Перейти к содержимому
0 Голосов

Исходный код вики 1. 3x-ui MASSIVE script

Версия 20.3 от Anton Krivchenkov на 31.05.2026 15:05
Скрыть последних авторов
Anton Krivchenkov 1.1 1 # Запуск скрипта
2
Anton Krivchenkov 19.1 3 curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.7' | sudo bash
Anton Krivchenkov 1.1 4
Anton Krivchenkov 4.2 5 ### Как правильно обрабатывать UDP 443 (Hysteria2 / QUIC)
6
7 Поскольку в твоем конфиге Nginx слушает listen 443; (по умолчанию это подразумевает только TCP), порт **UDP 443 остается свободным** на уровне операционной системы хоста.
8
9 Лучший и самый производительный паттерн:
10
11 * **TCP 443:** Оставь за Nginx (твой текущий конфиг). Он будет разбирать SNI и раскидывать трафик по бэкендам.
12 * **UDP 443:** Настрой твой VPN-бэкенд (например, 3x-ui для Hysteria2) так, чтобы он напрямую слушал 0.0.0.0:443 по протоколу UDP. Они с Nginx не подерутся за порты, так как протоколы разные.
Anton Krivchenkov 5.2 13 *
Anton Krivchenkov 4.2 14
15 ### Если всё-таки очень нужно проксировать UDP через Nginx
16
17 Если твой бэкенд находится на другой машине (например, на 192.168.1.121) и у нее вообще нет внешнего IP для прямого прослушивания UDP, тебе придется создать **отдельный** блок server.
18
19 Но помни: маршрутизировать UDP по доменам (SNI) в Nginx нельзя. Весь UDP-трафик с порта 443 придется отправлять строго на один конкретный IP:
20
21 # Отдельный блок для 'глупого' проброса всего UDP 443
22 server {
23 listen 443 udp;
24 listen [::]:443 udp;
25
26 # ssl_preread здесь не работает.
27 # Весь UDP трафик летит на указанный бэкенд.
28 proxy_pass 192.168.1.121:443;
29 }
30
Anton Krivchenkov 1.1 31 # ПРО Скрипт
32
33 Скрипт представляет собой ультимативное решение для автоматизированного развертывания комбайна по обходу систем глубокой инспекции пакетов (DPI/ТСПУ). Основой служит панель **3x-ui** (ядро Xray), спрятанная за мультиплексором **Nginx** и защищенная эшелонированной системой безопасности. Дополнительно интегрированы **NaiveProxy** для маскировки под обычный браузерный трафик и **B4 DPI Bypass** для фрагментации пакетов.
34
35 #### ⚙️ Используемые компоненты
36
37 | ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
38 | **Компонент** | **Роль в системе** |
39 | **Nginx (Stream + HTTP)** | Фронтенд-маршрутизатор. Сортирует трафик на 443 порту по SNI, защищает от активных сканеров (Graylist) и проксирует запросы на нужные локальные порты. |
40 | **3x-ui (Xray)** | Ядро маршрутизации и VPN. Обрабатывает VLESS (XHTTP, gRPC, WS, HTTPUpgrade), Reality, Hysteria2 и mKCP. |
41 | **NaiveProxy (Caddy)** | Отдельная точка входа на порту 2053. Использует Chromium-стек для идеальной маскировки под HTTPS-трафик. |
42 | **Nextcloud** | Сайт-камуфляж. Принимает на себя весь нелегитимный трафик (боты, сканеры, ошибочные запросы), делая сервер похожим на обычное облачное хранилище. |
43 | **B4 DPI Bypass** | Инструмент фрагментации пакетов и обхода ТСПУ на уровне сетевого стека (netfilter/iptables). |
44 | **Fail2ban & UFW** | Защита от брутфорса и строгий файрвол. Доступ к админ-панели и SSH ограничен по IP-адресам. |
45 | **TrafficGuard** | Блокировка известных IP-адресов сканеров и ботнетов на уровне ядра. |
46
Anton Krivchenkov 2.1 47 *
Anton Krivchenkov 1.1 48
49 #### 🗺️ Карта сети и портов
50
51 Архитектура строго разделяет публичные (смотрящие в интернет) и локальные (изолированные) порты.
52
53 **🌐 Публичные порты (0.0.0.0 / Открыты в UFW):**
54
55 * **TCP 443:** Главная точка входа (Nginx Stream).
56 * **UDP 443:** Транспорт Hysteria2 (Слушает 3x-ui).
57 * **TCP 2053:** Точка входа NaiveProxy (Слушает Caddy).
