Ссылка на GitHub автора скрипта
3x-ui это удобная централизованная панель управления клиентами Shаdоwsоcks-а - созданного для oбхoда цeнзуpы.
Её основные фичи:
- Мониторинг состояния системы.
- Мониторинг подключенных клиентов.
- Поддержка многопользовательской и многопротокольной работы.
- Статистика трафика, ограничение трафика и ограничение времени работы для каждого клиента.
- Поддерживает применение SSL-сертификата для домена в один клик и его автоматическое продление (при наличии домена).
1. Установка на linux сервер.
| apt update && apt upgrade -y |
| bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh) |
В конце очень быстрой установки, мы получим логин и пароль.
Либо, мы сами вводом свои данные "логин-пароль-порт".
Панель управления 3X-UI находится по адресу: http://yourip:2053 (или ваш порт).
2. Получаем SSL на панель
Расскажу от 3 способах получить SSL, первый, встроен в скрипт 3X-UI. Поэтому начнем с него.
2.1. Через X-UI:
напишем команду в консоли:
| x-ui |
Переходим в панель 3X-UI по адресу yourdomain.com:2053(или тот порт, который вы указали при установке). В разделе Panel Settings прописываем пути к сертификатам SSL:
| /root/.acme.sh/your_domain_ecc/fullchain |
| /root/.acme.sh/your_domain_ecc/your_domain |
2.2. Через Cloudflare. Прилинковываем наш домен к Cloudflare и выпускаем сертификат на 15 лет через их сервис
2.3. Через Acme:
| apt install cron && apt install socat |
| curl https://get.acme.sh | sh -s email=mail@mail.com |
| mkdir -p /var/lib/certs/ |
| ~/.acme.sh/acme.sh --set-default-ca --server letsencrypt --issue --standalone \ -d DOMAIN \ --key-file /var/lib/certs/key.pem \ --fullchain-file /var/lib/certs/fullchain.pem |
Добавляем наши полученные сертификаты в панель 3X-UI, вместе с доменом.
3. Создаем VPN профайлы
Remark — любое рандомное название
Protocol — shadowsocks
Нажимаем Create
3.2 VLЕSS + Rеаlity
Remark — любое рандомное название
Protocol — vless
Port — 443
Ниже, где Transparent Proxy ставим галочку на Reality
uTLS — Chrome
Dest — microsoft.com:443
Server Names — microsoft.com,www.microsoft.com
И нажать кнопку Get New Key > Create
3.3 Если у вас занят 443 порт, то пользуем альтернативу: VLESS/VMESS no 443
Порт — пусто (по умолчанию)
Безопасность — TLS
Протокол передачи — TCP
Сертификат — сертификат с панели, который мы ранее выпустили
uTLS — random
Ну и вы можете сами экспериментировать с протоколами )
4. Безопасность сервера
4.1 Защитим сервер от взлома через брутфорс:
| apt install fail2ban -y && apt install ufw -y && apt install nano -y |
| touch /etc/fail2ban/jail.local && nano /etc/fail2ban/jail.local |
| [sshd] enabled = true filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] logpath = /var/log/auth.log findtime = 600 maxretry = 3 bantime = 43200 |
Нажимаем ctlr + x, далее Y и enter, чтобы сохранить.
4.2 Отключаем двухсторонний пинг
Чтобы улучшить нашу маскировку, отключим пинг
| nano /etc/ufw/before.rules |
Меняем концовку следующего выражения с ACCEPT на DROP:
4.3 Включаем фаервол
Чтобы включить фаервол, нужно заранее выписать все используемые порты на сервере, для этого мы установим netstat и посмотрим какие порты нужно открыть:
| apt install net-tools |
| netstat -ntlp | grep LISTEN |
Смотрите порты, которые идут после 0.0.0.0:порт или IP_адрес вашего_сервера:порт, например:
0.0.0.0:993
76.20.7.12:53:::22
Их необходимо открыть в UFW или через панель управления вашим сервером/хостингом.
Смотря как это реализовано у вас.
Например:
| ufw allow 22/tcp && ufw allow 443 && ufw allow 40000 && ufw enable |
Подтверждаем через Y + Enter
Напоследок очистимся и перезагрузимся:
| apt update && apt upgrade -y && apt autoclean -y && apt clean -y && apt autoremove -y && reboot |
Теперь можно отсканировать QR код в панели управления и пользоваться vрn на Shаdоwsоcks на вашем устройстве.
