Tailscale 策略路由配合搬瓦工比 v2 睿好吗?

2022-11-07 10:32:50 +08:00
 59973
如题,然后是不是侦测不到就封的慢?

这样有什么效果?
2689 次点击
所在节点    宽带症候群
10 条回复
yaott2020
2022-11-07 10:53:12 +08:00
流量大就掐,管你什么加密流量
bao3
2022-11-07 12:44:42 +08:00
主要的限制可能是 UDP 限速吧,不太清楚。
docx
2022-11-07 14:31:30 +08:00
Wireguard 特征明显,更容易被识别
a8Fy37XzWf70G0yW
2022-11-07 20:32:02 +08:00
1.WireGuard 是一個虛擬專用網路。相較於 v2 ,它可以轉發( OSI 模組中) 3-7 層幾乎所有的報文,不像 v2 一樣只能轉發 TCP 、UDP 。
2.當前不具有按照 IP 位址分流的功能,無法實現原版 WireGuard Protocol 中的按 Routing Table 分流的功能。
3.可以通過修改其默認配置(位於 /etc/default/tailscaled )更換 Port ,也可以配合 iptables 來實現不連入 Tailscale 就無法訪問主機的目的。如果通過它來實現伺服器的白名單,那確實可以比任何措施都不做隱蔽的多,從而實現你所想要的目的。
a8Fy37XzWf70G0yW
2022-11-07 20:35:54 +08:00
如果要通過它來實現白名單的目的,那規則大致的結構就會變成這樣(指 iptables )

入站:
允許 tailscale0 適配器
丟棄 tcp 報文
丟棄 udp 部分報文
丟棄部分 icmp 報文
a8Fy37XzWf70G0yW
2022-11-07 20:37:38 +08:00
相較於原版 WireGuard Protocol ,它有一點好處,那就是萬一伺服器被擋在外面無法直接連線了,那還可以走官方提供的伺服器中繼,算是有保底措施。
a8Fy37XzWf70G0yW
2022-11-08 09:53:55 +08:00
我把我自己所用的規則拿上來給 PO 主提供參考好了,是放在配置檔中的,不適用於命令形式輸入。

# 允許本地環回和 tailscale 適配器
-A INPUT -i lo -j ACCEPT
-A INPUT -i tailscale0 -j ACCEPT
# 允許伺服器主動發出的連線相關數據包進入
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# TCP 白名單 IP address
-A INPUT -p tcp -s 173.245.48.0/20 -j ACCEPT
-A INPUT -p tcp -s 103.21.244.0/22 -j ACCEPT
-A INPUT -p tcp -s 103.22.200.0/22 -j ACCEPT
-A INPUT -p tcp -s 103.31.4.0/22 -j ACCEPT
-A INPUT -p tcp -s 141.101.64.0/18 -j ACCEPT
-A INPUT -p tcp -s 108.162.192.0/18 -j ACCEPT
-A INPUT -p tcp -s 190.93.240.0/20 -j ACCEPT
-A INPUT -p tcp -s 188.114.96.0/20 -j ACCEPT
-A INPUT -p tcp -s 197.234.240.0/22 -j ACCEPT
-A INPUT -p tcp -s 198.41.128.0/17 -j ACCEPT
-A INPUT -p tcp -s 162.158.0.0/15 -j ACCEPT
-A INPUT -p tcp -s 104.16.0.0/13 -j ACCEPT
-A INPUT -p tcp -s 104.24.0.0/14 -j ACCEPT
-A INPUT -p tcp -s 172.64.0.0/13 -j ACCEPT
-A INPUT -p tcp -s 131.0.72.0/22 -j ACCEPT
# 不在白名單中的一律丟棄
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -j DROP
# 禁止 udp traceroute
-A INPUT -p udp --dport 33434:33689 -j DROP
# 允許其他 udp 通過
-A INPUT -p udp -j ACCEPT
禁止 icmp 的 ping 、timestamp 、traceroute 等相關請求
-A INPUT -p icmp --icmp-type 8 -j DROP
-A INPUT -p icmp --icmp-type 11 -j DROP
-A INPUT -p icmp --icmp-type 13 -j DROP
-A INPUT -p icmp --icmp-type 14 -j DROP
-A INPUT -p icmp --icmp-type 30 -j DROP
-A INPUT -p icmp --icmp-type 42 -j DROP
-A INPUT -p icmp -j ACCEPT
a8Fy37XzWf70G0yW
2022-11-08 09:55:55 +08:00
如需通過直接複製的方式使用,請移除註釋。
tavimori
2022-11-08 16:25:14 +08:00
有一个更本质的区别是传输层,前者的传输层依然是端到端的,后者的传输层是分成两段中转的。后者在速率控制的反馈、连接建立的时延上都明显好于前者这类基于 VPN 的技术。
dream7758522
2022-11-08 20:09:18 +08:00
我用的是这个,好像连的特别慢,连上等两三分钟后网才通

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/893228

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX