Исходный код вики 1. 3x-ui MASSIVE script
Версия 13.1 от Anton Krivchenkov на 31.05.2026 13:05
Последние авторы
| author | version | line-number | content |
|---|---|---|---|
| 1 | # Запуск скрипта | ||
| 2 | |||
| 3 | curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.4' | sudo bash | ||
| 4 | |||
| 5 | ### Как правильно обрабатывать UDP 443 (Hysteria2 / QUIC) | ||
| 6 | |||
| 7 | Поскольку в твоем конфиге Nginx слушает listen 443; (по умолчанию это подразумевает только TCP), порт **UDP 443 остается свободным** на уровне операционной системы хоста. | ||
| 8 | |||
| 9 | Лучший и самый производительный паттерн: | ||
| 10 | |||
| 11 | * **TCP 443:** Оставь за Nginx (твой текущий конфиг). Он будет разбирать SNI и раскидывать трафик по бэкендам. | ||
| 12 | * **UDP 443:** Настрой твой VPN-бэкенд (например, 3x-ui для Hysteria2) так, чтобы он напрямую слушал 0.0.0.0:443 по протоколу UDP. Они с Nginx не подерутся за порты, так как протоколы разные. | ||
| 13 | * | ||
| 14 | |||
| 15 | ### Если всё-таки очень нужно проксировать UDP через Nginx | ||
| 16 | |||
| 17 | Если твой бэкенд находится на другой машине (например, на 192.168.1.121) и у нее вообще нет внешнего IP для прямого прослушивания UDP, тебе придется создать **отдельный** блок server. | ||
| 18 | |||
| 19 | Но помни: маршрутизировать UDP по доменам (SNI) в Nginx нельзя. Весь UDP-трафик с порта 443 придется отправлять строго на один конкретный IP: | ||
| 20 | |||
| 21 | # Отдельный блок для 'глупого' проброса всего UDP 443 | ||
| 22 | server { | ||
| 23 | listen 443 udp; | ||
| 24 | listen [::]:443 udp; | ||
| 25 | |||
| 26 | # ssl_preread здесь не работает. | ||
| 27 | # Весь UDP трафик летит на указанный бэкенд. | ||
| 28 | proxy_pass 192.168.1.121:443; | ||
| 29 | } | ||
| 30 | |||
| 31 | # ПРО Скрипт | ||
| 32 | |||
| 33 | Скрипт представляет собой ультимативное решение для автоматизированного развертывания комбайна по обходу систем глубокой инспекции пакетов (DPI/ТСПУ). Основой служит панель **3x-ui** (ядро Xray), спрятанная за мультиплексором **Nginx** и защищенная эшелонированной системой безопасности. Дополнительно интегрированы **NaiveProxy** для маскировки под обычный браузерный трафик и **B4 DPI Bypass** для фрагментации пакетов. | ||
| 34 | |||
| 35 | #### ⚙️ Используемые компоненты | ||
| 36 | |||
| 37 | | ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ | | ||
| 38 | | **Компонент** | **Роль в системе** | | ||
| 39 | | **Nginx (Stream + HTTP)** | Фронтенд-маршрутизатор. Сортирует трафик на 443 порту по SNI, защищает от активных сканеров (Graylist) и проксирует запросы на нужные локальные порты. | | ||
| 40 | | **3x-ui (Xray)** | Ядро маршрутизации и VPN. Обрабатывает VLESS (XHTTP, gRPC, WS, HTTPUpgrade), Reality, Hysteria2 и mKCP. | | ||
| 41 | | **NaiveProxy (Caddy)** | Отдельная точка входа на порту 2053. Использует Chromium-стек для идеальной маскировки под HTTPS-трафик. | | ||
| 42 | | **Nextcloud** | Сайт-камуфляж. Принимает на себя весь нелегитимный трафик (боты, сканеры, ошибочные запросы), делая сервер похожим на обычное облачное хранилище. | | ||
| 43 | | **B4 DPI Bypass** | Инструмент фрагментации пакетов и обхода ТСПУ на уровне сетевого стека (netfilter/iptables). | | ||
| 44 | | **Fail2ban & UFW** | Защита от брутфорса и строгий файрвол. Доступ к админ-панели и SSH ограничен по IP-адресам. | | ||
| 45 | | **TrafficGuard** | Блокировка известных IP-адресов сканеров и ботнетов на уровне ядра. | | ||
| 46 | |||
| 47 | * | ||
| 48 | |||
| 49 | #### 🗺️ Карта сети и портов | ||
| 50 | |||
| 51 | Архитектура строго разделяет публичные (смотрящие в интернет) и локальные (изолированные) порты. | ||
| 52 | |||
| 53 | **🌐 Публичные порты (0.0.0.0 / Открыты в UFW):** | ||
| 54 | |||
| 55 | * **TCP 443:** Главная точка входа (Nginx Stream). | ||
| 56 | * **UDP 443:** Транспорт Hysteria2 (Слушает 3x-ui). | ||
| 57 | * **TCP 2053:** Точка входа NaiveProxy (Слушает Caddy). | ||
| 58 | * **TCP 7443:** Админ-панель B4 DPI Bypass (Nginx Auth). | ||
| 59 | * **UDP 33005:** Транспорт mKCP (Слушает 3x-ui). | ||
| 60 | * **TCP {NODE_PORT}:** Прямой доступ к панели 3x-ui (открыт _только_ для IP-адреса балансировщика/админа). | ||
| 61 | * | ||
| 62 | |||
| 63 | **🔒 Внутренние порты (127.0.0.1 / Закрыты снаружи):** | ||
| 64 | |||
| 65 | * **TCP 4443:** Внутренний HTTP-блок Nginx (обработка WebSocket, gRPC, XHTTP). | ||
| 66 | * **TCP 8443:** Транспорт VLESS Reality в 3x-ui (проброс по SNI из Nginx Stream). | ||
| 67 | * **TCP 8080:** Сайт-камуфляж Nextcloud. | ||
| 68 | * **TCP 7000:** Процессор B4 DPI. | ||
| 69 | * **TCP 10809:** HTTP Inbound в 3x-ui для распакованного трафика от NaiveProxy. | ||
| 70 | * **TCP 33000-33004:** Локальные порты транспортов Xray (VLESS TCP, XHTTP, gRPC, WS, HTTPUpgrade). | ||
| 71 | * | ||
| 72 | |||
| 73 | #### 🔄 Логика маршрутизации трафика (Flow) | ||
| 74 | |||
| 75 | 1. **Входящий запрос на TCP 443** попадает в блок Nginx stream. | ||
| 76 | 1. Nginx проверяет IP клиента по graylist. Если клиент подозрительный — трафик принудительно отправляется на внутренний порт 4443 (и в итоге на сайт-камуфляж). | ||
| 77 | 1. Nginx читает SNI (Server Name Indication) из TLS ClientHello: * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443. | ||
| 78 | 1. Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080). | ||
| 79 | |||
| 80 | * | ||
| 81 | * | ||
| 82 | |||
| 83 | #### 🛡️ Особые механизмы защиты | ||
| 84 | |||
| 85 | * **Fallback-сертификаты:** При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок. | ||
| 86 | * **DPI-Detector:** Скрипт (через awk) парсит suspicious.log Nginx'а в реальном времени. Если один IP-адрес ошибается 3 раза (обращается к камуфляжу или стучится не по тем путям), он автоматически заносится в graylist.conf, и Nginx перезагружается. | ||
| 87 | * **Маскировка Naive:** В конфигурацию Caddy добавлена директива probe_resistance secret.localhost, которая защищает порт 2053 от активного прощупывания сканерами. |