[@BioniCosmos](https://github.com/BioniCosmos)
- tg群突破2500。
@@ -175,16 +173,16 @@ sidebar: auto
## 2020.12.24
-因为某些不可描述的原因,Xray 的文档网站已在发布日前偷跑上线。
+
::: warning 注意
对PuTTY的任何设置更新都要再次手动保存Session,不然关闭后就会丢失
-:::
-
-
+:::
4. 点击 Open 就会进入SSH连接窗口,对应下图输入用户名与密码,与你的VPS远程主机建立连接。(本文假设默认用户名是 `root`,另外,在Linux系统输入密码的时候,是不会出现 `******` 这种提示符的,这样可以避免密码长度泄漏,不是你的键盘坏掉了哦!)
@@ -86,4 +86,4 @@
**恭喜你又迈出了坚实的一步!** 现在,你已经可以通过SSH来登录你的远程服务器了!那登录进去之后,除了升级软件之外,应该再做点什么呢?敬请进入下一章一探究竟吧!
-> `⬛⬛⬛⬜⬜⬜⬜⬜ 37.5%` :::
+> ⬛⬛⬛⬜⬜⬜⬜⬜ 37.5%
diff --git a/docs/document/level-0/ch04-security.md b/docs/document/level-0/ch04-security.md
index 651f682..7c82a17 100644
--- a/docs/document/level-0/ch04-security.md
+++ b/docs/document/level-0/ch04-security.md
@@ -79,9 +79,9 @@ Linux服务器的安全防护是一个纷繁复杂的巨大课题。无数的网
- 说明:如果这一行开头有个`#`,证明这一行【不生效】(被注释掉了),你可像我一样在文件最后写一个不带`#`的,或者把`#`删掉就好。
-::: warning 注意
-本文以`9753`为例,就意味着随着本文的发布,这个端口会变成一个不大不小的特征,也许会被攻击者优先尝试、也许被GFW干扰、阻断。所以我强烈建议你用一个自己想到的其他端口,毕竟,你有6万多个端口可以自由选择。
-:::
+ ::: warning 注意
+ 本文以`9753`为例,就意味着随着本文的发布,这个端口会变成一个不大不小的特征,也许会被攻击者优先尝试、也许被GFW干扰、阻断。所以我强烈建议你用一个自己想到的其他端口,毕竟,你有6万多个端口可以自由选择。
+ :::
6. 我们要做的第三件事,是【保存文件并退出】
@@ -153,11 +153,11 @@ Linux服务器的安全防护是一个纷繁复杂的巨大课题。无数的网
在 `User Privilege Specification` 下加入一行 `vpsadmin ALL=(ALL) NOPASSWD: ALL` 即可。
-::: warning 注意
-我要特别说明的是`NOPASSWD`这个设置,它的意思是`vpsadmin`用户临时使用`root`权限时,不用额外输入密码。**这与一般的安全建议相反**。我之所以如此推荐,是因为很多新人不顾危险坚持使用`root`账号就是因为用`root`时不用重复输入密码、觉得轻松。“两害相权取其轻”,我认为【直接用`root`用户的风险】大于【使用`sudo`时不用输密码的风险】,所以做了以上的建议。
+ ::: warning 注意
+ 我要特别说明的是`NOPASSWD`这个设置,它的意思是`vpsadmin`用户临时使用`root`权限时,不用额外输入密码。**这与一般的安全建议相反**。我之所以如此推荐,是因为很多新人不顾危险坚持使用`root`账号就是因为用`root`时不用重复输入密码、觉得轻松。“两害相权取其轻”,我认为【直接用`root`用户的风险】大于【使用`sudo`时不用输密码的风险】,所以做了以上的建议。
-如果你希望遵守传统习惯、每次使用`sudo`时需要输入密码,那么这一行改成 `vpsadmin ALL=(ALL:ALL) ALL` 即可。
-:::
+ 如果你希望遵守传统习惯、每次使用`sudo`时需要输入密码,那么这一行改成 `vpsadmin ALL=(ALL:ALL) ALL` 即可。
+ :::
7. 完整流程演示如下:
@@ -223,9 +223,9 @@ Linux服务器的安全防护是一个纷繁复杂的巨大课题。无数的网
1. 点击`Generate`开始生成(在界面空白处乱晃鼠标增加随机数)
-::: warning 注意
-本图中是以 `2048` 位的 `RSA` 密钥为例的。但实际上,如果要获得与 `EDCSA/Ed25519` 的 `256` 位密钥相同的安全性,你需要使用 `3072` 位的 `RSA` 密钥。(即右下角的数字改成 `3072`)
-:::
+ ::: warning 注意
+ 本图中是以 `2048` 位的 `RSA` 密钥为例的。但实际上,如果要获得与 `EDCSA/Ed25519` 的 `256` 位密钥相同的安全性,你需要使用 `3072` 位的 `RSA` 密钥。(即右下角的数字改成 `3072`)
+ :::
2. 你可以给私钥设置密码,增加一层安全性
3. 点击 `Save public key` 保存公钥,文件名为 `id_rsa.pub`
@@ -317,4 +317,4 @@ Linux服务器的安全防护是一个纷繁复杂的巨大课题。无数的网
现在我们终于有了一个安全的系统基础,下一章,我们就可以开始逐步安装配置Xray需要的基础设施了!(什么基础设施呢?一个网页,一张证书)
-> `⬛⬛⬛⬛⬜⬜⬜⬜ 50%` :::
+> ⬛⬛⬛⬛⬜⬜⬜⬜ 50%
diff --git a/docs/document/level-0/ch05-webpage.md b/docs/document/level-0/ch05-webpage.md
index ec41d5d..11d4ebd 100644
--- a/docs/document/level-0/ch05-webpage.md
+++ b/docs/document/level-0/ch05-webpage.md
@@ -101,11 +101,9 @@
}
```
-
-::: warning 特别注意!
-如我在【第3步】中的提示所说,请务必确保 `/home/vpsadmin/www/webpage` 改成你的实际文件路径。
-:::
-
+ ::: warning 特别注意!
+ 如我在【第3步】中的提示所说,请务必确保 `/home/vpsadmin/www/webpage` 改成你的实际文件路径。
+ :::
3. 让 `nginx` 重新载入配置使其生效
```
@@ -152,4 +150,4 @@
至此,Xray的第一个基础设施【网页】已经就位,我们马上就进入第二个基础设施【证书】吧!
