好好的

一句 iptables 就能识别

"不是说很难被识别吗" 谁说的？
这协议刚出来，各大防火墙就可以精准识别了

你听谁说的 WireGuard 很难识别的，建议把那人 @出来我们来鞭尸下

WireGuard 的协议特征非常明显，想识别阻断比 ss 还轻松简单

话说有啥 wireguard 混淆握手的办法吗？ eBPF ?

WireGuard 啥时候也没说过很难被识别

要永远明白除了 ss trojan 这一类特色协议外,其他协议都是默认只考虑安全不考虑突破封锁的

WireGuard 不是为了反审查而提出的协议（它解决的问题是简化组网），要防识别建议套一层 udp2raw 之类的混淆

不过我个人一直使用 WireGuard 过墙跑大流量没有被干掉，估计我没有遇到类似的针对性识别？

看到這，我把我在臺灣家中搭建 wireguard 伺服器的經驗分享給 PO 主吧，以下是一些安全措施。我去年七月搭建的現在還能用。每天傳數量有 500G 左右。

1.禁止入方向的 ping 。
-A INPUT -p icmp --icmp-type echo-request -j DROP

2.禁止伺服器回覆 icmp port unreachable 和 host unreachable 訊息。
-A OUTPUT -p icmp --icmp-type port-unreachable -j DROP
-A OUTPUT -p icmp --icmp-type host-unreachable -j DROP

3.禁止伺服器回覆 no listen port 的 tcp reset 訊息（標誌位爲 rst,ack ）
-A OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP

4.儘量不要直接採用 ssh 直接連線管理伺服器。
5.將 port 置於 16384-16389 之間是較好的選擇。

6.萬萬不可使用默認 PORT ，否則 30 秒內連接就會被阻斷。

默认端口秒封，改下端口流量小一点基本无问题

wiregurad 做内网穿透很香，但是科学上网就算了。。。

我搭在 oracle 云上的 wg 也是被封，用 udp2raw 模拟成 tcp 就解决了。

wireguard 很容易识别，只是 vpn ，不是混淆工具，如果要用来扶墙，需要配合其他的东西

大流量的 udp 是个很明亮的灯塔

1. 没有专门做过混淆设计的协议特征都非常明显。
2. 绝大部分 VPN 协议设计目标都是安全性而不是反封锁，也就是不会做混淆设计。
3. 请使用专门做过混淆设计的协议作为信道。

作为传统 VPN ，WireGuard 从设计之初就不是为绕墙伪装而生的