Чтобы улучшить нашу маскировку, отключим пинг nano /etc/ufw/before.rulesМеняем концовку следующего в / Linux :: мопед не мой :: Операционная система :: Кликабельно :: длиннопост :: shadowsocks :: 3x-ui

3x-ui shadowsocks длиннопост Кликабельно Linux Операционная система мопед не мой 

Ссылка на GitHub автора скрипта

o cm
© Overview
A Inbounds ® Panel Settings
CPU: 1 Core Speed: 2.85 GHz
& Xray Configs
G Log Out	____ ____________ _____________
3X-UI (v2.1.3) Xray (Vl.8j) (@pane!3xui)
Status: (junning^) (Stop^1 ^Restart Version
System Load: 0 | 0 | 0 ©
(§> IPv4: ©
^ 1.75 KB/s©
26.47%
RAM: 253.50

3x-ui это удобная централизованная панель управления клиентами Shаdоwsоcks-а - созданного для oбхoда цeнзуpы.

Её основные фичи:

- Мониторинг состояния системы.
- Мониторинг подключенных клиентов.
- Поддержка многопользовательской и многопротокольной работы.
- Статистика трафика, ограничение трафика и ограничение времени работы для каждого клиента.
- Поддерживает применение SSL-сертификата для домена в один клик и его автоматическое продление (при наличии домена).

1. Установка на linux сервер.

apt update && apt upgrade -y
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

В конце очень быстрой установки, мы получим логин и пароль. 

Либо, мы сами вводом свои данные "логин-пароль-порт".

Панель управления 3X-UI находится по адресу: http://yourip:2053 (или ваш порт).

2. Получаем SSL на панель

Расскажу от 3 способах получить SSL, первый, встроен в скрипт 3X-UI. Поэтому начнем с него.

2.1. Через X-UI:

напишем команду в консоли:

x-ui
Выбираем пункт 15 и введем наш домен, к которому прилинкован IP сервера.

The OS release is: ubuntu
3X-ui Panel Management Script
O.	Exit Script
1.	Install x-ui
2.	Update x-ui
3.	Uninstall x-ui
4.	Reset Username & Password & Secret Token
5.	Reset Panel Settings
6.	Change Panel Port
7.	View Current Panel Settings
8.	Start x-ui
9.	Stop x-ui
10.	Restart x-ui

Переходим в панель 3X-UI по адресу yourdomain.com:2053(или тот порт, который вы указали при установке). В разделе Panel Settings прописываем пути к сертификатам SSL:

/root/.acme.sh/your_domain_ecc/fullchain
/root/.acme.sh/your_domain_ecc/your_domain
Пример:

Public Key Path	/root/.acme.sh/your_domain_eccyfullchain.pem
The public key file path for the web panel, (begins with '/')
Private Key Path	/root/.acme.sh/your_domain_eccyyour_domain.pem
The private key file path for the web panel, (begins with

2.2. Через Cloudflare. Прилинковываем наш домен к Cloudflare и выпускаем сертификат на 15 лет через их сервис

JK&
CLOUDFLARE
O Add site Q. Support ▼ English
<-	vpneasy.pro	►
B	Overview	
0	Analytics & Logs	-
	DNS	-
íEI	Email	-
a	SSL/TLS Overview Edge Certificates Client Certificates	
Origin Server		
	Custom Hostnames	
	Security	-
*©	Access	
	Speed	▼
O 1—s	Caching	-
«	Collapse sidebar

2.3. Через Acme:

apt install cron  && apt install socat
curl https://get.acme.sh | sh -s email=mail@mail.com
mkdir -p /var/lib/certs/
DOMAIN и SUBDOMAIN1.DOMAIN — пишем наши домены и суб-домены. Которые мы прилинковали заранее к нашему IP. Если суб-домены не нужны, удаляем их.
~/.acme.sh/acme.sh --set-default-ca --server letsencrypt --issue --standalone \
-d DOMAIN \
--key-file /var/lib/certs/key.pem \
--fullchain-file /var/lib/certs/fullchain.pem

Добавляем наши полученные сертификаты в панель 3X-UI, вместе с доменом.