58 * **TCP 7443:** Админ-панель B4 DPI Bypass (Nginx Auth).
59 * **UDP 33005:** Транспорт mKCP (Слушает 3x-ui).
60 * **TCP {NODE_PORT}:** Прямой доступ к панели 3x-ui (открыт _только_ для IP-адреса балансировщика/админа).
Anton Krivchenkov 2.1 61 *
Anton Krivchenkov 1.1 62
63 **🔒 Внутренние порты (127.0.0.1 / Закрыты снаружи):**
64
65 * **TCP 4443:** Внутренний HTTP-блок Nginx (обработка WebSocket, gRPC, XHTTP).
66 * **TCP 8443:** Транспорт VLESS Reality в 3x-ui (проброс по SNI из Nginx Stream).
67 * **TCP 8080:** Сайт-камуфляж Nextcloud.
68 * **TCP 7000:** Процессор B4 DPI.
69 * **TCP 10809:** HTTP Inbound в 3x-ui для распакованного трафика от NaiveProxy.
70 * **TCP 33000-33004:** Локальные порты транспортов Xray (VLESS TCP, XHTTP, gRPC, WS, HTTPUpgrade).
Anton Krivchenkov 2.1 71 *
Anton Krivchenkov 1.1 72
73 #### 🔄 Логика маршрутизации трафика (Flow)
74
75 1. **Входящий запрос на TCP 443** попадает в блок Nginx stream.
76 1. Nginx проверяет IP клиента по graylist. Если клиент подозрительный — трафик принудительно отправляется на внутренний порт 4443 (и в итоге на сайт-камуфляж).
Anton Krivchenkov 2.1 77 1. Nginx читает SNI (Server Name Indication) из TLS ClientHello: * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443.
78 1. Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080).
Anton Krivchenkov 1.1 79
Anton Krivchenkov 4.1 80 *
Anton Krivchenkov 2.1 81 *
Anton Krivchenkov 1.1 82
83 #### 🛡️ Особые механизмы защиты
84
85 * **Fallback-сертификаты:** При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок.
86 * **DPI-Detector:** Скрипт (через awk) парсит suspicious.log Nginx'а в реальном времени. Если один IP-адрес ошибается 3 раза (обращается к камуфляжу или стучится не по тем путям), он автоматически заносится в graylist.conf, и Nginx перезагружается.
87 * **Маскировка Naive:** В конфигурацию Caddy добавлена директива probe_resistance secret.localhost, которая защищает порт 2053 от активного прощупывания сканерами.
Anton Krivchenkov 19.1 88
Anton Krivchenkov 20.1 89 # NetPlan - поднимаем интерфейсы
Anton Krivchenkov 19.1 90
Anton Krivchenkov 20.1 91 железобетонный Netplan
92
Anton Krivchenkov 20.2 93 sudo nano /etc/netplan/00-installer-config.yaml
Anton Krivchenkov 20.1 94
95 конфиг
96
97 ```bash
98 network:
99 version: 2
100 renderer: networkd
101 ethernets:
102 # ── ОСНОВНОЙ ИНТЕРФЕЙС (Доступ в интернет и управление) ──
103 enp6s18:
104 addresses:
105 - 192.168.1.180/24
106 routes:
107 - to: default
108 via: 192.168.1.1 # Твой главный шлюз в интернет
109 nameservers:
110 addresses: [192.168.1.11, 192.168.1.1, 1.0.0.1, 8.8.8.8]
111
112 # ── net1 (VLAN 50) ──
113 enp6s19:
114 addresses:
115 - 192.168.50.180/24
116 # Шлюз не указываем! Трафик внутри 192.168.50.x будет ходить идеально.
117
118 # ── net2 (VLAN 10) ──
119 enp6s20:
120 addresses:
121 - 192.168.10.180/24
122
123 # ── net3 (VLAN 15) ──
124 enp6s21:
125 addresses:
126 - 192.168.15.180/24
127
128 # ── net4 (VLAN 11) ──
129 enp6s22:
130 addresses:
131 - 192.168.11.180/24
132
133 # ── net5 (VLAN 12) ──
134 enp6s23:
135 addresses:
136 - 192.168.12.180/24
137 ```
138
Anton Krivchenkov 20.3 139 Ограничь права на файл (код 600 означает: чтение и запись только для владельца-рута, остальным — ничего):
140
141 sudo chmod 600 /etc/netplan/00-installer-config.yaml
142
Anton Krivchenkov 20.1 143 Применяешь
144
145 sudo netplan apply