Tailscale 策略路由配合搬瓦工比 v2 睿好吗？

流量大就掐，管你什么加密流量

主要的限制可能是 UDP 限速吧，不太清楚。

Wireguard 特征明显，更容易被识别

1.WireGuard 是一用路。相於 v2 ，它可以（ OSI 模中） 3-7 乎所有的文，不像 v2 一只能 TCP 、UDP 。
2.前不具有按照 IP 位址分流的功能，法原版 WireGuard Protocol 中的按 Routing Table 分流的功能。
3.可以通修改其默配置（位於 /etc/default/tailscaled ）更 Port ，也可以配合 iptables 不入 Tailscale 就法主的目的。如果通它伺服器的白名，那可以比任何措施都不做蔽的多，而你所想要的目的。

如果要通它白名的目的，那大致的就成（指 iptables ）

入站：
允 tailscale0 配器
tcp 文
udp 部分文
部分 icmp 文

相於原版 WireGuard Protocol ，它有一好，那就是一伺服器被在外面法直接了，那可以走官方提供的伺服器中，算是有保底措施。

我把我自己所用的拿上 PO 主提供考好了，是放在配置中的，不用於命令形式入。

# 允本地回和 tailscale 配器
-A INPUT -i lo -j ACCEPT
-A INPUT -i tailscale0 -j ACCEPT
# 允伺服器主出的相包入
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# TCP 白名 IP address
-A INPUT -p tcp -s 173.245.48.0/20 -j ACCEPT
-A INPUT -p tcp -s 103.21.244.0/22 -j ACCEPT
-A INPUT -p tcp -s 103.22.200.0/22 -j ACCEPT
-A INPUT -p tcp -s 103.31.4.0/22 -j ACCEPT
-A INPUT -p tcp -s 141.101.64.0/18 -j ACCEPT
-A INPUT -p tcp -s 108.162.192.0/18 -j ACCEPT
-A INPUT -p tcp -s 190.93.240.0/20 -j ACCEPT
-A INPUT -p tcp -s 188.114.96.0/20 -j ACCEPT
-A INPUT -p tcp -s 197.234.240.0/22 -j ACCEPT
-A INPUT -p tcp -s 198.41.128.0/17 -j ACCEPT
-A INPUT -p tcp -s 162.158.0.0/15 -j ACCEPT
-A INPUT -p tcp -s 104.16.0.0/13 -j ACCEPT
-A INPUT -p tcp -s 104.24.0.0/14 -j ACCEPT
-A INPUT -p tcp -s 172.64.0.0/13 -j ACCEPT
-A INPUT -p tcp -s 131.0.72.0/22 -j ACCEPT
# 不在白名中的一律
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -j DROP
# 禁止 udp traceroute
-A INPUT -p udp --dport 33434:33689 -j DROP
# 允其他 udp 通
-A INPUT -p udp -j ACCEPT
禁止 icmp 的 ping 、timestamp 、traceroute 等相求
-A INPUT -p icmp --icmp-type 8 -j DROP
-A INPUT -p icmp --icmp-type 11 -j DROP
-A INPUT -p icmp --icmp-type 13 -j DROP
-A INPUT -p icmp --icmp-type 14 -j DROP
-A INPUT -p icmp --icmp-type 30 -j DROP
-A INPUT -p icmp --icmp-type 42 -j DROP
-A INPUT -p icmp -j ACCEPT

如需通直接的方式使用，移除。

有一个更本质的区别是传输层，前者的传输层依然是端到端的，后者的传输层是分成两段中转的。后者在速率控制的反馈、连接建立的时延上都明显好于前者这类基于 VPN 的技术。

我用的是这个，好像连的特别慢，连上等两三分钟后网才通