-> `⬛⬛⬛⬛⬛⬜⬜⬜ 62.5%` :::
+> ⬛⬛⬛⬛⬛⬜⬜⬜ 62.5%
diff --git a/docs/document/level-0/ch06-certificates.md b/docs/document/level-0/ch06-certificates.md
index 02a93ea..8ec5585 100644
--- a/docs/document/level-0/ch06-certificates.md
+++ b/docs/document/level-0/ch06-certificates.md
@@ -48,14 +48,14 @@
$ acme.sh --issue --test -d 二级域名.你的域名.com -w /home/vpsadmin/www/webpage --keylength ec-256
```
-::: warning 说明
-`ECC`证书的主要优势在于它的Keysize更小,意味着同等大小下安全性的提升和加密解密速度的加快。如 ECC-256bit 的强度大约相当于 RSA-3072bit,何乐而不为呢?当然,有人说ECC证书握手会明显更快,这我觉得就有些夸张了,因为RSA握手也没有太慢,就算有差别应该也是毫秒级,很难直接感知。
+ ::: warning 说明
+ `ECC`证书的主要优势在于它的Keysize更小,意味着同等大小下安全性的提升和加密解密速度的加快。如 ECC-256bit 的强度大约相当于 RSA-3072bit,何乐而不为呢?当然,有人说ECC证书握手会明显更快,这我觉得就有些夸张了,因为RSA握手也没有太慢,就算有差别应该也是毫秒级,很难直接感知。
-另外,如果有些网站确实需要兼容某些古老设备的,那也还是请按需选择`RSA`证书。
-:::
+ 另外,如果有些网站确实需要兼容某些古老设备的,那也还是请按需选择`RSA`证书。
+ :::
2. 你最终应该看到类似这样的提示:
- ```
+ ``` log
[Wed 30 Dec 2022 04:25:12 AM EST] Using ACME_DIRECTORY: https://acme-staging-v02.api.letsencrypt.org/directory
[Wed 30 Dec 2022 04:25:13 AM EST] Using CA: https://acme-staging-v02.api.letsencrypt.org/directory
[Wed 30 Dec 2022 04:25:13 AM EST] Create account key ok.
@@ -76,7 +76,7 @@
[Wed 30 Dec 2022 04:25:25 AM EST] Downloading cert.
[Wed 30 Dec 2022 04:25:25 AM EST] Le_LinkCert='https://acme-staging-v02.api.letsencrypt.org/acme/cert/xujss5xt8i38waubafz2xujss5xt8i38waubz2'
[Wed 30 Dec 2022 15:21:52 AM EST] Cert success.
---BEGIN CERTIFICAT--
+ --BEGIN CERTIFICAT--
sxlYqPvWreKgD5b8JyOQX0Yg2MLoRUoDyqVkd31PthIiwzdckoh5eD3JU7ysYBtN
cTFK4LGOfjqi8Ks87EVJdK9IaSAu7ZC6h5to0eqpJ5PLhaM3e6yJBbHmYA8w1Smp
wAb3tdoHZ9ttUIm9CrSzvDBt6BBT6GqYdDamMyCYBLooMyDEM4CUFsOzCRrEqqvC
@@ -101,7 +101,7 @@
NZFQWYJLNVf2M9CCJfbEImPYgvctrxl39H6KVYPCw1SAdaj9NneUqmREOQkKoEB0
x6PmNirbMscHhQPSC0JQaqUgaQFgba1ALmzRYAnYhNb0twkTxWbY7DBkAarxqMIp
yiLKcBFc5H7dgJCImo7us7aJeftC44uWkPIjw9AKH=
---END CERTIFICAT--
+ --END CERTIFICAT--
[Wed 30 Dec 2022 15:21:52 AM EST] Your cert is in /home/vpsadmin/.acme.sh/二级域名.你的域名.com_ecc/二级域名.你的域名.com.cer
[Wed 30 Dec 2022 15:21:52 AM EST] Your cert key is in /home/vpsadmin/.acme.sh/二级域名.你的域名.com_ecc/二级域名.你的域名.com.key
[Wed 30 Dec 2022 15:21:52 AM EST] The intermediate CA cert is in /home/vpsadmin/.acme.sh/二级域名.你的域名.com_ecc/ca.cer
@@ -111,6 +111,7 @@
3. 注意:这里申请的是测试证书,没办法直接用的,只是用来证明你的域名、配置全都正确。仔细观察,你会发现给你发证书的域名是 `https://acme-staging-v02.api.letsencrypt.org`,这个 `staging` 你就理解成【测试服】吧!
4. 如果这一步出错的话,你可以运行下面的命令,来查看详细的申请过程和具体的错误。(看不懂就隐藏掉敏感信息后,去Xray群里问吧)
+
```
$ acme.sh --issue --test -d 二级域名.你的域名.com -w /home/vpsadmin/www/webpage --keylength ec-256 --debug
```
@@ -128,12 +129,12 @@
$ acme.sh --issue -d 二级域名.你的域名.com -w /home/vpsadmin/www/webpage --keylength ec-256 --force
```
-::: warning 说明
-`--force` 参数的意思就是,在现有证书到期前,手动(强行)更新证书。上一步我们从“测试服”申请的证书虽然不能直接用,但是它本身是尚未过期的,所以需要用到这个参数。
-:::
+ ::: warning 说明
+ `--force` 参数的意思就是,在现有证书到期前,手动(强行)更新证书。上一步我们从“测试服”申请的证书虽然不能直接用,但是它本身是尚未过期的,所以需要用到这个参数。
+ :::
2. 你最终应该看到跟上面很像的提示:
- ```
+ ``` log
vpsadmin@vps-server:~$ acme.sh --issue -d 二级域名.你的域名.com -w /home/vpsadmin/www/webpage --keylength ec-256
[Wed 30 Dec 2022 15:22:51 AM EST] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Wed 30 Dec 2022 15:22:51 AM EST] Creating domain key
@@ -150,7 +151,7 @@
[Wed 30 Dec 2022 15:22:51 AM EST] Downloading cert.
[Wed 30 Dec 2022 15:22:51 AM EST] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/vsxvk0oldnuobe51ayxz4dms62sk2dwmw9zhuw'
[Wed 30 Dec 2022 15:22:51 AM EST] Cert success.
---BEGIN CERTIFICAT--
+ --BEGIN CERTIFICAT--
sxlYqPvWreKgD5b8JyOQX0Yg2MLoRUoDyqVkd31PthIiwzdckoh5eD3JU7ysYBtN
cTFK4LGOfjqi8Ks87EVJdK9IaSAu7ZC6h5to0eqpJ5PLhaM3e6yJBbHmYA8w1Smp
wAb3tdoHZ9ttUIm9CrSzvDBt6BBT6GqYdDamMyCYBLooMyDEM4CUFsOzCRrEqqvC
@@ -175,7 +176,7 @@
NZFQWYJLNVf2M9CCJfbEImPYgvctrxl39H6KVYPCw1SAdaj9NneUqmREOQkKoEB0
x6PmNirbMscHhQPSC0JQaqUgaQFgba1ALmzRYAnYhNb0twkTxWbY7DBkAarxqMIp
yiLKcBFc5H7dgJCImo7us7aJeftC44uWkPM=
---END CERTIFICAT--
+ --END CERTIFICAT--
[Wed 30 Dec 2022 15:22:52 AM EST] Your cert is in /home/vpsadmin/.acme.sh/二级域名.你的域名.com_ecc/二级域名.你的域名.com.cer
[Wed 30 Dec 2022 15:22:52 AM EST] Your cert key is in /home/vpsadmin/.acme.sh/二级域名.你的域名.com_ecc/二级域名.你的域名.com.key
[Wed 30 Dec 2022 15:22:52 AM EST] The intermediate CA cert is in /home/vpsadmin/.acme.sh/二级域名.你的域名.com_ecc/ca.cer
@@ -191,4 +192,4 @@
至此,Xray所需要的两个基础设施终于全部就位!千呼万唤始出来的Xray马上就要揭开面纱,我们终于要进入最激动人心章节啦!
-> `⬛⬛⬛⬛⬛⬛⬜⬜ 75%` :::
+> ⬛⬛⬛⬛⬛⬛⬜⬜ 75%
diff --git a/docs/document/level-0/ch07-xray-server.md b/docs/document/level-0/ch07-xray-server.md
index 1fbc10b..99f6a0c 100644
--- a/docs/document/level-0/ch07-xray-server.md
+++ b/docs/document/level-0/ch07-xray-server.md
@@ -44,9 +44,9 @@
$ rm ~/install-release.sh
```
-::: warning
-**注意:** 使用 `rm` 命令删除文件的时候,默认其实就是删除现在所在的文件夹下的文件。但是,**我依然写了完整的路径**: `~/install-release.sh`,这是我使用 `rm` 时的一个安全习惯、也是我把安装分成几步之后想强调一下的内容。如果你听过一些“程序员从删库到跑路”之类的段子,大概就知道为什么了。
-:::
+ ::: warning 注意
+ 使用 `rm` 命令删除文件的时候,默认其实就是删除现在所在的文件夹下的文件。但是,**我依然写了完整的路径**: `~/install-release.sh`,这是我使用 `rm` 时的一个安全习惯、也是我把安装分成几步之后想强调一下的内容。如果你听过一些“程序员从删库到跑路”之类的段子,大概就知道为什么了。
+ :::
5. 完整流程演示如下:
@@ -102,11 +102,11 @@
echo "Xray Restarted"
```
-::: warning 注意
-经大家提醒,`acme.sh` 有一个 `reloadcmd` 命令,可以在证书更新时自动执行特定命令,那么就可以指定自动给 `Xray` 安装证书,但因为 `crontab` 是 Linux 系统中一个非常有用、非常常用的功能,所以本文保留 `crontab` 的方式来更新 `Xray` 证书。(对 `reloadcmd` 感兴趣的同学可以查看 `acme.sh` 的[官方文档](https://github.com/acmesh-official/acme.sh))
+ ::: warning 注意
+ 经大家提醒,`acme.sh` 有一个 `reloadcmd` 命令,可以在证书更新时自动执行特定命令,那么就可以指定自动给 `Xray` 安装证书,但因为 `crontab` 是 Linux 系统中一个非常有用、非常常用的功能,所以本文保留 `crontab` 的方式来更新 `Xray` 证书。(对 `reloadcmd` 感兴趣的同学可以查看 `acme.sh` 的[官方文档](https://github.com/acmesh-official/acme.sh))
-另外,录制动图时,脚本中没有加入重启 `Xray` 的命令,是因为 `Xray` 计划支持【证书热更新】功能,即 `Xray` 会自动识别证书更新并重载证书、无需手动重启。待功能加入后,我将适当修改 `config.json` 开启此设置,并删除脚本中的重启命令。
-:::
+ 另外,录制动图时,脚本中没有加入重启 `Xray` 的命令,是因为 `Xray` 计划支持【证书热更新】功能,即 `Xray` 会自动识别证书更新并重载证书、无需手动重启。待功能加入后,我将适当修改 `config.json` 开启此设置,并删除脚本中的重启命令。
+ :::
4. 给这个文件增加【可执行】权限
```
@@ -155,9 +155,9 @@
$ touch ~/xray_log/access.log && touch ~/xray_log/error.log
```
-::: warning 注意
-这个位置不是`Xray`标准的日志文件位置,放在这里是避免权限问题对新人的操作带来困扰。当你熟悉之后,建议回归默认位置: `/var/log/xray/access.log` 和 `/var/log/xray/error.log` 。
-:::
+ ::: warning 注意
+ 这个位置不是`Xray`标准的日志文件位置,放在这里是避免权限问题对新人的操作带来困扰。当你熟悉之后,建议回归默认位置: `/var/log/xray/access.log` 和 `/var/log/xray/error.log` 。
+ :::
3. 因为Xray默认是nobody用户使用,所以我们需要让其他用户也有“写”的权限(`*.log` 就是所有文件后缀是`log`的文件,此时`CLI`界面的效率优势就逐渐出现了)
```
@@ -362,9 +362,9 @@
内核的稳定是一台服务器稳定运行的基石。**【BBR测试版带来的细微性能差异绝对不值得更换不稳定的内核。】** 请选择你所在的Linux发行版所支持的最新内核,这样可以最大限度的保持服务器的长期稳定和兼容。
-::: warning 注意
-所谓魔改`bbr`的【领先】是有非常强的时效性的。比如很多 `bbrplus` 脚本,因为几年来都没有更新,到现在还会把你的内核换成 `4.19`,要知道现在稳定如 Debian 已经是 `5.9` 的时代了,那么这个脚本放在2018年1月也许领先了一点,到2018年10月4.19正发布时就已经失去了意义,放在现在甚至可以说是完完全全的【降级】和【劣化】
-:::
+ ::: warning 注意
+ 所谓魔改`bbr`的【领先】是有非常强的时效性的。比如很多 `bbrplus` 脚本,因为几年来都没有更新,到现在还会把你的内核换成 `4.19`,要知道现在稳定如 Debian 已经是 `5.9` 的时代了,那么这个脚本放在2018年1月也许领先了一点,到2018年10月4.19正发布时就已经失去了意义,放在现在甚至可以说是完完全全的【降级】和【劣化】
+ :::
4. `fq`, `fq_codel`, `fq_pie`, `cake`和其他算法哪个好?
@@ -377,11 +377,11 @@
它能解决的也只有丢包率的问题。不太准确的比喻,就是本来你用一辆车送你的货,有时候车半路就坏了(丢包),用了这些以后,你直接派出3份一样的货,让三辆车同时送,只要有一辆没坏就能送到。马路上都是你的车,自然就能把别人挤下去。但可想而知,你挤别人的时候,别人也会来挤你,而整个机房的出口道路一共就那么宽,最终势必就变成集体大堵车了。
-::: warning 说明
-它们的原理不是算法优化、不是提速、大多数是简单粗暴的**多倍发包**。对于【丢包率非常高】的差线路可能有一点作用,但【对丢包率低的好线路没有任何优化作用,反而会成倍的消耗你的流量】,进而造成服务器和你的邻居不必要的压力。
+ ::: warning 说明
+ 它们的原理不是算法优化、不是提速、大多数是简单粗暴的**多倍发包**。对于【丢包率非常高】的差线路可能有一点作用,但【对丢包率低的好线路没有任何优化作用,反而会成倍的消耗你的流量】,进而造成服务器和你的邻居不必要的压力。
-如果你的线路真的丢包率奇高,真正靠谱的解决方案是【换线路】。
-:::
+ 如果你的线路真的丢包率奇高,真正靠谱的解决方案是【换线路】。
+ :::
6. 啰嗦了这么多,就是因为围绕 `BBR` 忽悠小白的错误概念和坑人脚本实在是太多了。我希望你们现在对 `BBR` 有了相对清晰的理解。接下来,我们就动手安装最新的Debian内核并开启`BBR` 吧!(真的很简单)
1. 给 Debian 10 添加官方 `backports` 源,获取更新的软件库
@@ -389,9 +389,9 @@
$ sudo nano /etc/apt/sources.list
```
-::: warning 说明
-本文以 Debian 10 为例,所以使用 `/etc/apt/sources.list` 仍无问题,但如果你并不是根据本文从头开始,或者使用了其他Linux发行版,那么建议你建立 `/etc/apt/sources.list.d/` 文件夹,并在这个文件夹内建立自己的配置文件,形如 `/etc/apt/sources.list.d/vpsadmin.list`,以此保证兼容性,也可避免默认文件在不可预见的情况下被覆盖而导致配置丢失。
-:::
+ ::: warning 说明
+ 本文以 Debian 10 为例,所以使用 `/etc/apt/sources.list` 仍无问题,但如果你并不是根据本文从头开始,或者使用了其他Linux发行版,那么建议你建立 `/etc/apt/sources.list.d/` 文件夹,并在这个文件夹内建立自己的配置文件,形如 `/etc/apt/sources.list.d/vpsadmin.list`,以此保证兼容性,也可避免默认文件在不可预见的情况下被覆盖而导致配置丢失。
+ :::
2. 然后把下面这一条加在最后,并保存退出。
@@ -404,22 +404,22 @@
$ sudo apt update && sudo apt -t buster-backports install linux-image-amd64
```
-::: warning 注意
-如果你的VPS支持,可以尝试【云服务器专用内核】`linux-image-cloud-amd64`,优点就是精简、资源占用低,缺点嘛是有同学反馈不支持的系统强行安装会导致无法开机(Kernel无法识别)。
+ ::: warning 注意
+ 如果你的VPS支持,可以尝试【云服务器专用内核】`linux-image-cloud-amd64`,优点就是精简、资源占用低,缺点嘛是有同学反馈不支持的系统强行安装会导致无法开机(Kernel无法识别)。
-为了避免无法识别的悲剧,请确保:
-- 尝试前做一个系统快照,或者
-- 你有 `vnc` 可以救场(并且你知道怎么用)
-:::
+ 为了避免无法识别的悲剧,请确保:
+ - 尝试前做一个系统快照,或者
+ - 你有 `vnc` 可以救场(并且你知道怎么用)
+ :::
4. 修改 `kernel` 参数配置文件 `sysctl.conf` 并指定开启 `BBR`
```
$ sudo nano /etc/sysctl.conf
```
-::: warning 说明
-本文以 Debian 10 为例,所以使用 `/etc/sysctl.conf` 仍无问题,但如果你并不是跟着本文从头开始,或者使用了其他Linux发行版,那么建议你建立 `/etc/sysctl.d/` 文件夹,并在这个文件夹内建立自己的配置文件,形如 `/etc/sysctl.d/vpsadmin.conf`,以此保证兼容性,因为部分发行版在 `systemd` 207 版本之后便不再从 `/etc/sysctl.conf` 读取参数。使用自定义配置文件也可避免默认文件在不可预见的情况下被覆盖而导致配置丢失。
-:::
+ ::: warning 说明
+ 本文以 Debian 10 为例,所以使用 `/etc/sysctl.conf` 仍无问题,但如果你并不是跟着本文从头开始,或者使用了其他Linux发行版,那么建议你建立 `/etc/sysctl.d/` 文件夹,并在这个文件夹内建立自己的配置文件,形如 `/etc/sysctl.d/vpsadmin.conf`,以此保证兼容性,因为部分发行版在 `systemd` 207 版本之后便不再从 `/etc/sysctl.conf` 读取参数。使用自定义配置文件也可避免默认文件在不可预见的情况下被覆盖而导致配置丢失。
+ :::
5. 把下面的内容添加进去
@@ -435,9 +435,9 @@
7. 完整流程演示如下:
-::: warning
-**啰嗦君:** 因为我做展示的VPS支持云服务器专用内核,所以动图中我用了 `linux-image-cloud-amd64` 。如果你不确定你的VPS是否支持,那请务必按照第3步的命令,使用常规内核 `linux-image-amd64`。
-:::
+ ::: tip 啰嗦君
+ 因为我做展示的VPS支持云服务器专用内核,所以动图中我用了 `linux-image-cloud-amd64` 。如果你不确定你的VPS是否支持,那请务必按照第3步的命令,使用常规内核 `linux-image-amd64`。
+ :::
@@ -531,7 +531,7 @@
恭喜!!到这一步,你已经拥有了可以正常科学上网的服务器、同时也有了可以防止主动探测攻击的伪装网站。接下来,只要给你的客户端装上合适的软件,就可以享受顺畅的网络了!
-> `⬛⬛⬛⬛⬛⬛⬛⬜ 87.5%`
+> ⬛⬛⬛⬛⬛⬛⬛⬜ 87.5%
## 7.11 重要勘误
diff --git a/docs/document/level-0/ch08-xray-clients.md b/docs/document/level-0/ch08-xray-clients.md
index 6d0ba84..1e9d5c8 100644
--- a/docs/document/level-0/ch08-xray-clients.md
+++ b/docs/document/level-0/ch08-xray-clients.md
@@ -277,9 +277,9 @@
C:\Xray-windows-64\xray.exe -c C:\Xray-windows-64\config.json
```
-:::warning 说明
-这里的 `-c` 就是指定配置文件路径的参数,告诉 `xray` 去后面的位置找配置文件
-:::
+ :::tip 说明
+ 这里的 `-c` 就是指定配置文件路径的参数,告诉 `xray` 去后面的位置找配置文件
+ :::
2. 相似的,在Linux和macOS下,假设你的 `Xray` 程序位置是 `/usr/local/bin/xray`,配置文件位置是`/usr/local/etc/xray/config.json`,那么正确的启动命令就是
@@ -287,9 +287,9 @@
$ /usr/local/bin/xray -c /usr/local/etc/xray/config.json
```
-:::warning 说明
-每个系统都有系统路径变量,所以写 `Xray` 程序时不一定要写绝对路径。但是写了肯定没错,所以我就如此演示了。
-:::
+ :::tip 说明
+ 每个系统都有系统路径变量,所以写 `Xray` 程序时不一定要写绝对路径。但是写了肯定没错,所以我就如此演示了。
+ :::
@@ -310,7 +310,8 @@
我相信,你现在一定对`Linux`不再恐惧,对`Xray`不再陌生了吧!
