diff --git a/0-部署应用/Oracle-Cloud/所有集群的IP网段.txt b/0-部署应用/Oracle-Cloud/所有集群的IP网段-host.txt similarity index 82% rename from 0-部署应用/Oracle-Cloud/所有集群的IP网段.txt rename to 0-部署应用/Oracle-Cloud/所有集群的IP网段-host.txt index 3200458..d3cbe2a 100644 --- a/0-部署应用/Oracle-Cloud/所有集群的IP网段.txt +++ b/0-部署应用/Oracle-Cloud/所有集群的IP网段-host.txt @@ -24,8 +24,12 @@ # tencent-shanghai 42.192.52.227/32 + # tencent-hongkong 43.154.83.213/32 # Rare.io-amd64-deussdolf -144.24.164.121/32 \ No newline at end of file +144.24.164.121/32 + +# BitsFLowCloud amd64 LosAngles CN2GIA +154.40.34.106/32 \ No newline at end of file diff --git a/1-代理Xray/10-clash规则/1-clash-expert-rule.yaml b/1-代理Xray/10-clash规则/1-clash-expert-rule.yaml index ac783a3..d0ca58b 100644 --- a/1-代理Xray/10-clash规则/1-clash-expert-rule.yaml +++ b/1-代理Xray/10-clash规则/1-clash-expert-rule.yaml @@ -35,8 +35,7 @@ external-controller: '127.0.0.1:9090' # DNS 配置 # #----------------# # DNS 模块是实现智能分流和抗污染的关键 -dns: - # 启用 DNS 服务器 +dns: # 启用 DNS 服务器 enable: true # 监听地址,'0.0.0.0:53' 使 Clash DNS 可为局域网内其他设备服务 # 如果只为本机服务,可设为 '127.0.0.1:53' @@ -65,20 +64,27 @@ dns: # 用于解析 nameserver 和 fallback 中的 DNS 服务器域名,以及代理节点的域名。 # 必须使用纯 IP 地址,这是打破解析死锁、解决 DNS 超时问题的关键。 default-nameserver: - - 119.29.29.29 - 223.5.5.5 + - 180.76.76.76 # 百度DNS + - 119.29.29.29 # [优化] 主 DNS 服务器列表 (国内,加密 DoH) # 会与 Fallback DNS 并发请求,如果返回的 IP 是国内 IP,则立即采用,速度快 # 使用加密 DNS 替代传统 UDP DNS,增强解析的稳定性和抗干扰性。 nameserver: - - https://doh.pub/dns-query # 腾讯 DoH DNS - - https://dns.alidns.com/dns-query # 阿里 DoH DNS + - 223.5.5.5 # 阿里云 + - 180.76.76.76 # 百度DNS + - 180.184.1.1 # 字节跳动 + - 1.2.4.8 # CNNIC DNS + # - https://dns.alidns.com/dns-query # 阿里 DoH DNS # 备用 DNS 服务器列表 (国外,加密) # 用于解析国外域名。当主 DNS 返回国外 IP 时,Clash 会认为可能被污染, # 并采用 Fallback DNS 的解析结果,以确保准确性 fallback: - https://dns.google/dns-query # Google DNS (DoH) - - https://1.1.1.1/dns-query # Cloudflare DNS (DoH) + - https://dns.cloudflare.com/dns-query # Cloudflare DNS (DoH) + - https://dns.quad9.net/dns-query # IBM quad9 + - https://dns.opendns.com/dns-query # CISCO OpenDNS + - https://dns.adguard-dns.com/dns-query # AdGuard DNS - tls://8.8.4.4:853 # Google DNS (DoT) # Fallback DNS 例外名单,匹配此列表的域名将只使用主 DNS 解析 fallback-filter: @@ -89,9 +95,9 @@ dns: # 以下规则强制所有已知国内域名走最快的 IP DNS,彻底解决国内域名解析超时。 nameserver-policy: 'rule-set:direct': - - 119.29.29.29 - 223.5.5.5 - - 114.114.114.114 + - 180.184.1.1 + - 119.29.29.29 'rule-set:apple': - 119.29.29.29 - 223.5.5.5 @@ -126,31 +132,31 @@ dns: # 禁止远程调试 -external-controller-cors: {} +external-controller-cors: { } -##----------------# -## TUN 模式配置 # -##----------------# -## TUN 模式通过创建虚拟网卡,在系统网络层接管所有流量 -#tun: -# # 启用 TUN 模式 -# enable: true -# # 协议栈,'system' 在大多数系统上性能最佳 -# # 在 macOS 上或遇到兼容性问题时可尝试 'gvisor' -# stack: system -# # DNS 劫持,将所有发往 53 端口的 DNS 请求重定向到 Clash 的 DNS 服务器 -# # 这是强制所有应用使用 Clash DNS 的关键 -# dns-hijack: -# - 'any:53' -# # 自动路由,Clash 会自动配置系统路由表,将全局流量导向 TUN 网卡 -# # 开启此项后,无需再进行任何手动网络设置 -# auto-route: true -# # 自动检测出口网卡,适用于大多数单网卡设备 -# # 如果设备有多个物理网卡,建议关闭此项并手动指定 