Перейти к содержимому
0 Голосов

Изменения документа 1. 3x-ui MASSIVE script

Редактировал(а) Anton Krivchenkov 04.06.2026 00:06
От версии 1.1
отредактировано Anton Krivchenkov
на 30.05.2026 23:05
Изменить комментарий: К данной версии нет комментариев
К версии 2.1
отредактировано Anton Krivchenkov
на 30.05.2026 23:05
Изменить комментарий: К данной версии нет комментариев

Сводка

Подробности

Свойства страницы
Содержимое
... ... @@ -1,5 +3,3 @@
1 -
2 -
3 3  # Запуск скрипта
4 4  
5 5   ффыв
... ... @@ -20,7 +20,7 @@
20 20  | **Fail2ban & UFW** | Защита от брутфорса и строгий файрвол. Доступ к админ-панели и SSH ограничен по IP-адресам. |
21 21  | **TrafficGuard** | Блокировка известных IP-адресов сканеров и ботнетов на уровне ядра. |
22 22  
23 --
21 +*
24 24  
25 25  #### 🗺️ Карта сети и портов
26 26  
... ... @@ -35,7 +35,7 @@
35 35  * **UDP 33005:** Транспорт mKCP (Слушает 3x-ui).
36 36  * **TCP {NODE_PORT}:** Прямой доступ к панели 3x-ui (открыт _только_ для IP-адреса балансировщика/админа).
37 37  
38 --
36 +*
39 39  
40 40  **🔒 Внутренние порты (127.0.0.1 / Закрыты снаружи):**
41 41  
... ... @@ -46,26 +46,19 @@
46 46  * **TCP 10809:** HTTP Inbound в 3x-ui для распакованного трафика от NaiveProxy.
47 47  * **TCP 33000-33004:** Локальные порты транспортов Xray (VLESS TCP, XHTTP, gRPC, WS, HTTPUpgrade).
48 48  
49 --
47 +*
50 50  
51 51  #### 🔄 Логика маршрутизации трафика (Flow)
52 52  
53 53  1. **Входящий запрос на TCP 443** попадает в блок Nginx stream.
54 54  1. Nginx проверяет IP клиента по graylist. Если клиент подозрительный — трафик принудительно отправляется на внутренний порт 4443 (и в итоге на сайт-камуфляж).
55 -1.
53 +1. Nginx читает SNI (Server Name Indication) из TLS ClientHello: * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443.
54 +1. Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080).
56 56  
57 -Nginx читает SNI (Server Name Indication) из TLS ClientHello:
58 - * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound).
59 - * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443.
60 -1.
61 -
62 -Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса:
63 - * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui.
64 - * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X.
65 - * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080).
66 -
67 67  -
68 68  
58 +*
59 +
69 69  #### 🛡️ Особые механизмы защиты
70 70  
71 71  * **Fallback-сертификаты:** При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок.