Изменения документа 1. 3x-ui MASSIVE script
Редактировал(а) Anton Krivchenkov 04.06.2026 00:06
От версии 1.1
отредактировано Anton Krivchenkov
на 30.05.2026 23:05
на 30.05.2026 23:05
Изменить комментарий:
К данной версии нет комментариев
К версии 4.1
отредактировано Anton Krivchenkov
на 30.05.2026 23:05
на 30.05.2026 23:05
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (1 изменено, 0 добавлено, 0 удалено)
-
Вложения (0 изменено, 1 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Содержимое
-
... ... @@ -1,8 +3,6 @@ 1 - 2 - 3 3 # Запуск скрипта 4 4 5 - ффыв3 + curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.1' | sudo bash 6 6 7 7 # ПРО Скрипт 8 8 ... ... @@ -20,7 +20,7 @@ 20 20 | **Fail2ban & UFW** | Защита от брутфорса и строгий файрвол. Доступ к админ-панели и SSH ограничен по IP-адресам. | 21 21 | **TrafficGuard** | Блокировка известных IP-адресов сканеров и ботнетов на уровне ядра. | 22 22 23 - -21 +* 24 24 25 25 #### 🗺️ Карта сети и портов 26 26 ... ... @@ -34,9 +34,8 @@ 34 34 * **TCP 7443:** Админ-панель B4 DPI Bypass (Nginx Auth). 35 35 * **UDP 33005:** Транспорт mKCP (Слушает 3x-ui). 36 36 * **TCP {NODE_PORT}:** Прямой доступ к панели 3x-ui (открыт _только_ для IP-адреса балансировщика/админа). 35 +* 37 37 38 -- 39 - 40 40 **🔒 Внутренние порты (127.0.0.1 / Закрыты снаружи):** 41 41 42 42 * **TCP 4443:** Внутренний HTTP-блок Nginx (обработка WebSocket, gRPC, XHTTP). ... ... @@ -45,27 +45,19 @@ 45 45 * **TCP 7000:** Процессор B4 DPI. 46 46 * **TCP 10809:** HTTP Inbound в 3x-ui для распакованного трафика от NaiveProxy. 47 47 * **TCP 33000-33004:** Локальные порты транспортов Xray (VLESS TCP, XHTTP, gRPC, WS, HTTPUpgrade). 45 +* 48 48 49 -- 50 - 51 51 #### 🔄 Логика маршрутизации трафика (Flow) 52 52 53 53 1. **Входящий запрос на TCP 443** попадает в блок Nginx stream. 54 54 1. Nginx проверяет IP клиента по graylist. Если клиент подозрительный — трафик принудительно отправляется на внутренний порт 4443 (и в итоге на сайт-камуфляж). 55 -1. 51 +1. Nginx читает SNI (Server Name Indication) из TLS ClientHello: * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443. 52 +1. Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080). 56 56 57 -Nginx читает SNI (Server Name Indication) из TLS ClientHello: 58 - * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). 59 - * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443. 60 -1. 54 +* 61 61 62 -Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: 63 - * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. 64 - * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. 65 - * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080). 56 +* 66 66 67 -- 68 - 69 69 #### 🛡️ Особые механизмы защиты 70 70 71 71 * **Fallback-сертификаты:** При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок.
- 3x_massive_script.sh
-
- Автор
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.Anton_Krivchenkov - Размер
-
... ... @@ -1,0 +1,1 @@ 1 +65.8 KB - Содержимое