1
yaott2020 2022-11-07 10:53:12 +08:00 via Android
流量大就掐,管你什么加密流量
|
2
bao3 2022-11-07 12:44:42 +08:00
主要的限制可能是 UDP 限速吧,不太清楚。
|
3
docx 2022-11-07 14:31:30 +08:00 via iPhone 2
Wireguard 特征明显,更容易被识别
|
4
a8Fy37XzWf70G0yW 2022-11-07 20:32:02 +08:00 1
1.WireGuard 是一個虛擬專用網路。相較於 v2 ,它可以轉發( OSI 模組中) 3-7 層幾乎所有的報文,不像 v2 一樣只能轉發 TCP 、UDP 。
2.當前不具有按照 IP 位址分流的功能,無法實現原版 WireGuard Protocol 中的按 Routing Table 分流的功能。 3.可以通過修改其默認配置(位於 /etc/default/tailscaled )更換 Port ,也可以配合 iptables 來實現不連入 Tailscale 就無法訪問主機的目的。如果通過它來實現伺服器的白名單,那確實可以比任何措施都不做隱蔽的多,從而實現你所想要的目的。 |
5
a8Fy37XzWf70G0yW 2022-11-07 20:35:54 +08:00 1
如果要通過它來實現白名單的目的,那規則大致的結構就會變成這樣(指 iptables )
入站: 允許 tailscale0 適配器 丟棄 tcp 報文 丟棄 udp 部分報文 丟棄部分 icmp 報文 |
6
a8Fy37XzWf70G0yW 2022-11-07 20:37:38 +08:00 1
相較於原版 WireGuard Protocol ,它有一點好處,那就是萬一伺服器被擋在外面無法直接連線了,那還可以走官方提供的伺服器中繼,算是有保底措施。
|
7
a8Fy37XzWf70G0yW 2022-11-08 09:53:55 +08:00 1
我把我自己所用的規則拿上來給 PO 主提供參考好了,是放在配置檔中的,不適用於命令形式輸入。
# 允許本地環回和 tailscale 適配器 -A INPUT -i lo -j ACCEPT -A INPUT -i tailscale0 -j ACCEPT # 允許伺服器主動發出的連線相關數據包進入 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # TCP 白名單 IP address -A INPUT -p tcp -s 173.245.48.0/20 -j ACCEPT -A INPUT -p tcp -s 103.21.244.0/22 -j ACCEPT -A INPUT -p tcp -s 103.22.200.0/22 -j ACCEPT -A INPUT -p tcp -s 103.31.4.0/22 -j ACCEPT -A INPUT -p tcp -s 141.101.64.0/18 -j ACCEPT -A INPUT -p tcp -s 108.162.192.0/18 -j ACCEPT -A INPUT -p tcp -s 190.93.240.0/20 -j ACCEPT -A INPUT -p tcp -s 188.114.96.0/20 -j ACCEPT -A INPUT -p tcp -s 197.234.240.0/22 -j ACCEPT -A INPUT -p tcp -s 198.41.128.0/17 -j ACCEPT -A INPUT -p tcp -s 162.158.0.0/15 -j ACCEPT -A INPUT -p tcp -s 104.16.0.0/13 -j ACCEPT -A INPUT -p tcp -s 104.24.0.0/14 -j ACCEPT -A INPUT -p tcp -s 172.64.0.0/13 -j ACCEPT -A INPUT -p tcp -s 131.0.72.0/22 -j ACCEPT # 不在白名單中的一律丟棄 -A INPUT -m state --state INVALID -j DROP -A INPUT -p tcp -j DROP # 禁止 udp traceroute -A INPUT -p udp --dport 33434:33689 -j DROP # 允許其他 udp 通過 -A INPUT -p udp -j ACCEPT 禁止 icmp 的 ping 、timestamp 、traceroute 等相關請求 -A INPUT -p icmp --icmp-type 8 -j DROP -A INPUT -p icmp --icmp-type 11 -j DROP -A INPUT -p icmp --icmp-type 13 -j DROP -A INPUT -p icmp --icmp-type 14 -j DROP -A INPUT -p icmp --icmp-type 30 -j DROP -A INPUT -p icmp --icmp-type 42 -j DROP -A INPUT -p icmp -j ACCEPT |
8
a8Fy37XzWf70G0yW 2022-11-08 09:55:55 +08:00
如需通過直接複製的方式使用,請移除註釋。
|
9
tavimori 2022-11-08 16:25:14 +08:00 1
有一个更本质的区别是传输层,前者的传输层依然是端到端的,后者的传输层是分成两段中转的。后者在速率控制的反馈、连接建立的时延上都明显好于前者这类基于 VPN 的技术。
|
10
dream7758522 2022-11-08 20:09:18 +08:00 via Android 1
我用的是这个,好像连的特别慢,连上等两三分钟后网才通
|