这是一个创建于 731 天前的主题,其中的信息可能已经有所发展或是发生改变。
国庆封了 2 个瓦工 GIA 路线 ip ,都是 443 端口被封,ssh ,80 端口都正常,付费 8.9 刀换了一个 ip 使用正常直到今天早上 8 点阵亡。
盲猜防火墙是统计了流量来封的,基本上我每个月都花 1000G 左右,换了域名可更长时间才可能被封,如果是早期被封过的域名,换了 ip 也不会存活很久。
目前有没有可靠的方法?
第 1 条附言 · 2022-11-14 10:07:23 +08:00
1 、目前基本上可以确定就是 over tls 被识别。
2 、墙不是一直都在封的,可能是某个时间点,目前来看,喜欢早上 8 点左右开始检测,如果在这个点你正在使用,那么很可能被逮住。
3 、流量统计也可能是。
第 2 、3 条是自己猜测的,因为有几个服务器,都是一样的协议、配置,封的时候只有使用中的那个被封。
2 、墙不是一直都在封的,可能是某个时间点,目前来看,喜欢早上 8 点左右开始检测,如果在这个点你正在使用,那么很可能被逮住。
3 、流量统计也可能是。
第 2 、3 条是自己猜测的,因为有几个服务器,都是一样的协议、配置,封的时候只有使用中的那个被封。
第 2 条附言 · 2022-11-14 13:49:30 +08:00
1 、 2 个瓦工 GIA 被封,换了一个 IP ,今天又被封,一个别家的 vps 也被封了,所以非热门 vps 也会被封,不存在盯上热门机房 ip 段说法。
2 、换 ss 协议也有被封的。
3 、看来目前只有套 CDN 或者搭建最新的技术如 naiveproxy 、Tuic / Hysteria 比较稳妥。
以本人猜测,🧱就是随机抽查,分时间段,逮到疑似的域名,直接封锁端口,甚至 ip 。这就解释了为什么有少数人没事的原因。
2 、换 ss 协议也有被封的。
3 、看来目前只有套 CDN 或者搭建最新的技术如 naiveproxy 、Tuic / Hysteria 比较稳妥。
以本人猜测,🧱就是随机抽查,分时间段,逮到疑似的域名,直接封锁端口,甚至 ip 。这就解释了为什么有少数人没事的原因。
 |
1
paullee 2022-11-14 09:04:54 +08:00
换个端口就行👀
|
 |
2
to2false 2022-11-14 09:09:30 +08:00
1L+1
|
 |
3
wangxinpier 2022-11-14 09:11:17 +08:00
我也是发现端口被封,换个端口解决了。。。
|
 |
4
interim 2022-11-14 09:13:37 +08:00
换个端口,我的 443 被封了,继续拿 8443 跑,然后 443 套了个 CF (速度还不错,能看油管 4k )
|
 |
5
twofox 2022-11-14 09:13:52 +08:00
你们都是用来做什么的,为啥可以用这么多流量
|
 |
6
S179276SP 2022-11-14 09:14:49 +08:00
坐等明年三月看戏。
|
 |
7
hdp5252 2022-11-14 09:16:13 +08:00 via Android
一天 30g 你开网吧吗?
|
 |
8
shika 2022-11-14 09:20:50 +08:00 via Android
直接在 80 端口跑
|
 |
9
July1991 OP @hdp5252
@twofox 没开网吧,就 4-5 个人用,刷刷推特,油管,看视频流量当然大啊。。。 @paullee @wangxinpier @to2false 据说换端口到时候直接封 IP 了。。 |
|
10
wangxinpier 2022-11-14 09:25:04 +08:00
目前还没有被封,自用,还好
|
 |
12
sadfQED2 2022-11-14 09:25:50 +08:00 via Android
Websocket 协议?按 git hub 的讨论,已经精确识别了,升级版本用 utls 试试
|
 |
13
Yien 2022-11-14 09:33:07 +08:00 via Android
v2+ws 套多个 cf 优选+clash 负载均衡
|
 |
14
zhangxh1023 2022-11-14 09:34:42 +08:00
感觉我的搬瓦工 gia 好几年了,基本上很稳定。一直以为是 线路好,现在看起来是我用的流量少,一个月就一两百 G 。
|
 |
15
EastLord 2022-11-14 09:36:17 +08:00
套 CDN
|
 |
16
roding 2022-11-14 09:40:16 +08:00
我刚买两天,流量才用 5G ,也是今早被封了 443 ,套了个 CF 可以了。搞不懂封的原理。我用 nginx 反代分流,/路径是正常的个人网盘。
|
 |
17
ScepterZ 2022-11-14 09:40:16 +08:00
同 443 被封,网上说最近有专门封基于 tls 的协议,所以暂时换了协议用,虽然目标更明显了但是貌似没什么动作
|
 |
18
Kowloon 2022-11-14 09:43:21 +08:00 via iPhone
恭喜你,就是按流量封的,你单 IP 一个端口往死里跑傻子都能看出来。
|
 |
19
guazila 2022-11-14 09:43:46 +08:00  1
套 CDN ,或者用机场作前置代理。但这两种都适合用线路差,便宜的 VPS 来落地。搬瓦工 GIA 用这两种办法太奢侈了,相当于你的线路加成完全没用了。
|
 |
20
lindas 2022-11-14 09:46:40 +08:00
端口一天一换
|
|
21
July1991 OP |
 |
22
Sekai 2022-11-14 10:12:06 +08:00
好日子还在后头 把 ip 全封完了也就正式开启大局域网时代( doge
|
|
23
July1991 OP |
 |
24
jurassic2long 2022-11-14 10:34:34 +08:00
我就自己用,流量很小,也被封了,但 ipv6 就没封,现在只用 ipv6 了
|
 |
25
darer 2022-11-14 10:38:05 +08:00 via Android
用的 80 端口 还是我比较勇(
|
 |
26
qwvy2g 2022-11-14 10:38:07 +08:00 via Android
也有可能是 ip 段热门程度,热门机房的 ip 段可能会被盯上。
|
 |
27
0o0O0o0O0o 2022-11-14 10:39:52 +08:00 via iPhone 2
443 如果是 websocket 用 nginx 转发一下,proxy_pass 的 location 搞得复杂一些,例如生成个 uuid ,并且不要在任何浏览器直接访问或是发送到聊天工具里,这样所谓主动探测几乎难以实现。
tls 指纹则看看 utls 和 naiveproxy 等方案。 那些基于 quic 的工具也部署一些,例如 hysteria 、tuic 。 还可以尝试 hysteria 近期更新的一个功能 https://hysteria.network/docs/port-hopping/ |
 |
28
AlphaTauriHonda 2022-11-14 10:40:45 +08:00 via iPhone 1
@July1991 既然 TLS over TLS 封的这么快,不如试试 shadowsocks-libev 。
|
 |
29
fairless 2022-11-14 10:44:07 +08:00
国庆被封了两次,后来索性直接换成 ss 了,反而用到现在很稳定。over tls 很可能被识别了
|
 |
30
princelai 2022-11-14 10:49:55 +08:00
我的两台搬瓦工用了快三年没一点问题,每个月每台流量大概 100-150G,服务器前端 nginx 开 443,遇到 trojan 协议回落到 trojan 的端口,其余的流量都访问本地的静态网站。
|
|
31
July1991 OP @0o0O0o0O0o github 讨论貌似 utls 也不能避免指纹
naiveproxy 感觉没有好用的客户端,而且可选择的比较少,我去了解一下 hysteria 、tuic ,感谢。 @AlphaTauriHonda ss N 年前就感觉不行了,现在还可? |
 |
32
villivateur 2022-11-14 11:20:27 +08:00
@July1991 ss 现在都非常坚挺。当然跟线路、运营商也有关
|
 |
33
juded 2022-11-14 11:24:14 +08:00
和你的主机商家也有关。部分商家的 ip 段会被重点关注。
|
 |
35
photon006 2022-11-14 11:26:24 +08:00 2
套 cf cdn 可解,不要暴露自己 vps 公网 ip ,套 cdn 隐藏起来,vless + tls + websocket 很稳,10 月 3 号大面积封锁 tls 443 都没事,参考事件: https://github.com/net4people/bbs/issues/129
还能用 warp 脚本通过 wireguard 接入 cf warp 网络更换公网 ip 、解锁 netflix 我测试成都联通、移动、电信都支持油管 4k ,速度还行。 |
 |
36
tool2d 2022-11-14 11:27:19 +08:00
楼主标题党啊,明明是端口被封,换个端口就可以了。
这不算 IP 被封。 |
 |
38
LZSZ 2022-11-14 11:29:55 +08:00
我觉得玩推特容易被墙 ,看新闻每次抓到翻墙的几乎都是玩推特发 ZZ 内容的。
|
 |
40
siknet 2022-11-14 11:38:06 +08:00
换 naive
|
 |
41
raysonx 2022-11-14 11:38:25 +08:00
不知道题主用的什么协议,怎么配置的。
如果被封说明协议已经被识别了或者 IP 段被重点关注了。不管怎么说,还依然使用之前的方式风险是很大的。 如果用 tls 可以试试 xray 最新版本的 xtls-rpxp-vision 流控。 |
|
43
photon006 2022-11-14 11:48:14 +08:00 2
@Sekai
我没用第三方脚本,直接官方镜像起一个 docker 容器: docker run -d --name v2ray --restart=always -e TZ=Asia/Shanghai -p 127.0.0.1:22000:22000 -v /opt/v2ray/config.json:/etc/v2ray/config.json v2fly/v2fly-core 起一个 nginx ,挂一个假网站,梯子流量走 websocket: docker run -d --restart=always --name nginx -v /opt/nginx/nginx.conf:/etc/nginx/nginx.conf:ro -v /opt/nginx/conf.d:/etc/nginx/conf.d:ro --network=host nginx ``` upstream v2ray { server 127.0.0.1:22000; #server 10.0.0.228:22000; #server 10.0.0.168:22000; } location / { proxy_read_timeout 60m; proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto https; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_redirect off; proxy_pass http://127.0.0.1:8080; } # ws path location /G3XdhUTa9Xv5jp9F { proxy_http_version 1.1; proxy_set_header Host $http_host; #proxy_buffering off; proxy_redirect off; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_set_header Origin ""; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; proxy_socket_keepalive on; proxy_read_timeout 1m; proxy_pass http://v2ray; } ``` 域名由 cf 解析,A 记录指向你的服务器,一定点亮橙色图标开启 cdn 隐藏 vps 公网 ip 。 |
|
44
AlphaTauriHonda 2022-11-14 11:51:11 +08:00 via iPhone 1
@July1991 别用会被主动探测有漏洞的版本就行了。
可以用 shadowsocks-libev 的 v3.3.5 ,或者 https://github.com/Jigsaw-Code/outline-server ,还要选择 AEAD ciphers 。设置错了,或者用有漏洞的版本都会被封。 你也可以试试 Vmess 的 mKCP 传输,设置一个 Seed 。不设置 Seed 的 mKCP 也是必封。 @villivateur 我觉得还有很多人在用错误的版本,或者没用 AEAD ciphers 。 |
 |
45
estk 2022-11-14 11:52:04 +08:00 via Android
甲骨文免费机用了一年多一直很稳
|
|
46
sadfQED2 2022-11-14 12:04:13 +08:00 via Android
应该不是流量统计,我也是 websocket tls 被封,换成非 tls 加密,目前一个月了没被封,每个月也是 1000g 流量左右
|
|
47
raysonx 2022-11-14 12:18:01 +08:00
@July1991 根据目前的信息推测,这种配置产生的 TLS over TLS 流量可能会被识别,建议试试我上面说的 XTLS Vision 流控。
@AlphaTauriHonda 最新的 2022-blake3-chacha20-poly1305 cipher 个人感觉更稳。 不论用何种方式,都建议在远端配置禁止国内出站方向的流量。 |
 |
48
IDAEngine 2022-11-14 12:20:56 +08:00
你机房的问题,机房的 IP 段在黑名单
|
 |
50
HolaPz 2022-11-14 12:39:05 +08:00 4
@AlphaTauriHonda 你还别说 我一个 Trojan 的机器 443 被封 我就想试一试 SS 结果把我用了一年多的 IP 直接墙了 半个月了都
|
 |
51
herozzm 2022-11-14 12:43:50 +08:00 via Android
最好用>=2 线路做负载,不要把流量往一条线路灌,流量一大,达到封锁线就 over 了
|
|
52
herozzm 2022-11-14 12:44:56 +08:00 via Android
梯子不要给别人用,人多了特征太明显了
|
 |
53
charlieethan 2022-11-14 12:48:01 +08:00
如果想求稳的话,建议 CN2/9929 线路用 naiveproxy ,普通线路用 Tuic / Hysteria
|
 |
54
DearMark 2022-11-14 12:51:01 +08:00 1
它不是墙,叫他(她):天网
|
 |
55
fork3rt 2022-11-14 13:00:28 +08:00
别用 BWH 就行
|
 |
56
Aixtuz 2022-11-14 13:07:06 +08:00
@HolaPz
+1 两种同时开着,自用查资料,月流量几个 G 。 先是 Trojan 封端口,后是 ss-libev+AEAD 封 IP , 前几年的封禁高峰期,确实幸存了,但这次就完蛋了。 所以上面的兄弟,不能因为幸存几次就确信没事了。 如果是根据流量,那我几个 G 都被封,这个流量界限也很低了吧... |
 |
57
tyhunter 2022-11-14 13:09:49 +08:00
热门机房都是整段 IP 封的,所以并不是你的方式有问题,换机场或者类似龟壳这种无限换 IP 的比较稳一点
|
 |
58
star7th 2022-11-14 13:11:40 +08:00
我感觉很可能跟你分享出去给其他人用有关系。我是 v2ray 的 websocket 方式,四年来,只换过一次 ip ,其他情况最多有些干扰,但没被封过。
|
|
59
star7th 2022-11-14 13:12:32 +08:00
补充一下,我只给自己自用,不提供他人使用。
|
 |
60
ashong 2022-11-14 13:14:11 +08:00
现在的各种工具还没有实现动态端口的, 加个 http 通道传递端口信息即可
|
 |
61
tulongtou 2022-11-14 13:18:55 +08:00
443 ws+lts 从来没有被封过,最近换了 quic+lts 还没有被封。日本软银机房。和 56 楼一样,只有自己用。
|
 |
62
yopv2 2022-11-14 13:29:28 +08:00
公司内部使用 quic+lts N 年了 没有被封
|
 |
63
citydog 2022-11-14 13:30:11 +08:00
都知道用搬瓦工,为啥不知道用搬瓦工的 JustMySocks ?自动更好被墙的 ip
|
 |
64
guanhui07 2022-11-14 13:31:03 +08:00 via iPhone
换个端口
|
 |
66
majula 2022-11-14 13:38:06 +08:00
aHR0cHM6Ly9ob3N0bG9jLmNvbS90aHJlYWQtMTA4MjMzMC0xLTEuaHRtbA==
|
 |
67
leefor2020 2022-11-14 13:41:12 +08:00
@fork3rt ,现在还有啥其他的提供日本软银线路的 VPS 吗
|
 |
68
garipan 2022-11-14 13:51:15 +08:00
@photon006 GIA 这种优质线路 套了 CDN 属于浪费。我和 LZ 一模一样情况。Vmess+TLS+Nginx 流量一大就封端口。每天早上执行。
|
|
69
garipan 2022-11-14 13:53:52 +08:00
@citydog 我个人不用 JustMySocks 是因为觉得太浪费 IP 了,无脑暴力轰炸地址,让本就不充裕的 IPv4 地址雪上加霜……Vultr 当年就是因为太多中国人用来无脑暴力翻,导致现在上面的 IP ,20 个里面有 19 个都是坏的。
|
|
71
photon006 2022-11-14 14:00:00 +08:00
@garipan 套 cdn 的一个重要目的是隐藏公网 ip ,从安全方面考虑不用担心被封,我甲骨文小鸡稳定运行 9 个月从来不考虑被封,至于速度,能同时支持几台设备看油管 4k 足够了,再快也没啥意义,就好比 4g 够用的情况追求 5g 那样无聊。
|
 |
72
zxbiao 2022-11-14 14:15:07 +08:00
搬瓦工的 IP 可是热门封锁的 IP 段和商家。。。
还有,能尽量不依赖一键包的就不要用一键包,参考别人的配置然后自己编写 config ,这样你就会对这个工具的配置文件有了深刻的了解了。 我折腾了一段时间后,现在实现了多个服务器随机负载+透明网关 记得要屏蔽回国流量 记得要屏蔽回国流量 记得要屏蔽回国流量 |
 |
75
LXGMAX 2022-11-14 14:59:31 +08:00
和机子地区也有关系,IP 要是在热门地区比如 LA 那就是重点关照对象
|
|
76
Sekai 2022-11-14 15:17:00 +08:00
@photon006 感谢 不过稍微有点疑惑的是开启云朵之后在访问一些 ip 检测网站的时候还是能够显示我的源 ip ,这种情况算正常?
|
|
78
photon006 2022-11-14 15:27:31 +08:00
@Sekai 你访问经过梯子的目标网站当然知道你的源 ip ,但 gfw 不知道你访问的梯子 ip ,他只知道你访问了 cf cdn ,流量路径差不多是这样:
手机 > 软路由( ssr-plus: vless )> 运营商 > gfw > cf cdn > oracle vps (nginx > v2fly-core) > cf warp > target website cf warp 看情况要不要用,每个人需要不一样。 |
 |
79
DokiDokiSophon 2022-11-14 15:34:06 +08:00 via Android
在用 naiveproxy 续命中。。。
|
 |
84
hoky 2022-11-14 15:56:28 +08:00
楼主如果是瓦工绝版的,出的话我占个位。
我的瓦工 2 台一直很稳,就是流量不够用。 |
|
86
July1991 OP |
|
87
garipan 2022-11-14 16:05:32 +08:00
@photon006 话说,你套完 CDN 延迟如何?因为目前并不封 IP ,只封端口,本来 Nginx+WS+TLS 这一套下来 延迟就已经很高了,个人感觉套 CDN 不是一个高性价比的终极解决方案。我现在还是想知道有没有更优雅、更简短快速高效的方案。
|
|
88
photon006 2022-11-14 16:13:48 +08:00
@garipan
坐标成都,随手测一下,ping 我的域名,也就是本机到 cf cdn 之间耗时 移动:215ms 电信:200ms 联通:177ms cf cdn 到东京甲骨文应该很快可以忽略不计。 另外我用 hk 小鸡自建 adguardhome ,所有 dns 通过 doh 加密查询防止运营商、gfw 偷窥,本机到 hk 小鸡的延迟只有 40-60ms ,整体体验没有收费机场快,还能接受,自用稳定性高,不像机场节点三天两头崩。 |
 |
89
snowish 2022-11-14 16:16:55 +08:00 1
SSL 端口被封,IP 没被封,这是最近方校长的操作。通过我近一个月的观察,发现被封规律是这样的:
1 、服务器在北美; 2 、V2 或 Xray 在前端; 3 、Nginx 或 Caddy 在后端; 4 、不管是 443 ,还是 8443 ,还是更换更高位的端口,都被封; 5 、被封时间不确定。上午,下午,早上,晚上,都有; 6 、大流量,小流量,都被封,只要有连接,就容易被封; 7 、与 SSL 证书签发机构、签发方式等无关; 8 、服务端部署方式是一键脚本还是 step by step ,都容易被封; 9 、国内城市、运营商无关,都容易被封。 于是,我做了个小小的调整。目前帮国内亲友管着很多台 vps ,都做了重新配置后稳定运行将近 1 个月,说明暂时是可行的,等哪天还被封,我再上来给大家汇报。 以 xray+nginx 为例: 调整为 Nginx 在前端,监听多个 SSL 端口:443 端口和其他端口 XXXXX 。 我当时做这样的调整,也不知道有这个玄机。配了两个端口,让他们只改端口号,其他参数不变,然后新增了一个 ws 套 cdn 的。我告诉他们,当你发现直连这个不行时,切换到 cdn 这个有可能会变慢,但至少可以保证还能外出。结果,没有一个人说直连被封。 怎么改,请看我之前的 post: https://www.v2ex.com/t/892136 如果需要更详细的 conf 和 json 文件,电报上找我。 |
 |
90
levenwindy 2022-11-14 16:18:15 +08:00 via Android
@LZSZ 只要是国内手机号注册的推,脸,就一定能查到你,还有 TG
|
 |
91
davelm 2022-11-14 16:30:21 +08:00
WS 套 CDN,虽然延迟高,但是速度还行啊,一个月下来平均 2T 的流量
反正就是只要不对延迟有高要求,套 cdn 还是不错的 |
|
93
roding 2022-11-14 16:52:59 +08:00
@snowish 我用了 nginx 做反代,xray 是路径分流的。服务器在北美,也只是坚持了两天。现在落地机做端口转发,把流量转到 443 ,就算换端口也是客户端换一下就好了。
|
|
94
zxbiao 2022-11-14 17:28:29 +08:00 1
@July1991 #86
@roding #92 如果是用 V2RAY 系的工具搭建, 可以在 config.json 的 routing-rules 尾部加入 ---------------------------------- // 屏蔽中国 IP 和私有 IP { "type": "field", "ip": [ "geoip:cn", "geoip:private" ], "outboundTag": "cnblock" } ---------------------------------- 在 outbounds 尾部加入 ---------------------------------- // 屏蔽中国 IP 和私有 IP { "protocol": "blackhole", "settings": { "response": { "type": "http" } }, "tag": "cnblock" } ---------------------------------- 这个屏蔽回国流量,仅在使用科学时生效,不影响其他国内直连。 至于为什么要屏蔽回国流量,是以防不小心全局出国之后,部分流量出口转内销或国内某些大厂配合防火墙搞事(说的就是某些安全软件,会扫描机器是否开了代理,然后通过代理访问特定的 IP 或域名),从而避免被防火墙怀疑是代理服务器。 |
