kingwilliam

我用搬瓦工（美國ip）都有幾年時間，可能我用量低 ，真係未封過

但安全一定要做足
- v2要在haproxy/nginx/caddy 後
- 一定要有tls（但最好不要用let's encrypt）
- 不要用tcp/websocket, 要轉h2/grpc
- 要防止loopback(即不要給server連接國內服務 如wechat qq)

補充以上幾點
- 用得web server 即一定要有真domain name
- 我自簽証書都用過一段長時間 都唔覺有問題 但現在是用 買証書
- 就是早前所講 tls over tls出事,所以不能用 tcp和ws
- 正常情況下 唔應該有外國server ip連接wechat qq, 即等同話比gfw知 我在翻牆

kingwilliam

- 因 牆 已開始能夠識別 tls over tls, 所以已有回報 CDN 也過不了,
- 今天國內 IPV4 + port = 實名認証, 但 IPV6 已等同實名認証
- 但今天這個 IPV6 架構本身就是有問題, 所以為何IPV6已定案這麼久還是推不動

• 當然生產家用router公司是最不想配合, 因今天 "ipv4 家用router正名應該是 NAT ROUTER", "CISCO 那些應該叫 IP Router", NAT router 已發展成熟, 如要生產商 "砍掉nat router 重練 ip router" 不如退出市場.
  

- 至于 阿爺 會否提早斷網? 我返而怕美國佬比阿爺更早.(又係 阿爺需要美國佬多D, 還是美國佬需要阿爺多D)

kingwilliam

回復 10# slemon


    兩年前就已經想轉去xray, 但我server 是 haproxy+v2, 設定要client cert做分流, 但發現xray是不支援client cert(但v2可以), 我都在xray discussions那邊問過, RPRX大神也直接回答我 不支援. 所以到今天xray client cert 也只是 WIP(進行中).....


題外話: 當日在telegram xray同他們對話過, 他們問 為何要用 client cert? 我話要用 client cert做分流(類似今天 fallback 功能), 他們就回答 UUID 也能做到 所以暫不會張client cert功能補上.......