3. Создаем VPN профайлы

= General Actions
Menu	Enabled
Remark
Host-1
Host-2
Host-3,3x-ui,shadowsocks,длиннопост,Кликабельно,Linux,Операционная система,мопед не мой

3.1 ShadowsocksПереходим на вкладку Inbounds > Add Inbound
Remark — любое рандомное название
Protocol — shadowsocks

Нажимаем Create


3.2 VLЕSS + Rеаlity
Remark — любое рандомное название
Protocol — vless
Port — 443
Ниже, где Transparent Proxy ставим галочку на Reality
uTLS — Chrome
Dest — microsoft.com:443
Server Names — microsoft.com,www.microsoft.com

И нажать кнопку Get New Key > Create


3.3 Если у вас занят 443 порт, то пользуем альтернативу: VLESS/VMESS no 443
Порт — пусто (по умолчанию)
Безопасность — TLS
Протокол передачи — TCP
Сертификат — сертификат с панели, который мы ранее выпустили

uTLS — random


Ну и вы можете сами экспериментировать с протоколами )

4. Безопасность сервера

4.1 Защитим сервер от взлома через брутфорс:

apt install fail2ban -y && apt install ufw -y && apt install nano -y
touch /etc/fail2ban/jail.local && nano /etc/fail2ban/jail.local
[sshd]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/auth.log
findtime = 600
maxretry = 3
bantime = 43200

Нажимаем ctlr + x, далее Y и enter, чтобы сохранить.

4.2 Отключаем двухсторонний пинг

Чтобы улучшить нашу маскировку, отключим пинг

 nano /etc/ufw/before.rules

Меняем концовку следующего выражения с ACCEPT на DROP:

-A ufw-before-input -р icmp --icmp-type echo-request -j DROP,3x-ui,shadowsocks,длиннопост,Кликабельно,Linux,Операционная система,мопед не мой

4.3 Включаем фаервол

Чтобы включить фаервол, нужно заранее выписать все используемые порты на сервере, для этого мы установим netstat и посмотрим какие порты нужно открыть:

apt install net-tools
netstat -ntlp | grep LISTEN

Смотрите порты, которые идут после 0.0.0.0:порт или IP_адрес вашего_сервера:порт, например:

0.0.0.0:993

76.20.7.12:53:::22

Их необходимо открыть в UFW или через панель управления вашим сервером/хостингом. 

Смотря как это реализовано у вас. 

Например:

ufw allow 22/tcp && ufw allow 443 && ufw allow 40000 && ufw enable

Подтверждаем через Y + Enter

Напоследок очистимся и перезагрузимся:

apt update && apt upgrade -y && apt autoclean -y && apt clean -y && apt autoremove -y && reboot

Теперь можно отсканировать QR код в панели управления и пользоваться vрn на Shаdоwsоcks на вашем устройстве.

