0 Голосов

Исходный код вики 1. 3x-ui MASSIVE script

Редактировал(а) Anton Krivchenkov 04.06.2026 00:06

version	line-number	content
1.1	1	# Запуск скрипта
	2
27.1	3	curl -fsSL 'https://xwiki.dev0ps.online/xwiki/bin/download/DevOps/Proxy/3x-ui/1.%203x-ui%20MASSIVE%20script/WebHome/3x_massive_script.sh?rev=1.10' \| sudo bash
1.1	4
4.2	5	### Как правильно обрабатывать UDP 443 (Hysteria2 / QUIC)
	6
	7	Поскольку в твоем конфиге Nginx слушает listen 443; (по умолчанию это подразумевает только TCP), порт UDP 443 остается свободным на уровне операционной системы хоста.
	8
	9	Лучший и самый производительный паттерн:
	10
	11	* TCP 443: Оставь за Nginx (твой текущий конфиг). Он будет разбирать SNI и раскидывать трафик по бэкендам.
	12	* UDP 443: Настрой твой VPN-бэкенд (например, 3x-ui для Hysteria2) так, чтобы он напрямую слушал 0.0.0.0:443 по протоколу UDP. Они с Nginx не подерутся за порты, так как протоколы разные.
5.2	13	*
4.2	14
	15	### Если всё-таки очень нужно проксировать UDP через Nginx
	16
	17	Если твой бэкенд находится на другой машине (например, на 192.168.1.121) и у нее вообще нет внешнего IP для прямого прослушивания UDP, тебе придется создать отдельный блок server.
	18
	19	Но помни: маршрутизировать UDP по доменам (SNI) в Nginx нельзя. Весь UDP-трафик с порта 443 придется отправлять строго на один конкретный IP:
	20
	21	# Отдельный блок для 'глупого' проброса всего UDP 443
	22	server {
	23	listen 443 udp;
	24	listen [::]:443 udp;
	25
	26	# ssl_preread здесь не работает.
	27	# Весь UDP трафик летит на указанный бэкенд.
	28	proxy_pass 192.168.1.121:443;
	29	}
	30
1.1	31	# ПРО Скрипт
	32
	33	Скрипт представляет собой ультимативное решение для автоматизированного развертывания комбайна по обходу систем глубокой инспекции пакетов (DPI/ТСПУ). Основой служит панель 3x-ui (ядро Xray), спрятанная за мультиплексором Nginx и защищенная эшелонированной системой безопасности. Дополнительно интегрированы NaiveProxy для маскировки под обычный браузерный трафик и B4 DPI Bypass для фрагментации пакетов.
	34
	35	#### ⚙️ Используемые компоненты
	36
	37	\| ------------------------- \| ------------------------------------------------------------------------------------------------------------------------------------------------------ \|
	38	\| Компонент \| Роль в системе \|
	39	\| Nginx (Stream + HTTP) \| Фронтенд-маршрутизатор. Сортирует трафик на 443 порту по SNI, защищает от активных сканеров (Graylist) и проксирует запросы на нужные локальные порты. \|
	40	\| 3x-ui (Xray) \| Ядро маршрутизации и VPN. Обрабатывает VLESS (XHTTP, gRPC, WS, HTTPUpgrade), Reality, Hysteria2 и mKCP. \|
	41	\| NaiveProxy (Caddy) \| Отдельная точка входа на порту 2053. Использует Chromium-стек для идеальной маскировки под HTTPS-трафик. \|
	42	\| Nextcloud \| Сайт-камуфляж. Принимает на себя весь нелегитимный трафик (боты, сканеры, ошибочные запросы), делая сервер похожим на обычное облачное хранилище. \|
	43	\| B4 DPI Bypass \| Инструмент фрагментации пакетов и обхода ТСПУ на уровне сетевого стека (netfilter/iptables). \|
	44	\| Fail2ban & UFW \| Защита от брутфорса и строгий файрвол. Доступ к админ-панели и SSH ограничен по IP-адресам. \|
	45	\| TrafficGuard \| Блокировка известных IP-адресов сканеров и ботнетов на уровне ядра. \|
	46
2.1	47	*
1.1	48
	49	#### 🗺️ Карта сети и портов
	50
	51	Архитектура строго разделяет публичные (смотрящие в интернет) и локальные (изолированные) порты.
	52
	53	🌐 Публичные порты (0.0.0.0 / Открыты в UFW):
	54
	55	* TCP 443: Главная точка входа (Nginx Stream).
	56	* UDP 443: Транспорт Hysteria2 (Слушает 3x-ui).
	57	* TCP 2053: Точка входа NaiveProxy (Слушает Caddy).
	58	* TCP 7443: Админ-панель B4 DPI Bypass (Nginx Auth).
	59	* UDP 33005: Транспорт mKCP (Слушает 3x-ui).
	60	* TCP {NODE_PORT}: Прямой доступ к панели 3x-ui (открыт _только_ для IP-адреса балансировщика/админа).
2.1	61	*
1.1	62
	63	🔒 Внутренние порты (127.0.0.1 / Закрыты снаружи):
	64
	65	* TCP 4443: Внутренний HTTP-блок Nginx (обработка WebSocket, gRPC, XHTTP).
