WireGuard 反审查[参考]

WireGuard 不是为了反审查而提出的协议（它解决的问题是简化组网），要防识别建议套一层 udp2raw 之类的混淆

不过我个人一直使用 WireGuard 过墙跑大流量没有被干掉，估计我没有遇到类似的针对性识别？

看到這，我把我在臺灣家中搭建 wireguard 伺服器的經驗分享給 PO 主吧，以下是一些安全措施。我去年七月搭建的現在還能用。每天傳數量有 500G 左右。

1.禁止入方向的 ping 。
-A INPUT -p icmp –icmp-type echo-request -j DROP

2.禁止伺服器回覆 icmp port unreachable 和 host unreachable 訊息。
-A OUTPUT -p icmp –icmp-type port-unreachable -j DROP
-A OUTPUT -p icmp –icmp-type host-unreachable -j DROP

3.禁止伺服器回覆 no listen port 的 tcp reset 訊息（標誌位爲 rst,ack ）
-A OUTPUT -p tcp –tcp-flags ALL RST,ACK -j DROP

4.儘量不要直接採用 ssh 直接連線管理伺服器。
5.將 port 置於 16384-16389 之間是較好的選擇。

6.萬萬不可使用默認 PORT ，否則 30 秒內連接就會被阻斷。