-**至此,小小白白话文圆满结束!** `⬛⬛⬛⬛⬛⬛⬛⬛` **`100%`**
+**至此,小小白白话文圆满结束!**
+> ⬛⬛⬛⬛⬛⬛⬛⬛ 100%
@@ -329,8 +330,7 @@
-:::tip
-**不算后记的后记:**
+:::tip 不算后记的后记
希望我陪你走过的这一段小小的旅程,可以成为你网络生活中的一份小小助力。
diff --git a/docs/document/level-0/ch09-appendix.md b/docs/document/level-0/ch09-appendix.md
index 320997f..ea74e22 100644
--- a/docs/document/level-0/ch09-appendix.md
+++ b/docs/document/level-0/ch09-appendix.md
@@ -4,37 +4,37 @@
| 编号 | 命令名称 | 命令说明 | 出现篇章 |
|:--:|:--|:--|:--:|
-| `cmd-01` | `apt update` | 查询软件更新 | [《远程登录篇》](../ch03-ssh) |
-| `cmd-02` | `apt upgrade` | 执行软件更新 | [《远程登录篇》](../ch03-ssh) |
-| `cmd-03` | `nano` | 文本编辑器 | [《安全防护篇》](../ch04-security) |
-| `cmd-04` | `systemctl restart` | 重启某个服务 | [《安全防护篇》](../ch04-security) |
-| `cmd-05` | `adduser` | 给系统新增用户 | [《安全防护篇》](../ch04-security) |
-| `cmd-06` | `apt install` | 安装某个软件 | [《安全防护篇》](../ch04-security) |
-| `cmd-07` | `visudo` | 修改sudo权限设置专用编辑器 | [《安全防护篇》](../ch04-security) |
-| `cmd-08` | `sudo` | 用`root`权限运行某个命令 | [《安全防护篇》](../ch04-security) |
-| `cmd-09` | `chmod` | 修改目标文件/文件夹的权限 | [《安全防护篇》](../ch04-security) |
-| `cmd-10` | `mkdir` | 新建文件夹 | [《网站建设篇》](../ch05-webpage) |
-| `cmd-11` | `systemctl reload` | 重新加载某个服务 | [《网站建设篇》](../ch05-webpage) |
-| `cmd-12` | `wget` | 访问(或下载)某个网页文件 | [《证书管理篇》](../ch06-certificates) |
-| `cmd-13` | `acme.sh` | acme.sh证书管理相关的命令 | [《证书管理篇》](../ch06-certificates) |
-| `cmd-14` | `rm` | 删除命令 | [《Xray服务器篇》](../ch07-xray-server) |
-| `cmd-15` | `crontab -e` | 编辑当前用户的定时任务 | [《Xray服务器篇》](../ch07-xray-server) |
-| `cmd-16` | `touch` | 建立空白文件 | [《Xray服务器篇》](../ch07-xray-server) |
-| `cmd-17` | `systemctl` | `systemd`基本服务管理命令 | [《Xray服务器篇》](../ch07-xray-server) |
-| `cmd-18` | `reboot` | 重启Linux系统 | [《Xray服务器篇》](../ch07-xray-server) |
+| `cmd-01` | `apt update` | 查询软件更新 | [《远程登录篇》](./ch03-ssh.md) |
+| `cmd-02` | `apt upgrade` | 执行软件更新 | [《远程登录篇》](./ch03-ssh.md) |
+| `cmd-03` | `nano` | 文本编辑器 | [《安全防护篇》](./ch04-security.md) |
+| `cmd-04` | `systemctl restart` | 重启某个服务 | [《安全防护篇》](./ch04-security.md) |
+| `cmd-05` | `adduser` | 给系统新增用户 | [《安全防护篇》](./ch04-security.md) |
+| `cmd-06` | `apt install` | 安装某个软件 | [《安全防护篇》](./ch04-security.md) |
+| `cmd-07` | `visudo` | 修改sudo权限设置专用编辑器 | [《安全防护篇》](./ch04-security.md) |
+| `cmd-08` | `sudo` | 用`root`权限运行某个命令 | [《安全防护篇》](./ch04-security.md) |
+| `cmd-09` | `chmod` | 修改目标文件/文件夹的权限 | [《安全防护篇》](./ch04-security.md) |
+| `cmd-10` | `mkdir` | 新建文件夹 | [《网站建设篇》](./ch05-webpage.md) |
+| `cmd-11` | `systemctl reload` | 重新加载某个服务 | [《网站建设篇》](./ch05-webpage.md) |
+| `cmd-12` | `wget` | 访问(或下载)某个网页文件 | [《证书管理篇》](./ch06-certificates.md) |
+| `cmd-13` | `acme.sh` | acme.sh证书管理相关的命令 | [《证书管理篇》](./ch06-certificates.md) |
+| `cmd-14` | `rm` | 删除命令 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `cmd-15` | `crontab -e` | 编辑当前用户的定时任务 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `cmd-16` | `touch` | 建立空白文件 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `cmd-17` | `systemctl` | `systemd`基本服务管理命令 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `cmd-18` | `reboot` | 重启Linux系统 | [《Xray服务器篇》](./ch07-xray-server.md) |
## 2. 小小白白Linux重要配置文件索引
| 编号 | 配置文件位置 | 文件说明 | 出现篇章 |
|:--:|:--|:--|:--:|
-| `conf-01` | `/etc/ssh/sshd_config` | SSH远程登录程序设置 | [《远程登录篇》](../ch03-ssh) |
-| `conf-02` | `/etc/nginx/nginx.conf` | Nginx程序设置 | [《网站建设篇》](../ch05-webpage) |
-| `conf-03` | `/etc/apt/sources.list` | apt软件源列表 | [《Xray服务器篇》](../ch07-xray-server) |
-| `conf-04` | `/etc/apt/sources.list.d/vpsadmin.list` | 用户自定义软件源列表列表 | [《Xray服务器篇》](../ch07-xray-server) |
-| `conf-05` | `crontab -e` | 当前用户的定时任务 | [《Xray服务器篇》](../ch07-xray-server) |
-| `conf-06` | `/etc/sysctl.conf` | 手动设置kernel参数 | [《Xray服务器篇》](../ch07-xray-server) |