Ссылка на статью


Подробнее
o cm © Overview A Inbounds ® Panel Settings CPU: 1 Core Speed: 2.85 GHz & Xray Configs G Log Out ____ ____________ _____________ 3X-UI (v2.1.3) Xray (Vl.8j) (@pane!3xui) Status: (junning^) (Stop^1 ^Restart Version System Load: 0 | 0 | 0 © (§> IPv4: © ^ 1.75 KB/s© 26.47% RAM: 253.50 MB/957.51 MB ©IPv6:© * 7.64 KB/s © 0% Swap: 0 B / 0 B Manage: Logs Config Backup & Restore Uptime: Xray (ld8h) OS(ld9h) Usage: RAM 35.60 MB - Threads 19 ^ TCP: 28 © G> 9.83 GB © 20.05% Disk: 3.85 GB/19.20 GB ^ UDP: 6 © O 10.04 GB©
The OS release is: ubuntu 3X-ui Panel Management Script O. Exit Script 1. Install x-ui 2. Update x-ui 3. Uninstall x-ui 4. Reset Username & Password & Secret Token 5. Reset Panel Settings 6. Change Panel Port 7. View Current Panel Settings 8. Start x-ui 9. Stop x-ui 10. Restart x-ui 11. Check x-ui Status 12. Check x-ui Logs 13. Enable x-ui On System Startup 14. Disable x-ui On System Startup 15. SSL Certificate Management 16. Cloudflare SSL Certificate 17. IP Limit Management 18. WARP Management 19. Enable BBR 20. Update Geo Files 21. Active Firewall and open ports 22. Speediest by Ookla
Public Key Path /root/.acme.sh/your_domain_eccyfullchain.pem The public key file path for the web panel, (begins with '/') Private Key Path /root/.acme.sh/your_domain_eccyyour_domain.pem The private key file path for the web panel, (begins with '/')
JK& CLOUDFLARE O Add site Q. Support ▼ English <- vpneasy.pro ► B Overview 0 Analytics & Logs - DNS - íEI Email - a SSL/TLS Overview Edge Certificates Client Certificates Origin Server Custom Hostnames Security - *© Access Speed ▼ O 1—s Caching - « Collapse sidebar SSL/TLS Origin Server Customize encryption of traffic between your origin server and Cloudflare. Origin server SSL/TLS documentation C X Advanced Certificate Manager Unlock more control and flexibility for your Certificates and SSL/TLS settings Activate Origin Certificates Generate a free TLS certificate signed by Cloudflare to install on your origin server. Origin Certificates are only valid for encryption between Cloudflare and your origin server. Create Certificate Hosts Expires On vpneasy.pro (1 host) Jan 5, 2039 Download Revoke ‘.vpneasy.pro, vpneasy.pro (2 hosts) Jan 5, 2039 Download Revoke Help ► Authenticated Origin Pulls TLS client certificate presented for authentication on origin pull. Configure expiration notification for your certificates here. This setting was last changed 3 hours ago API ► Help ► Contact What we do Resources Support About us Contact support Plans Documentation Knowledgebase Our team Contact sales Overview Blog Community Careers Call sales:+1 (888)993 5273 Features Case studies System status Press #oba Network Partners Trust & Safety Website Terms of Use Apps Customers Self-serve Subscription API Agreement Privacy Policy
= General Actions Menu Enabled Remark Host-1 Host-2 Host-3
-A ufw-before-input -р icmp --icmp-type echo-request -j DROP
3x-ui,shadowsocks,длиннопост,Кликабельно,Linux,Операционная система,мопед не мой
Еще на тему
Развернуть
Бывает, чел окном ошибся. Хотел отправить в рабочий чат, и вот...
Да здравствует новый хабр ,с блек - джеком и вождем!!
Vulpo Vulpo 14.02.202418:20 ответить ссылка 10.5
Чтобы потом реактор можно было блокнуть, по статье "рассказывают о способах установки ВПН"))
Ой, да похуй. Самое интересное уже давно блокнуто.
Спасибо, сохранил. Сейчас есть от paper.vpn, но если блокнут - буду идти по гайду
Вообще я конечно люблю такие гайды, где ввел такие-то команды и все работает. Но в столь щепетильном вопросе считаю это не очень хорошей идеей, т.к. юзер не поймет вообще что произошло и какие ньюансы есть у того, что он проделал.
frenzy frenzy 14.02.202418:12 ответить ссылка 0.9
+100500
L_S_ L_S_ 14.02.202418:31 ответить ссылка -1.5
11 пункт - проверка статуса xui. Покажет стоит xui или нет?
Спасибо
Делал примерно так, работает. Но скорость не очень.
Интересно, бывает ли скорость лучше - или надо смириться? Кто-нибудь сравнивал?
tfik tfik 14.02.202419:38 ответить ссылка -1.5
Теоретически openvpn с cloak или amnezia (форк wireguard) будет быстрее. Первый вариант точно не отвалится, а второй ещё быстрее чем первый но ему рано или поздно подпилять init handshake как на wireguard
Gossy Gossy 14.02.202419:49 ответить ссылка -1.5
Нужно включить BBR

алгоритм контроля перегрузки TCP congestion control — BBR.
Новый алгоритм позволяет значительно увеличить пропускную способность и уменьшить задержку при передачи данных по сети.

sudo nano /etc/sysctl.conf

Необходимо добавить эти два параметра в самый конец файла.
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr

После чего включить добавленные параметры ядра командой:

sysctl -p

Проверить, какой именно алгоритм управления перегрузкой включен можно командой:

sysctl -a | grep congestion

Друг, я зарегался только чтобы поблагодарить тебя, спасибо тебе большое, скорость и стабильность подключения заметно стали лучше

Ага. Иногда сотрудники гугла делают добро.
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
Зря я им сказала, что исправила утечку памяти в ядре Ыпих...
подробнее»

Linux Операционная система ядро утечка

Зря я им сказала, что исправила утечку памяти в ядре Ыпих...
My kidnappers returning me after listening to me talk about Linux for two hours