Подробнее
o cm © Overview A Inbounds ® Panel Settings CPU: 1 Core Speed: 2.85 GHz & Xray Configs G Log Out ____ ____________ _____________ 3X-UI (v2.1.3) Xray (Vl.8j) (@pane!3xui) Status: (junning^) (Stop^1 ^Restart Version System Load: 0 | 0 | 0 © (§> IPv4: © ^ 1.75 KB/s© 26.47% RAM: 253.50 MB/957.51 MB ©IPv6:© * 7.64 KB/s © 0% Swap: 0 B / 0 B Manage: Logs Config Backup & Restore Uptime: Xray (ld8h) OS(ld9h) Usage: RAM 35.60 MB - Threads 19 ^ TCP: 28 © G> 9.83 GB © 20.05% Disk: 3.85 GB/19.20 GB ^ UDP: 6 © O 10.04 GB©
The OS release is: ubuntu 3X-ui Panel Management Script O. Exit Script 1. Install x-ui 2. Update x-ui 3. Uninstall x-ui 4. Reset Username & Password & Secret Token 5. Reset Panel Settings 6. Change Panel Port 7. View Current Panel Settings 8. Start x-ui 9. Stop x-ui 10. Restart x-ui 11. Check x-ui Status 12. Check x-ui Logs 13. Enable x-ui On System Startup 14. Disable x-ui On System Startup 15. SSL Certificate Management 16. Cloudflare SSL Certificate 17. IP Limit Management 18. WARP Management 19. Enable BBR 20. Update Geo Files 21. Active Firewall and open ports 22. Speediest by Ookla
Public Key Path /root/.acme.sh/your_domain_eccyfullchain.pem The public key file path for the web panel, (begins with '/') Private Key Path /root/.acme.sh/your_domain_eccyyour_domain.pem The private key file path for the web panel, (begins with '/')
JK& CLOUDFLARE O Add site Q. Support ▼ English <- vpneasy.pro ► B Overview 0 Analytics & Logs - DNS - íEI Email - a SSL/TLS Overview Edge Certificates Client Certificates Origin Server Custom Hostnames Security - *© Access Speed ▼ O 1—s Caching - « Collapse sidebar SSL/TLS Origin Server Customize encryption of traffic between your origin server and Cloudflare. Origin server SSL/TLS documentation C X Advanced Certificate Manager Unlock more control and flexibility for your Certificates and SSL/TLS settings Activate Origin Certificates Generate a free TLS certificate signed by Cloudflare to install on your origin server. Origin Certificates are only valid for encryption between Cloudflare and your origin server. Create Certificate Hosts Expires On vpneasy.pro (1 host) Jan 5, 2039 Download Revoke ‘.vpneasy.pro, vpneasy.pro (2 hosts) Jan 5, 2039 Download Revoke Help ► Authenticated Origin Pulls TLS client certificate presented for authentication on origin pull. Configure expiration notification for your certificates here. This setting was last changed 3 hours ago API ► Help ► Contact What we do Resources Support About us Contact support Plans Documentation Knowledgebase Our team Contact sales Overview Blog Community Careers Call sales:+1 (888)993 5273 Features Case studies System status Press #oba Network Partners Trust & Safety Website Terms of Use Apps Customers Self-serve Subscription API Agreement Privacy Policy
= General Actions Menu Enabled Remark Host-1 Host-2 Host-3
-A ufw-before-input -р icmp --icmp-type echo-request -j DROP
3x-ui,shadowsocks,длиннопост,Кликабельно,Linux,Операционная система,мопед не мой
Интересно, бывает ли скорость лучше - или надо смириться? Кто-нибудь сравнивал?
алгоритм контроля перегрузки TCP congestion control — BBR.
Новый алгоритм позволяет значительно увеличить пропускную способность и уменьшить задержку при передачи данных по сети.
sudo nano /etc/sysctl.conf
Необходимо добавить эти два параметра в самый конец файла.
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
После чего включить добавленные параметры ядра командой:
sysctl -p
Проверить, какой именно алгоритм управления перегрузкой включен можно командой:
sysctl -a | grep congestion