-| `conf-07` | `/etc/sysctl.d/vpsadmin.conf` | 用户自定义kernel参数配置文件 | [《Xray服务器篇》](../ch07-xray-server) |
+| `conf-01` | `/etc/ssh/sshd_config` | SSH远程登录程序设置 | [《远程登录篇》](./ch03-ssh.md) |
+| `conf-02` | `/etc/nginx/nginx.conf` | Nginx程序设置 | [《网站建设篇》](./ch05-webpage.md) |
+| `conf-03` | `/etc/apt/sources.list` | apt软件源列表 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `conf-04` | `/etc/apt/sources.list.d/vpsadmin.list` | 用户自定义软件源列表列表 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `conf-05` | `crontab -e` | 当前用户的定时任务 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `conf-06` | `/etc/sysctl.conf` | 手动设置kernel参数 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `conf-07` | `/etc/sysctl.d/vpsadmin.conf` | 用户自定义kernel参数配置文件 | [《Xray服务器篇》](./ch07-xray-server.md) |
@@ -43,8 +43,8 @@
| 编号 | 配置文件位置 | 文件说明 | 出现篇章 |
|:--:|:--|:--|:--:|
-| `xray-01` | `/usr/local/etc/xray/config.json` | Xray程序设置 | [《Xray服务器篇》](../ch07-xray-server) |
-| `xray-02` | `/home/vpsadmin/xray_cert/xray.cert` | TLS证书 | [《Xray服务器篇》](../ch07-xray-server) |
-| `xray-03` | `/home/vpsadmin/xray_cert/xray.key` | TLS私钥 | [《Xray服务器篇》](../ch07-xray-server) |
-| `xray-04` | `/home/vpsadmin/xray_log/access.log` | Xray访问日志 | [《Xray服务器篇》](../ch07-xray-server) |
-| `xray-05` | `/home/vpsadmin/xray_log/error.log` | Xray错误日志 | [《Xray服务器篇》](../ch07-xray-server) |
+| `xray-01` | `/usr/local/etc/xray/config.json` | Xray程序设置 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `xray-02` | `/home/vpsadmin/xray_cert/xray.cert` | TLS证书 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `xray-03` | `/home/vpsadmin/xray_cert/xray.key` | TLS私钥 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `xray-04` | `/home/vpsadmin/xray_log/access.log` | Xray访问日志 | [《Xray服务器篇》](./ch07-xray-server.md) |
+| `xray-05` | `/home/vpsadmin/xray_log/error.log` | Xray错误日志 | [《Xray服务器篇》](./ch07-xray-server.md) |
diff --git a/docs/document/level-1/README.md b/docs/document/level-1/README.md
new file mode 100644
index 0000000..acdcc09
--- /dev/null
+++ b/docs/document/level-1/README.md
@@ -0,0 +1,18 @@
+# 入门技巧
+
+**这个章节是入门级的Xray使用心得分享,主要分享一些Xray常用功能模块的原理说明。**
+
+[回落 (fallbacks) 功能简析](./fallbacks-lv1.md)
+
+
+[路由 (routing) 功能简析(上)](./routing-lv1-part1.md)
+
+
+[路由 (routing) 功能简析(下)](./routing-lv1-part2.md)
+
+
+[Xray的工作模式简析](./work.md)
+
+
+[通过 SNI 回落功能实现伪装与按域名分流](./fallbacks-with-sni.md)
+
diff --git a/docs/document/level-1/fallbacks-lv1.md b/docs/document/level-1/fallbacks-lv1.md
new file mode 100644
index 0000000..fc6e44a
--- /dev/null
+++ b/docs/document/level-1/fallbacks-lv1.md
@@ -0,0 +1,401 @@
+# 回落 (fallbacks) 功能简析
+
+在使用Xray的过程中,你一定无数次的听说了【回落】这个功能。本文就稍微说明一下这个功能的逻辑以及使用方式。
+
+## 1. 回顾《小小白白话文》中的回落
+
+如果你用了《小小白白话文》中的[Xray配置](../level-0/ch07-xray-server#_7-4-配置xray),并完成了[HTTP自动跳转HTTPS优化](../level-0/ch07-xray-server#_7-8-服务器优化之二-开启http自动跳转https),那么你已经有了基于 `VLESS` 协议的简易回落:
+
+
+```
+"inbounds": [
+ {
+ "port": 443,
+ "protocol": "vless",
+ "settings": {
+ "clients": [
+ ...
+ ],
+ "decryption": "none",
+ "fallbacks": [
+ {
+ "dest": 8080 // 默认回落到防探测的代理
+ }
+ ]
+ },
+ "streamSettings": {
+ ...
+ }
+ }
+]
+```
+
+这一段配置用人话要怎么解释呢?
+
+1. **`Xray` 的入站端口 `[inbound port]` 是 `443`**
+
+ 即由 `Xray` 负责监听 `443` 端口的 `HTTPS` 流量
+
+2. **`Xray` 的入站协议 `[inbound protocol]` 是 `vless`**
+
+ 只有 `vless` 协议的流量才会流入 `Xray` 中做后续处理。
+
+ ::: warning
+ **注:** `VLESS` 这个轻量协议开发的初衷就是给 `xray` 及 `v2fly` 等核心引入回落功能、并同时减少冗余校验/加密。(当然,到目前为止,`xray` 中的 `trojan` 协议也已完整支持回落功能。)
+ :::
+
+3. **回落目标端口 `[fallback dest]` 是 `8080`**
+
+ `Xray` 接受 `443` 端口的访问流量后,属于 `vless` 协议的流量、由 `Xray` 进行内部处理并转发至出站模块。而其他非 `vless` 协议的流量,则转发至 `8080` 端口。
+
+ ::: warning
+ **问:到底是单数还是复数?**
+
+ 答:一定有聪明的同学发现,配置文件中,明明是复数 `inbounds`, `fallbacks`,为什么我解释的时候都是单数:`inbound`, `fallback` 呢?
