隐藏Wireguard端口有意义吗？

Question

我有台服务器在运行Wireguard。作为一个安全偏执狂，我使用fwknop (防火墙敲门操作员-一个光荣的端口敲门服务器)来隐藏Wireguard端口。

这意味着，每当我想将我的客户端连接到Wireguard服务器时，首先需要使用fwknop客户端打开服务器上的Wireguard端口(通过iptables via)，然后连接到Wireguard。

我开始怀疑这是否真的有必要，因为Wireguard放弃了无效的尝试，黑客也得不到任何反馈。因此，使用fwknop或任何其他端口敲门服务都是无用的(至少对Wireguard来说是如此)。当然，它可以也是对其他服务有用)。

用端口敲门来隐藏Wireguard有意义吗？

Answer 1

由于端口扫描不会在wireguard上工作(这只是一个UDP lister)和所有无效的数据包被丢弃，端口敲门将是一个极端偏执的东西在这里。

我不建议在任何商业环境中使用端口敲门，因为它在设计上存在缺陷(由于隐秘而安全)，而不是真正的“安全”解决方案。但这只是我的观点，我知道一些(奇怪的)管理员放弃了2FA为诺克斯。