Изменения документа 1. 3x-ui MASSIVE script
Редактировал(а) Anton Krivchenkov 04.06.2026 00:06
От версии 4.2
отредактировано Anton Krivchenkov
на 30.05.2026 23:05
на 30.05.2026 23:05
Изменить комментарий:
К данной версии нет комментариев
К версии 1.1
отредактировано Anton Krivchenkov
на 30.05.2026 23:05
на 30.05.2026 23:05
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (1 изменено, 0 добавлено, 0 удалено)
-
Вложения (0 изменено, 0 добавлено, 1 удалено)
Подробности
- Свойства страницы
-
- Содержимое
-
... ... @@ -1,34 +1,9 @@ 1 + 2 + 1 1 # Запуск скрипта 2 2 3 - curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.1' | sudo bash5 + ффыв 4 4 5 -### Как правильно обрабатывать UDP 443 (Hysteria2 / QUIC) 6 - 7 -Поскольку в твоем конфиге Nginx слушает listen 443; (по умолчанию это подразумевает только TCP), порт **UDP 443 остается свободным** на уровне операционной системы хоста. 8 - 9 -Лучший и самый производительный паттерн: 10 - 11 -* **TCP 443:** Оставь за Nginx (твой текущий конфиг). Он будет разбирать SNI и раскидывать трафик по бэкендам. 12 -* **UDP 443:** Настрой твой VPN-бэкенд (например, 3x-ui для Hysteria2) так, чтобы он напрямую слушал 0.0.0.0:443 по протоколу UDP. Они с Nginx не подерутся за порты, так как протоколы разные. 13 - 14 -- 15 - 16 -### Если всё-таки очень нужно проксировать UDP через Nginx 17 - 18 -Если твой бэкенд находится на другой машине (например, на 192.168.1.121) и у нее вообще нет внешнего IP для прямого прослушивания UDP, тебе придется создать **отдельный** блок server. 19 - 20 -Но помни: маршрутизировать UDP по доменам (SNI) в Nginx нельзя. Весь UDP-трафик с порта 443 придется отправлять строго на один конкретный IP: 21 - 22 - # Отдельный блок для 'глупого' проброса всего UDP 443 23 - server { 24 - listen 443 udp; 25 - listen [::]:443 udp; 26 - 27 - # ssl_preread здесь не работает. 28 - # Весь UDP трафик летит на указанный бэкенд. 29 - proxy_pass 192.168.1.121:443; 30 - } 31 - 32 32 # ПРО Скрипт 33 33 34 34 Скрипт представляет собой ультимативное решение для автоматизированного развертывания комбайна по обходу систем глубокой инспекции пакетов (DPI/ТСПУ). Основой служит панель **3x-ui** (ядро Xray), спрятанная за мультиплексором **Nginx** и защищенная эшелонированной системой безопасности. Дополнительно интегрированы **NaiveProxy** для маскировки под обычный браузерный трафик и **B4 DPI Bypass** для фрагментации пакетов. ... ... @@ -45,7 +45,7 @@ 45 45 | **Fail2ban & UFW** | Защита от брутфорса и строгий файрвол. Доступ к админ-панели и SSH ограничен по IP-адресам. | 46 46 | **TrafficGuard** | Блокировка известных IP-адресов сканеров и ботнетов на уровне ядра. | 47 47 48 - *23 +- 49 49 50 50 #### 🗺️ Карта сети и портов 51 51 ... ... @@ -59,8 +59,9 @@ 59 59 * **TCP 7443:** Админ-панель B4 DPI Bypass (Nginx Auth). 60 60 * **UDP 33005:** Транспорт mKCP (Слушает 3x-ui). 61 61 * **TCP {NODE_PORT}:** Прямой доступ к панели 3x-ui (открыт _только_ для IP-адреса балансировщика/админа). 62 -* 63 63 38 +- 39 + 64 64 **🔒 Внутренние порты (127.0.0.1 / Закрыты снаружи):** 65 65 66 66 * **TCP 4443:** Внутренний HTTP-блок Nginx (обработка WebSocket, gRPC, XHTTP). ... ... @@ -69,18 +69,27 @@ 69 69 * **TCP 7000:** Процессор B4 DPI. 70 70 * **TCP 10809:** HTTP Inbound в 3x-ui для распакованного трафика от NaiveProxy. 71 71 * **TCP 33000-33004:** Локальные порты транспортов Xray (VLESS TCP, XHTTP, gRPC, WS, HTTPUpgrade). 72 -* 73 73 49 +- 50 + 74 74 #### 🔄 Логика маршрутизации трафика (Flow) 75 75 76 76 1. **Входящий запрос на TCP 443** попадает в блок Nginx stream. 77 77 1. Nginx проверяет IP клиента по graylist. Если клиент подозрительный — трафик принудительно отправляется на внутренний порт 4443 (и в итоге на сайт-камуфляж). 78 -1. Nginx читает SNI (Server Name Indication) из TLS ClientHello: * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443. 79 -1. Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080). 55 +1. 80 80 81 -* 82 -* 57 +Nginx читает SNI (Server Name Indication) из TLS ClientHello: 58 + * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). 59 + * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443. 60 +1. 83 83 62 +Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: 63 + * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. 64 + * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. 65 + * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080). 66 + 67 +- 68 + 84 84 #### 🛡️ Особые механизмы защиты 85 85 86 86 * **Fallback-сертификаты:** При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок.
- 3x_massive_script.sh
-
- Автор
-
... ... @@ -1,1 +1,0 @@ 1 -XWiki.Anton_Krivchenkov - Размер
-
... ... @@ -1,1 +1,0 @@ 1 -65.8 KB - Содержимое