IP泄露防护完整指南：翻墙时保护你的真实IP

WebRTC是浏览器实现视频通话、P2P文件传输的API。WebRTC使用STUN协议来发现自己的公网IP——这个过程绕过了代理服务器，即使你开着VPN，浏览器也可能通过WebRTC暴露你的真实IP。

检测WebRTC泄露：访问 browserleaks.com/webrtc，查看是否显示你的真实公网IP（而不是VPN/代理的IP）。

修复方法：

Firefox：在地址栏输入 about:config -> 搜索 media.peerconnection.enabled -> 将值改为 false（禁用WebRTC）

Chrome/Chromium：安装扩展「WebRTC Network Limiter」（Google官方）或「uBlock Origin」（在设置中启用WebRTC阻止选项）

移动设备（Android）：使用Firefox浏览器并安装uBlock Origin扩展。Chrome for Android无法通过扩展阻止WebRTC。

Kill Switch是指VPN连接断开时，自动切断网络连接（防止在VPN断线的瞬间，真实IP通过正常网络暴露）。

大多数VPN客户端的Kill Switch：在客户端设置中找到「Kill Switch」或「Internet Kill Switch」选项，启用后VPN断连时所有流量被阻断。

使用iptables实现Kill Switch（在自建VPN时）：

# 只允许通过VPN接口（wg0）的流量
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i wg0 -j ACCEPT
iptables -A OUTPUT -o wg0 -j ACCEPT
# 允许连接VPN服务器（需要先建立WireGuard隧道）
iptables -A OUTPUT -p udp -d VPS_IP --dport 51820 -j ACCEPT

这个配置确保只有WireGuard接口（wg0）上的流量可以通过，VPN断开时自动阻断所有流量。

即使你的IP完全隐藏，浏览器指纹可以用来追踪你：

• 屏幕分辨率、系统字体、浏览器版本、安装的插件组合，在统计上具有唯一性
• Canvas指纹：HTML5的Canvas API在不同设备上渲染结果有细微差异，用于识别设备
• AudioContext指纹：Web Audio API的处理结果有设备特异性

检测浏览器指纹唯一性：访问 coveryourtracks.eff.org（EFF提供的浏览器指纹测试）

防御方案：

• Tor浏览器：所有用户使用相同的窗口大小和设置，指纹一致，无法区分个体用户。
• Mullvad Browser：专门抵抗浏览器指纹的Firefox变体，与Mullvad VPN无关联，可以与任何VPN配合使用。
• Firefox + arkenfox user.js：社区维护的Firefox隐私配置，减少大量指纹特征。

每次设置新的翻墙环境，按以下步骤验证：

1. 访问 whatismyip.com — 显示的IP应该是VPS/代理的IP，不是你的本地IP
2. 访问 dnsleaktest.com — 扩展测试，所有DNS服务器应该是境外IP
3. 访问 browserleaks.com/webrtc — 不应该显示你的真实IP
4. 访问 browserleaks.com/ip — 检查HTTP头部是否泄露真实IP
5. 访问 coveryourtracks.eff.org — 检查浏览器指纹唯一性

所有测试通过后，你的翻墙环境才算配置正确。建议每次更新VPN/代理配置后重复此清单。