Изменения документа 1. 3x-ui MASSIVE script

Сводка

• Свойства страницы (1 изменено, 0 добавлено, 0 удалено)
• Вложения (0 изменено, 1 добавлено, 0 удалено)
  • 3x_massive_script.sh

Подробности

Свойства страницы

Содержимое

...	...	@@ -1,6 +1,6 @@
1	1	# Запуск скрипта
2	2
3		- curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.1' | sudo bash
	3	+ curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.10' | sudo bash
4	4
5	5	### Как правильно обрабатывать UDP 443 (Hysteria2 / QUIC)
6	6
...	...	@@ -10,7 +10,6 @@
10	10
11	11	* **TCP 443:** Оставь за Nginx (твой текущий конфиг). Он будет разбирать SNI и раскидывать трафик по бэкендам.
12	12	* **UDP 443:** Настрой твой VPN-бэкенд (например, 3x-ui для Hysteria2) так, чтобы он напрямую слушал 0.0.0.0:443 по протоколу UDP. Они с Nginx не подерутся за порты, так как протоколы разные.
13		-
14	14	*
15	15
16	16	### Если всё-таки очень нужно проксировать UDP через Nginx
...	...	@@ -86,3 +86,83 @@
86	86	* **Fallback-сертификаты:** При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок.
87	87	* **DPI-Detector:** Скрипт (через awk) парсит suspicious.log Nginx'а в реальном времени. Если один IP-адрес ошибается 3 раза (обращается к камуфляжу или стучится не по тем путям), он автоматически заносится в graylist.conf, и Nginx перезагружается.
88	88	* **Маскировка Naive:** В конфигурацию Caddy добавлена директива probe_resistance secret.localhost, которая защищает порт 2053 от активного прощупывания сканерами.
	88	+
	89	+# NetPlan - поднимаем интерфейсы
	90	+
	91	+железобетонный Netplan
	92	+
	93	+ sudo nano /etc/netplan/00-installer-config.yaml
	94	+
	95	+конфиг
	96	+
	97	+```bash
	98	+network:
	99	+ version: 2
	100	+ renderer: networkd
	101	+ ethernets:
	102	+ # ── ОСНОВНОЙ ИНТЕРФЕЙС (Доступ в интернет и управление) ──
	103	+ enp6s18:
	104	+ addresses:
	105	+ - 192.168.1.180/24
	106	+ routes:
	107	+ - to: default
	108	+ via: 192.168.1.1 # Твой главный шлюз в интернет
	109	+ nameservers:
	110	+ addresses: [192.168.1.11, 192.168.1.1, 1.0.0.1, 8.8.8.8]
	111	+
	112	+ # ── net1 (VLAN 50) ──
	113	+ enp6s19:
	114	+ addresses:
	115	+ - 192.168.50.180/24
	116	+ # Шлюз не указываем! Трафик внутри 192.168.50.x будет ходить идеально.
	117	+
	118	+ # ── net2 (VLAN 10) ──
	119	+ enp6s20:
	120	+ addresses:
	121	+ - 192.168.10.180/24
	122	+
	123	+ # ── net3 (VLAN 15) ──
	124	+ enp6s21:
	125	+ addresses:
	126	+ - 192.168.15.180/24
	127	+
	128	+ # ── net4 (VLAN 11) ──
	129	+ enp6s22:
	130	+ addresses:
	131	+ - 192.168.11.180/24
	132	+
	133	+ # ── net5 (VLAN 12) ──
	134	+ enp6s23:
	135	+ addresses:
	136	+ - 192.168.12.180/24
	137	+```
	138	+
	139	+Ограничь права на файл (код 600 означает: чтение и запись только для владельца-рута, остальным — ничего):
	140	+
	141	+ sudo chmod 600 /etc/netplan/00-installer-config.yaml
	142	+
	143	+Применяешь
	144	+
	145	+ sudo netplan apply
	146	+
	147	+ ---
	148	+
	149	+для работы проброса трафика если надо ходить во  внутренние сети
	150	+
	151	+ docker network inspect remnawave_default | grep Subnet
	152	+ sudo nano /etc/ufw/before.rules
	153	+ После COMMIT дописать
	154	+ ----
	155	+ *nat
	156	+ :POSTROUTING ACCEPT [0:0]
	157	+ # Маскарадинг для сети OpenVPN
	158	+ -A POSTROUTING -s 172.19.0.0/16 -o enp6s18 -j MASQUERADE
	159	+ # Маскарадинг для сети Remnawave (Xray)
	160	+ -A POSTROUTING -s 172.18.0.0/16 -j MASQUERADE
	161	+ COMMIT
	162	+ ---
	163	+
	164	+ sudo ufw allow from 172.18.0.0/12 to any port 22 comment "Allow SSH from Docker"
	165	+ sudo ufw allow from 192.168.0.0/16 to any port 22 comment "Allow SSH from 192.168.0.0/16"
	166	+ sudo ufw reload
	167	+ sudo ufw status numbered

3x_massive_script.sh

Автор

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.Anton_Krivchenkov

Размер

...	...	@@ -1,0 +1,1 @@
	1	+78.2 KB

Содержимое