Перейти к содержимому
0 Голосов

1. 3x-ui MASSIVE script

Версия 10.1 от Anton Krivchenkov на 31.05.2026 13:05

Запуск скрипта

curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.2' | sudo bash

Как правильно обрабатывать UDP 443 (Hysteria2 / QUIC)

Поскольку в твоем конфиге Nginx слушает listen 443; (по умолчанию это подразумевает только TCP), порт UDP 443 остается свободным на уровне операционной системы хоста.

Лучший и самый производительный паттерн:

  • TCP 443: Оставь за Nginx (твой текущий конфиг). Он будет разбирать SNI и раскидывать трафик по бэкендам.
  • UDP 443: Настрой твой VPN-бэкенд (например, 3x-ui для Hysteria2) так, чтобы он напрямую слушал 0.0.0.0:443 по протоколу UDP. Они с Nginx не подерутся за порты, так как протоколы разные.

Если всё-таки очень нужно проксировать UDP через Nginx

Если твой бэкенд находится на другой машине (например, на 192.168.1.121) и у нее вообще нет внешнего IP для прямого прослушивания UDP, тебе придется создать отдельный блок server.

Но помни: маршрутизировать UDP по доменам (SNI) в Nginx нельзя. Весь UDP-трафик с порта 443 придется отправлять строго на один конкретный IP:

# Отдельный блок для 'глупого' проброса всего UDP 443
server {
    listen 443 udp;
    listen [::]:443 udp;

    # ssl_preread здесь не работает.
    # Весь UDP трафик летит на указанный бэкенд.
    proxy_pass 192.168.1.121:443;
}

ПРО Скрипт

Скрипт представляет собой ультимативное решение для автоматизированного развертывания комбайна по обходу систем глубокой инспекции пакетов (DPI/ТСПУ). Основой служит панель 3x-ui (ядро Xray), спрятанная за мультиплексором Nginx и защищенная эшелонированной системой безопасности. Дополнительно интегрированы NaiveProxy для маскировки под обычный браузерный трафик и B4 DPI Bypass для фрагментации пакетов.

⚙️ Используемые компоненты

КомпонентРоль в системе
Nginx (Stream + HTTP)Фронтенд-маршрутизатор. Сортирует трафик на 443 порту по SNI, защищает от активных сканеров (Graylist) и проксирует запросы на нужные локальные порты.
3x-ui (Xray)Ядро маршрутизации и VPN. Обрабатывает VLESS (XHTTP, gRPC, WS, HTTPUpgrade), Reality, Hysteria2 и mKCP.
NaiveProxy (Caddy)Отдельная точка входа на порту 2053. Использует Chromium-стек для идеальной маскировки под HTTPS-трафик.
NextcloudСайт-камуфляж. Принимает на себя весь нелегитимный трафик (боты, сканеры, ошибочные запросы), делая сервер похожим на обычное облачное хранилище.
B4 DPI BypassИнструмент фрагментации пакетов и обхода ТСПУ на уровне сетевого стека (netfilter/iptables).
Fail2ban & UFWЗащита от брутфорса и строгий файрвол. Доступ к админ-панели и SSH ограничен по IP-адресам.
TrafficGuardБлокировка известных IP-адресов сканеров и ботнетов на уровне ядра.

🗺️ Карта сети и портов

Архитектура строго разделяет публичные (смотрящие в интернет) и локальные (изолированные) порты.

🌐 Публичные порты (0.0.0.0 / Открыты в UFW):

  • TCP 443: Главная точка входа (Nginx Stream).
  • UDP 443: Транспорт Hysteria2 (Слушает 3x-ui).
  • TCP 2053: Точка входа NaiveProxy (Слушает Caddy).
  • TCP 7443: Админ-панель B4 DPI Bypass (Nginx Auth).
  • UDP 33005: Транспорт mKCP (Слушает 3x-ui).
  • TCP {NODE_PORT}: Прямой доступ к панели 3x-ui (открыт только для IP-адреса балансировщика/админа).

🔒 Внутренние порты (127.0.0.1 / Закрыты снаружи):

  • TCP 4443: Внутренний HTTP-блок Nginx (обработка WebSocket, gRPC, XHTTP).
  • TCP 8443: Транспорт VLESS Reality в 3x-ui (проброс по SNI из Nginx Stream).
  • TCP 8080: Сайт-камуфляж Nextcloud.
  • TCP 7000: Процессор B4 DPI.
  • TCP 10809: HTTP Inbound в 3x-ui для распакованного трафика от NaiveProxy.
  • TCP 33000-33004: Локальные порты транспортов Xray (VLESS TCP, XHTTP, gRPC, WS, HTTPUpgrade).

🔄 Логика маршрутизации трафика (Flow)

  1. Входящий запрос на TCP 443 попадает в блок Nginx stream.
  2. Nginx проверяет IP клиента по graylist. Если клиент подозрительный — трафик принудительно отправляется на внутренний порт 4443 (и в итоге на сайт-камуфляж).
  3. Nginx читает SNI (Server Name Indication) из TLS ClientHello: * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443.
  4. Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080).

🛡️ Особые механизмы защиты

  • Fallback-сертификаты: При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок.
  • DPI-Detector: Скрипт (через awk) парсит suspicious.log Nginx'а в реальном времени. Если один IP-адрес ошибается 3 раза (обращается к камуфляжу или стучится не по тем путям), он автоматически заносится в graylist.conf, и Nginx перезагружается.
  • Маскировка Naive: В конфигурацию Caddy добавлена директива probe_resistance secret.localhost, которая защищает порт 2053 от активного прощупывания сканерами.