	66	* TCP 8443: Транспорт VLESS Reality в 3x-ui (проброс по SNI из Nginx Stream).
	67	* TCP 8080: Сайт-камуфляж Nextcloud.
	68	* TCP 7000: Процессор B4 DPI.
	69	* TCP 10809: HTTP Inbound в 3x-ui для распакованного трафика от NaiveProxy.
	70	* TCP 33000-33004: Локальные порты транспортов Xray (VLESS TCP, XHTTP, gRPC, WS, HTTPUpgrade).
2.1	71	*
1.1	72
	73	#### 🔄 Логика маршрутизации трафика (Flow)
	74
	75	1. Входящий запрос на TCP 443 попадает в блок Nginx stream.
	76	1. Nginx проверяет IP клиента по graylist. Если клиент подозрительный — трафик принудительно отправляется на внутренний порт 4443 (и в итоге на сайт-камуфляж).
2.1	77	1. Nginx читает SNI (Server Name Indication) из TLS ClientHello: * Если SNI совпадает с REALITY_SNI $\rightarrow$ трафик летит в 3x-ui на порт 8443 (Reality Inbound). * В противном случае $\rightarrow$ трафик отправляется во внутренний HTTP-блок на порт 4443.
	78	1. Во внутреннем HTTP-блоке (listen 4443) происходит разбор HTTP-запроса: * Если путь совпадает с секретным URL админки (/${PANEL_SECRET_PATH}/) $\rightarrow$ проксируется в панель 3x-ui. * Если путь совпадает с настроенными путями (XHTTP, gRPC, WS, Upgrade) $\rightarrow$ проксируется на соответствующий локальный порт 3300X. * Если это сканер, бот (bad agent) или левый путь $\rightarrow$ возвращается код 418 и трафик заворачивается на Nextcloud (порт 8080).
1.1	79
4.1	80	*
2.1	81	*
1.1	82
	83	#### 🛡️ Особые механизмы защиты
	84
	85	* Fallback-сертификаты: При отсутствии реальных SSL-сертификатов скрипт автоматически генерирует самоподписанные заглушки на 1 год, чтобы Nginx успешно запустился без fatal-ошибок.
	86	* DPI-Detector: Скрипт (через awk) парсит suspicious.log Nginx'а в реальном времени. Если один IP-адрес ошибается 3 раза (обращается к камуфляжу или стучится не по тем путям), он автоматически заносится в graylist.conf, и Nginx перезагружается.
	87	* Маскировка Naive: В конфигурацию Caddy добавлена директива probe_resistance secret.localhost, которая защищает порт 2053 от активного прощупывания сканерами.
19.1	88
20.1	89	# NetPlan - поднимаем интерфейсы
19.1	90
20.1	91	железобетонный Netplan
	92
20.2	93	sudo nano /etc/netplan/00-installer-config.yaml
20.1	94
	95	конфиг
	96
	97	```bash
	98	network:
	99	version: 2
	100	renderer: networkd
	101	ethernets:
	102	# ── ОСНОВНОЙ ИНТЕРФЕЙС (Доступ в интернет и управление) ──
	103	enp6s18:
	104	addresses:
	105	- 192.168.1.180/24
	106	routes:
	107	- to: default
	108	via: 192.168.1.1 # Твой главный шлюз в интернет
	109	nameservers:
	110	addresses: [192.168.1.11, 192.168.1.1, 1.0.0.1, 8.8.8.8]
	111
	112	# ── net1 (VLAN 50) ──
	113	enp6s19:
	114	addresses:
	115	- 192.168.50.180/24
	116	# Шлюз не указываем! Трафик внутри 192.168.50.x будет ходить идеально.
	117
	118	# ── net2 (VLAN 10) ──
	119	enp6s20:
	120	addresses:
	121	- 192.168.10.180/24
	122
	123	# ── net3 (VLAN 15) ──
	124	enp6s21:
	125	addresses:
	126	- 192.168.15.180/24
	127
	128	# ── net4 (VLAN 11) ──
	129	enp6s22:
	130	addresses:
	131	- 192.168.11.180/24
	132
	133	# ── net5 (VLAN 12) ──
	134	enp6s23:
	135	addresses:
	136	- 192.168.12.180/24
	137	```
	138
20.3	139	Ограничь права на файл (код 600 означает: чтение и запись только для владельца-рута, остальным — ничего):
	140
	141	sudo chmod 600 /etc/netplan/00-installer-config.yaml
	142
20.1	143	Применяешь
	144
	145	sudo netplan apply
28.1	146
	147	---
	148
	149	для работы проброса трафика если надо ходить во внутренние сети
	150
	151	docker network inspect remnawave_default \| grep Subnet
	152	sudo nano /etc/ufw/before.rules
	153	После COMMIT дописать
	154	----
	155	*nat
	156	:POSTROUTING ACCEPT [0:0]
	157	# Маскарадинг для сети OpenVPN
	158	-A POSTROUTING -s 172.19.0.0/16 -o enp6s18 -j MASQUERADE
	159	# Маскарадинг для сети Remnawave (Xray)
	160	-A POSTROUTING -s 172.18.0.0/16 -j MASQUERADE
	161	COMMIT
	162	---
	163
	164	sudo ufw allow from 172.18.0.0/12 to any port 22 comment "Allow SSH from Docker"
	165	sudo ufw allow from 192.168.0.0/16 to any port 22 comment "Allow SSH from 192.168.0.0/16"
	166	sudo ufw reload
	167	sudo ufw status numbered