 |
95
lp7631010 2022-11-14 17:37:31 +08:00
我的 vir 3.99 刀的腊鸡机,用 3 年了依旧坚挺
|
|
96
zxbiao 2022-11-14 17:40:10 +08:00
@zxbiao #94
已知 X-UI 的默认设置是没有屏蔽回国的流量的,而且 GitHub 的源码上次更新已经是 2022.4.28 ,release 最后更新是 2021.8.25 。 |
 |
97
followztx 2022-11-14 17:46:53 +08:00 16
3 亿浏览外网的大陆人,10 多年来每人平均被墙耗费 1 天(配置代理、延迟、断网)。
1 条人命 3 万多天,方滨兴的一个想法上万人的生命陪葬。 楼上楼下的所有人,被 GFW 谋杀的时间有少于 5 天的吗? |
 |
98
MrKrabs 2022-11-14 17:56:32 +08:00 1
我 ss+ipv6 随便跑
|
|
99
snowish 2022-11-14 18:08:28 +08:00
以下是我的 nginx conf 配置:
server { listen 443 ssl http2; listen [::]:443 ssl http2; ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径 ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径 ssl_protocols TLSv1.3; ssl_ecdh_curve X25519:P-256:P-384:P-521; server_name www.fuckfang.ri; //修改为你的域名 index index.html index.htm; root /www/xray_web; //修改为你的 web 路径,或者随便 error_page 400 = /400.html; # Config for 0-RTT in TLSv1.3 ssl_early_data on; ssl_stapling on; ssl_stapling_verify on; add_header Strict-Transport-Security "max-age=63072000" always; location /fuckfang/ //修改为你的路径 { proxy_redirect off; proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口 proxy_http_version 1.1; proxy_set_header X-Real-IP \$remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $http_host; # Config for 0-RTT in TLSv1.3 proxy_set_header Early-Data $ssl_early_data; } } server { listen xxxxx ssl http2; //这段 server 完全复制上面的,仅修改 xxxxx 端口号 listen [::]:xxxxx ssl http2; ssl_certificate /certs/fuckfang.ri.cer; //修改为你的证书路径 ssl_certificate_key /certs/fuckfang.ri.key; //修改为你的 key 路径 ssl_protocols TLSv1.3; ssl_ecdh_curve X25519:P-256:P-384:P-521; server_name www.fuckfang.ri; //修改为你的域名 index index.html index.htm; root /www/xray_web; //修改为你的 web 路径,或者随便 error_page 400 = /400.html; # Config for 0-RTT in TLSv1.3 ssl_early_data on; ssl_stapling on; ssl_stapling_verify on; add_header Strict-Transport-Security "max-age=63072000" always; location /fuckfang/ //修改为你的路径 { proxy_redirect off; proxy_pass http://127.0.0.1:47141; //修改为你的 Xray 监听端口 proxy_http_version 1.1; proxy_set_header X-Real-IP \$remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $http_host; # Config for 0-RTT in TLSv1.3 proxy_set_header Early-Data $ssl_early_data; } } server { listen 80; listen [::]:80; server_name www.fuckfang.ri; //修改为你的域名 return 301 https://$http_host$request_uri; } |
 |
100
diguoemo 2022-11-14 18:17:47 +08:00 via Android
目前 ipv6 基本没有识别,可以裸奔 ss 协议,https 也不会封端口
|
Select Language