+
+ 因为,配置文件中用复数,说明 `xray` 支持 N 个同等级的元素(即N个入站,M个回落等等),上面的示例解析中仅仅是其中一个,所以我用了单数。
+ :::
+
+4. **回落给 `8080` 端口的流量,由后续程序处理**
+
+ 小小白白话文中的示例,就是 `8080` 端口由 `Nginx` 处理,根据配置找到并展示小熊猫的网页。
+
+5. **总结,小小白白话文示例中的最简单回落,完整数据路线如下:**
+
+ ``` mermaid
+ graph LR;
+
+ W(外部 HTTP:80 请求) --> N80(HTTP:80)
+
+ subgraph Nginx 外部监听
+ N80 -.- N301(301转写) -.- N443(HTTPS:443)
+ end
+
+ N443 --> X(Xray 监听 443) .- X1{入站判断}
+ X1 --> |接收 VLESS 流量| X2(Xray内部规则)
+ X2 --> O(Xray Outbounds 出站)
+ X1 ==> |回落 非VLESS 流量| N8080(Nginx:8080)
+ N8080:::nginxclass ==> H(index.html)
+
+ H:::nginxclass
+ classDef nginxclass fill:#FFFFDE
+
+ ```
+
+
+## 2. 重新认识回落 (WHAT, HOW `v1`)
+
+基于上面的示例,你应该就可以明白什么是回落(What)和怎么回落(How)了,简单地说就是下面这几个要素:
+
+1. 回落的时间是流量进入 `Xray监听端口` 后
+2. 回落的依据是 `协议类型` 等流量特征
+3. 回落的目标是某个 `端口`
+4. 被回落的流量由监听 `回落端口` 的后续程序接手
+
+
+
+## 3. 为什么要回落 (WHY `v1`)
+最初,是为了防御 **【主动探测】** (Active Probing)
+
+**主动探测:** 简单粗暴的理解,就是指外部通过发送特定的网络请求,并解读服务器的回应内容,来推测服务器端是否运行了 `xray`, `v2fly`, `shadowsocks` 等代理工具。一旦可以准确认定,则服务器可能受到干扰或阻断。
+
+之所以可以根据服务器回应内容进行解读,就是因为一次完整的数据请求,其实有很多数据交换的步骤,每一个步骤,都会产生一些软件特征。用大白话说就是:
+
+- 正常的网站的回应,一定【会有】类似 `Nginx`, `Apache`, `MySQL` 的Web服务、数据库等工具的特征
+- 正常的网站的回应,一定【不会有】类似 `xray`, `v2fly`, `shadowsocks` 等代理工具的特征
+
+于是,当我们给 `Xray` 提供了【回落】功能后(如上例,回落给 `Nginx`),面对任何用来探测的请求,产生的结果是:
+
+- 探测流量无法掌握你的 `VLESS` 要素,故都会被回落至 `Nginx`
+- 探测流量全都回落进入 `Nginx` ,故VPS服务器的回应一定【会有】 `Nginx` 的特征
+- 因为 `Xray` 本身不对探测流量做任何回应 ,所以VPS的回应一定【不会有】 `Xray` 的特征
+
+至此,【回落】功能就从数据交互逻辑上解决了服务器被 **【主动探测】** 的安全隐患。
+
+
+
+## 4. 重新认识【回落の完全体】 (WHAT, WHY, HOW `v2`)
+
+为什么又要再次认识回落呢? 因为,上面仅仅说清楚了基于“协议”的、抵抗【主动探测】的初版回落。
+
+在 [rprx](https://github.com/rprx) 不断开发迭代 `VLESS` 协议及 `fallback` 功能的过程种,逐渐发现,回落完全可以更加灵活强大,只要在保证抵抗【主动探测】的前提下,充分利用数据首包中的信息,其实可以做到多元素、多层次的回落。(如 `path`, `alpn` 等)
+
+基于这个开发理念,【回落】功能才逐渐成长为现在的完全体,即完成了 `纯伪装 --> ws分流 --> 多协议多特征分流` 的进化。最终版甚至完全替代了以前要用Web服务器、其他工具才能完成的分流的功能。且由于上述的【回落/分流】处理都在首包判断阶段以毫秒级的速度完成、不涉及任何数据操作,所以几乎没有任何过程损耗。
+
+**因此,现在 `Xray` 中【完整体的回落功能】,同时具备下述属性:**
+
+- **安全:** 充分抵御主动探测攻击
+- **高效:** 几乎毫无性能损失
+- **灵活:** 数据灵活分流、常用端口复用(如443)
+
+::: tip 啰嗦君
+这样多轮介绍虽然略显繁琐,但只有这样层层深入展开,才能充分的说明【回落の完全体】独有的强大!
+:::
+
+
+## 5. 多层回落示例及解读
+
+理解了【回落の完全体】是什么,那就可以动手操作配置多层回落了。其实,项目已经提供了非常完整的示例,即官方模板中的 [VLESS-TCP-XTLS-WHATEVER](https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-WHATEVER/)。
+
+### 5.1 首先,我将服务器端配置的 443 监听段摘抄如下:
+
+```
+{
+ "port": 443,
+ "protocol": "vless",
+ "settings": {
+ "clients": [
+ {
+ "id": "", // 填写你的 UUID
+ "flow": "xtls-rprx-direct",
+ "level": 0,
+ "email": "love@example.com"
+ }
+ ],
+ "decryption": "none",
+ "fallbacks": [
+ {
+ "dest": 1310, // 默认回落到 Xray 的 Trojan 协议
+ "xver": 1
+ },
+ {
+ "path": "/websocket", // 必须换成自定义的 PATH
+ "dest": 1234,
+ "xver": 1
+ },
+ {
+ "path": "/vmesstcp", // 必须换成自定义的 PATH
+ "dest": 2345,
+ "xver": 1
+ },
+ {
+ "path": "/vmessws", // 必须换成自定义的 PATH
+ "dest": 3456,
+ "xver": 1
+ }
+ ]
+ },
+ "streamSettings": {
+ "network": "tcp",
+ "security": "xtls",
+ "xtlsSettings": {
+ "alpn": [
+ "http/1.1"
+ ],
+ "certificates": [
+ {
+ "certificateFile": "/path/to/fullchain.crt", // 换成你的证书,绝对路径
+ "keyFile": "/path/to/private.key" // 换成你的私钥,绝对路径
+ }
+ ]
+ }
+ }
+},
+```
+
+这一段配置用人话要怎么解释呢?