interface-name -# auto-detect-interface: true + ##----------------# + ## TUN 模式配置 # + ##----------------# + ## TUN 模式通过创建虚拟网卡,在系统网络层接管所有流量 + #tun: + # # 启用 TUN 模式 + # enable: true + # # 协议栈,'system' 在大多数系统上性能最佳 + # # 在 macOS 上或遇到兼容性问题时可尝试 'gvisor' + # stack: system + # # DNS 劫持,将所有发往 53 端口的 DNS 请求重定向到 Clash 的 DNS 服务器 + # # 这是强制所有应用使用 Clash DNS 的关键 + # dns-hijack: + # - 'any:53' + # # 自动路由,Clash 会自动配置系统路由表,将全局流量导向 TUN 网卡 + # # 开启此项后,无需再进行任何手动网络设置 + # auto-route: true + # # 自动检测出口网卡,适用于大多数单网卡设备 + # # 如果设备有多个物理网卡,建议关闭此项并手动指定 interface-name + # auto-detect-interface: true # [优化] 严格路由模式 # 开启后可防止 DNS 泄露,并解决在某些系统上 DNS 劫持不生效的问题。 - # 注意:此设置会使局域网内的其他设备无法访问本机。如果不需要共享代理,建议开启。 +# 注意:此设置会使局域网内的其他设备无法访问本机。如果不需要共享代理,建议开启。 # strict-route: true #------------------------------------------------------------------# @@ -427,7 +433,7 @@ proxies: tls: true udp: true - - {"type":"socks5","name":"onetools-35-71","server":"192.168.35.71","port":22888,"username":"zeaslity","password":"password","udp":true} + - { "type": "socks5","name": "onetools-35-71","server": "192.168.35.71","port": 22888,"username": "zeaslity","password": "password","udp": true } proxy-groups: - name: 🚀 节点选择 @@ -533,8 +539,7 @@ proxy-groups: # 规则集定义 # #----------------# # Rule Providers 用于从网络动态加载规则列表,实现规则的自动更新 -rule-providers: - # 广告、追踪器、恶意域名规则集 +rule-providers: # 广告、追踪器、恶意域名规则集 reject: type: http behavior: domain @@ -618,14 +623,13 @@ rule-providers: # 分流规则 # #----------------# # 规则按从上到下的顺序进行匹配,一旦匹配成功,后续规则将不再执行 -rules: - # 1. 广告、追踪器拦截规则 (最高优先级) +rules: # 1. 广告、追踪器拦截规则 (最高优先级) # 直接拒绝连接,提升网页加载速度和隐私保护 - RULE-SET,reject,REJECT - # [优化] 核心国内流量直连规则 (IP 维度) - # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。 - # 任何目标地址在此列表内的连接都会被立即直连,无需进行 DNS 查询和 GEOIP 判断。 + # [优化] 核心国内流量直连规则 (IP 维度) + # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。 + # 任何目标地址在此列表内的连接都会被立即直连,无需进行 DNS 查询和 GEOIP 判断。 - RULE-SET,cncidr,DIRECT - # 5. 基于地理位置的补充规则 - # 所有目标 IP 位于中国大陆的流量都直连 diff --git a/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙-配置.sh b/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙-配置.sh new file mode 100644 index 0000000..d338e87 --- /dev/null +++ b/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙-配置.sh @@ -0,0 +1,105 @@ +#!/bin/bash +# +# UFW 防火墙配置脚本 +# 适用于 Ubuntu 22.04 LTS +# + +# --- 脚本开始 --- + +# 输出提示信息,告知用户脚本即将开始 +echo "=================================================" +echo " UFW 防火墙自动配置脚本即将开始... " +echo "=================================================" +echo "" + +# --- 1. 重置 UFW --- +# 为了避免与旧规则冲突,首先重置UFW到初始状态。 +# --force 选项可以在没有交互提示的情况下完成重置。 +echo "--- 步骤 1: 重置UFW防火墙,清除所有现有规则 ---" +echo "执行命令: sudo ufw --force reset" +sudo ufw --force reset +echo "-------------------------------------------------" +echo "" + +# --- 3. 开放特定端口 (对所有IP) --- +# 为公共服务开放指定的端口。 +echo "--- 步骤 3: 向所有IP开放指定的TCP/UDP端口 ---" +# 开放 HTTPS (443) 端口 +echo "开放端口: 443/tcp 和 443/udp" +echo "执行命令: sudo ufw allow 443" +sudo ufw allow 443 +# 开放自定义 (22333) 端口 +echo "开放端口: 22333/tcp 和 22333/udp" +echo "执行命令: sudo ufw allow 22333" +sudo ufw allow 22333 +# 开放自定义 (25000-26000) 端口范围 +echo "开放端口范围: 25000:26000/tcp" +echo "执行命令: sudo ufw allow 25000:26000/tcp" +sudo ufw allow 25000:26000/tcp +echo "开放端口范围: 25000:26000/udp" +echo "执行命令: sudo ufw allow 25000:26000/udp" +sudo ufw allow 25000:26000/udp +echo "-------------------------------------------------" +echo "" + +# --- 4. 添加IP白名单 --- +# 为受信任的IP地址开放所有权限,方便管理和访问。 +echo "--- 步骤 4: 为白名单IP开放所有协议和端口 ---" +WHITELIST_IPS=( + "42.192.52.227/32" + "43.154.83.213/32" + "144.24.164.121/32" + "132.145.87.10/32" + "140.238.0.0/16" +) +# 遍历IP列表并添加规则 +for ip in "${WHITELIST_IPS[@]}"; do + echo "添加白名单IP: ${ip}" + echo "执行命令: sudo ufw allow from ${ip} to any" + sudo ufw allow from ${ip} to any +done +echo "-------------------------------------------------" +echo "" + +# --- 2. 设置默认策略 --- +# 这是防火墙的基础安全策略。 +# deny incoming: 拒绝所有未经明确允许的进入流量。 +# allow outgoing: 允许服务器主动发起的任何出站流量。 +echo "--- 步骤 2: 设置默认防火墙策略 ---" +echo "设置默认拒绝所有进入流量..." +echo "执行命令: sudo ufw default deny incoming" +sudo ufw default deny incoming +echo "设置默认允许所有出口流量..." +echo "执行命令: sudo ufw default allow outgoing" +sudo ufw default allow outgoing +echo "-------------------------------------------------" +echo "" + +# --- 5. ICMP (Ping) 请求处理 --- +# UFW的默认拒绝策略(deny incoming)已经包含了对ICMP的阻止。 +# 而上一步的IP白名单规则(ufw allow from )允许了这些IP的所有协议,因此它们可以ping通。 +# 这精确地实现了“禁止非白名单IP的ICMP请求”的目标。 +echo "--- 步骤 5: ICMP (Ping) 请求说明 ---" +echo "无需额外规则。默认的'deny incoming'策略已阻止非白名单IP的ping请求。" +echo "-------------------------------------------------" +echo "" + +# --- 6. 启用 UFW --- +# 应用以上所有规则,正式启动防火墙。 +echo "--- 步骤 6: 启用UFW防火墙 ---" +echo "执行命令: sudo ufw enable" +sudo ufw enable +echo "-------------------------------------------------" +echo "" + +# --- 7. 显示最终状态 --- +# 显示详细的防火墙状态,以便用户检查配置是否正确。 +echo "--- 步骤 7: 显示当前防火墙状态 ---" +echo "执行命令: sudo ufw status verbose" +sudo ufw status verbose +echo "-------------------------------------------------" +echo "" + +echo "=================================================" +echo " 防火墙配置完成!请检查上面的状态。 " +echo "=================================================" diff --git a/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙Prompt.md b/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙Prompt.md new file mode 100644 index 0000000..9b4be84 --- /dev/null +++ b/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙Prompt.md @@ -0,0 +1,14 @@ + +你是一个精通ubuntu22.04系统下ufw使用的计算机高手,请实现一个shell脚本,实现如下的功能 +- 所有的命令均有清晰的中文注释 +- 所有执行的命令均使用echo进行打印输出 +- 开放访问目的地端口为443 22333 25000-26000的tcp udp到0.0.0.0/0 +- 对以下IP开放全部协议及端口 + - 42.192.52.227/32 + - 43.154.83.213/32 + - 144.24.164.121/32 + - 132.145.87.10/32 + - 140.238.0.0/16 +- 禁止其他端口的访问流量 +- 禁止非白名单IP的ICMP请求 +- 允许全部的出口流量 \ No newline at end of file diff --git a/1-代理Xray/98-subscribe-clash.yaml b/1-代理Xray/98-subscribe-clash.yaml index aec0d23..ead4857 100644 --- a/1-代理Xray/98-subscribe-clash.yaml +++ b/1-代理Xray/98-subscribe-clash.yaml @@ -35,8 +35,7 @@ external-controller: '127.0.0.1:9090' # DNS 配置 # #----------------# # DNS 模块是实现智能分流和抗污染的关键 -dns: - # 启用 DNS 服务器 +dns: # 启用 DNS 服务器 enable: true # 监听地址,'0.0.0.0:53' 使 Clash DNS 可为局域网内其他设备服务 # 如果只为本机服务,可设为 '127.0.0.1:53' @@ -65,20 +64,27 @@ dns: # 用于解析 nameserver 和 fallback 中的 DNS 服务器域名,以及代理节点的域名。 # 必须使用纯 IP 地址,这是打破解析死锁、解决 DNS 超时问题的关键。 default-nameserver: - - 119.29.29.29 - 223.5.5.5 + - 180.76.76.76 # 百度DNS + - 119.29.29.29 # [优化] 主 DNS 服务器列表 (国内,加密 DoH) # 会与 Fallback DNS 并发请求,如果返回的 IP 是国内 IP,则立即采用,速度快 # 使用加密 DNS 替代传统 UDP DNS,增强解析的稳定性和抗干扰性。 nameserver: - - https://doh.pub/dns-query # 腾讯 DoH DNS - - https://dns.alidns.com/dns-query # 阿里 DoH DNS + - 223.5.5.5 # 阿里云 + - 180.76.76.76 # 百度DNS + - 180.184.1.1 # 字节跳动 + - 1.2.4.8 # CNNIC DNS + # - https://dns.alidns.com/dns-query # 阿里 DoH DNS # 备用 DNS 服务器列表 (国外,加密) # 用于解析国外域名。当主 DNS 返回国外 IP 时,Clash 会认为可能被污染, # 并采用 Fallback DNS 的解析结果,以确保准确性 fallback: - https://dns.google/dns-query # Google DNS (DoH) - - https://1.1.1.1/dns-query # Cloudflare DNS (DoH) + - https://dns.cloudflare.com/dns-query # Cloudflare DNS (DoH) + - https://dns.quad9.net/dns-query # IBM quad9 + - https://dns.opendns.com/dns-query # CISCO OpenDNS + - https://dns.adguard-dns.com/dns-query # AdGuard DNS - tls://8.8.4.4:853 # Google DNS (DoT) # Fallback DNS 例外名单,匹配此列表的域名将只使用主 DNS 解析 fallback-filter: @@ -89,9 +95,9 @@ dns: # 以下规则强制所有已知国内域名走最快的 IP DNS,彻底解决国内域名解析超时。 nameserver-policy: 'rule-set:direct': - - 119.29.29.29 - 223.5.5.5 - - 114.114.114.114 + - 180.184.1.1 + - 119.29.29.29 'rule-set:apple': - 119.29.29.29 - 223.5.5.5 @@ -126,7 +132,7 @@ dns: # 禁止远程调试 -external-controller-cors: {} +external-controller-cors: { } ##----------------# ## TUN 模式配置 # @@ -149,7 +155,7 @@ external-controller-cors: {} # # 如果设备有多个物理网卡,建议关闭此项并手动指定 interface-name # auto-detect-interface: true # [优化] 严格路由模式 - # 开启后可防止 DNS 泄露,并解决在某些系统上 DNS 劫持不生效的问题。 +# 开启后可防止 DNS 泄露,并解决在某些系统上 DNS 劫持不生效的问题。 # 注意:此设置会使局域网内的其他设备无法访问本机。如果不需要共享代理,建议开启。 # strict-route: true @@ -427,7 +433,7 @@ proxies: tls: true udp: true - - {"type":"socks5","name":"onetools-35-71","server":"192.168.35.71","port":22888,"username":"zeaslity","password":"password","udp":true} + - { "type": "socks5","name": "onetools-35-71","server": "192.168.35.71","port": 22888,"username": "zeaslity","password": "password","udp": true } proxy-groups: - name: 🚀 节点选择 @@ -533,8 +539,7 @@ proxy-groups: # 规则集定义 # #----------------# # Rule Providers 用于从网络动态加载规则列表,实现规则的自动更新 -rule-providers: - # 广告、追踪器、恶意域名规则集 +rule-providers: # 广告、追踪器、恶意域名规则集 reject: type: http behavior: domain @@ -618,13 +623,12 @@ rule-providers: # 分流规则 # #----------------# # 规则按从上到下的顺序进行匹配,一旦匹配成功,后续规则将不再执行 -rules: - # 1. 广告、追踪器拦截规则 (最高优先级) +rules: # 1. 广告、追踪器拦截规则 (最高优先级) # 直接拒绝连接,提升网页加载速度和隐私保护 - RULE-SET,reject,REJECT # [优化] 核心国内流量直连规则 (IP 维度) - # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。 + # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。 # 任何目标地址在此列表内的连接都会被立即直连,无需进行 DNS 查询和 GEOIP 判断。 - RULE-SET,cncidr,DIRECT - # 5. 基于地理位置的补充规则