+
+1. **`Xray` 的入站端口 (`inbound port`) 是 `443`**
+
+ 即由 `Xray` 负责监听 `443` 端口的 `HTTPS` 流量,并使用 `certificates` 项下设定的 `TLS` 证书来进行验证
+
+2. **`Xray` 的入站协议 (`inbound protocol`) 是 `vless`**
+
+ `vless` 协议流量直接流入 `Xray` 中做后续处理
+
+3. **非 `VLESS` 协议流量有4个不同的回落目标:**
+
+ 1. `path` 为 `websocket` 的流量,回落给端口 `1234` 后续处理
+ 2. `path` 为 `vmesstcp` 的流量,回落给端口 `2345` 后续处理
+ 3. `path` 为 `vmessws` 的流量,回落给端口 `3456` 后续处理
+ 4. 其它所有流量,回落给端口 `1310` 后续处理
+
+4. **`xver` 为 `1` 表示开启 `proxy protocol` 功能,向后传递来源真实IP**
+
+5. **上述回落结构如下图所示:**
+
+ ``` mermaid
+ graph LR;
+
+ W443(外部 HTTP:443 请求) --> X443(Xray-inbound: 443) .- X1{入站判断}
+ X1 --> |协议 = VLESS 的流量| X2(Xray内部规则)
+ X2 --> O(Xray Outbounds 出站)
+
+ X1 --> |path = /websocket 的流量| X1234(Xray-inbound:1234)
+ X1 --> |path = /vmesstcp 的流量| X2345(Xray-inbound:2345)
+ X1 --> |path = /vmessws 的流量| X3456(Xray-inbound:3456)
+ X1 --> |其它所有流量| X1310(Xray-inbound:1310)
+
+ ```
+
+6. **网页回落不见了!**
+
+ 没错,聪明的同学应该发现了,防御【主动探测】的 `nginx回落` 不见了!!!这是为什么呢?会不会不安全?别急,我们继续分析:
+
+
+### 5.2 后续监听处理的配置段摘抄如下:
+
+1. 后续处理回落至 `1310` 端口的流量,按照下面的配置验证、处理:
+ ```
+ {
+ "port": 1310,
+ "listen": "127.0.0.1",
+ "protocol": "trojan",
+ "settings": {
+ "clients": [
+ {
+ "password": "", // 填写你的密码
+ "level": 0,
+ "email": "love@example.com"
+ }
+ ],
+ "fallbacks": [
+ {
+ "dest": 80 // 或者回落到其它也防探测的代理
+ }
+ ]
+ },
+ "streamSettings": {
+ "network": "tcp",
+ "security": "none",
+ "tcpSettings": {
+ "acceptProxyProtocol": true
+ }
+ }
+ },
+ ```
+
+ 看,神奇的事情发生了, `trojan` 协议这里又出现了一个新的 `fallbacks`。前面已经说过,`xray` 中的 `trojan` 协议也具有完整的回落能力,所以,此时 `trojan` 协议可以再次做判断和回落(这也就是传说中的套娃回落了):
+
+ - 所有 `trojan` 协议的流量,流入 `Xray` 中做后续处理
+ - 所有非 `trojan` 协议的流量,转发至 `80` 端口,【主动探测】的防御,完成!
+
+2. 后续处理回落至 `1234` 端口的流量,仔细看!它其实是 `vless+ws`:
+ ```
+ {
+ "port": 1234,
+ "listen": "127.0.0.1",
+ "protocol": "vless",
+ "settings": {
+ "clients": [
+ {
+ "id": "", // 填写你的 UUID
+ "level": 0,
+ "email": "love@example.com"
+ }
+ ],
+ "decryption": "none"
+ },
+ "streamSettings": {
+ "network": "ws",
+ "security": "none",
+ "wsSettings": {
+ "acceptProxyProtocol": true, // 提醒:若你用 Nginx/Caddy 等反代 WS,需要删掉这行
+ "path": "/websocket" // 必须换成自定义的 PATH,需要和分流的一致
+ }
+ }
+ },
+ ```
+
+3. 后续处理回落至 `2345` 端口的流量,仔细看!它其实是 `vmess直连`:
+ ```
+ {
+ "port": 2345,
+ "listen": "127.0.0.1",
+ "protocol": "vmess",
+ "settings": {
+ "clients": [
+ {
+ "id": "", // 填写你的 UUID
+ "level": 0,
+ "email": "love@example.com"
+ }
+ ]
+ },
+ "streamSettings": {
+ "network": "tcp",
+ "security": "none",
+ "tcpSettings": {
+ "acceptProxyProtocol": true,
+ "header": {
+ "type": "http",
+ "request": {
+ "path": [
+ "/vmesstcp" // 必须换成自定义的 PATH,需要和分流的一致
+ ]
+ }
+ }
+ }
+ }
+ },
+ ```
+
+4. 后续处理回落至 `3456` 端口的流量,再仔细看!它其实是是 `vmess+ws(+cdn)`。
+
+ ::: warning
+ **说明:** 你没看错,这就是 v2fly 曾经的推荐组合之一,并可完整支持 `CDN`。现已加入完美回落套餐哦!
+ :::
+
+ ```
+ {
+ "port": 3456,
+ "listen": "127.0.0.1",
+ "protocol": "vmess",
+ "settings": {
+ "clients": [
+ {
+ "id": "", // 填写你的 UUID
+ "level": 0,
+ "email": "love@example.com"
+ }
+ ]
+ },
+ "streamSettings": {
+ "network": "ws",
+ "security": "none",
+ "wsSettings": {
+ "acceptProxyProtocol": true, // 提醒:若你用 Nginx/Caddy 等反代 WS,需要删掉这行
+ "path": "/vmessws" // 必须换成自定义的 PATH,需要和分流的一致
+ }
+ }
+ }
+ ```
+
+5. 至此,我们就能够完整的画出模板的回落路线了:
+
+``` mermaid
+ graph LR;
+
+ W443(外部 HTTP:443 请求) --> X443(Xray-inbound: 443) .- X1{入站判断}
+ X1 --> |协议 = VLESS 的流量| X2(Xray内部规则)
+ X2 --> XO(Xray Outbounds 出站)
+
+ X1 --> |path = /websocket 的流量| X1234(Xray-inbound:1234)
+ X1 --> |path = /vmesstcp 的流量| X2345(Xray-inbound:2345)
+ X1 --> |path = /vmessws 的流量| X3456(Xray-inbound:3456)
+ X1 --> |其它所有流量| X1310(Xray-inbound:1310)
+
+ X1234 --> X2
+ X2345 --> X2
+ X3456 --> X2
+
+ X1310 --> |协议 = trojan 的流量| X2
+ X1310 --> |其他所有流量| N80(Nginx:80)
+
+ N80:::nginxclass --> H(index.html)
+
+ H:::nginxclass
+ classDef nginxclass fill:#FFFFDE
+```
+
+
+## 6. 结语
+
+至此,`Xray` 的【回落】功能就介绍完了。希望本文能够对你理解 `Xray` 的强大有所帮助。
+
+
+## 7. 附加题
+
+我再无耻的留一个附加题:本文详解的 [VLESS-TCP-XTLS-WHATEVER](https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-WHATEVER/) 模板?是否有可以优化的地方?
+
+提示:HTTP自动跳转HTTPS
diff --git a/docs/document/level-1/fallbacks-with-sni-resources/cf-api-token-permissions-for-acme.webp b/docs/document/level-1/fallbacks-with-sni-resources/cf-api-token-permissions-for-acme.webp
new file mode 100644
index 0000000000000000000000000000000000000000..4d0fe53ba914bc395a2a6c2eb9e6c405ff93368d
GIT binary patch
literal 7381
zcmch6cT|(xw(m#TB3N*P1(l*0B1J(&ib&ZMg#ZB*=_M#wkQy=c5G<&XCZQ`3VS|X2
z(0fyXYy^o?4AO!G2oM4iN+2QRC3?