clash新规则-完美

2025-08-24 19:14:26 +08:00
parent b9be57adfc
commit 49803fa5ac
5 changed files with 186 additions and 55 deletions
--- a/1-代理Xray/10-clash规则/1-clash-expert-rule.yaml
+++ b/1-代理Xray/10-clash规则/1-clash-expert-rule.yaml
@@ -35,8 +35,7 @@ external-controller: '127.0.0.1:9090'
 #   DNS 配置      #
 #----------------#
 # DNS 模块是实现智能分流和抗污染的关键
-dns:
-  # 启用 DNS 服务器
+dns: # 启用 DNS 服务器
  enable: true
  # 监听地址，'0.0.0.0:53' 使 Clash DNS 可为局域网内其他设备服务
  # 如果只为本机服务，可设为 '127.0.0.1:53'
@@ -65,20 +64,27 @@ dns:
  # 用于解析 nameserver 和 fallback 中的 DNS 服务器域名，以及代理节点的域名。
  # 必须使用纯 IP 地址，这是打破解析死锁、解决 DNS 超时问题的关键。
  default-nameserver:
-    - 119.29.29.29
    - 223.5.5.5
+    - 180.76.76.76 # 百度DNS
+    - 119.29.29.29
  # [优化] 主 DNS 服务器列表 (国内，加密 DoH)
  # 会与 Fallback DNS 并发请求，如果返回的 IP 是国内 IP，则立即采用，速度快
  # 使用加密 DNS 替代传统 UDP DNS，增强解析的稳定性和抗干扰性。
  nameserver:
-    - https://doh.pub/dns-query      # 腾讯 DoH DNS
-    - https://dns.alidns.com/dns-query # 阿里 DoH DNS
+    - 223.5.5.5 # 阿里云
+    - 180.76.76.76 # 百度DNS
+    - 180.184.1.1 # 字节跳动
+    - 1.2.4.8 # CNNIC DNS
+  #    - https://dns.alidns.com/dns-query # 阿里 DoH DNS
  # 备用 DNS 服务器列表 (国外，加密)
  # 用于解析国外域名。当主 DNS 返回国外 IP 时，Clash 会认为可能被污染，
  # 并采用 Fallback DNS 的解析结果，以确保准确性
  fallback:
    - https://dns.google/dns-query # Google DNS (DoH)
-    - https://1.1.1.1/dns-query      # Cloudflare DNS (DoH)
+    - https://dns.cloudflare.com/dns-query      # Cloudflare DNS (DoH)
+    - https://dns.quad9.net/dns-query # IBM quad9
+    - https://dns.opendns.com/dns-query # CISCO OpenDNS
+    - https://dns.adguard-dns.com/dns-query # AdGuard DNS
    - tls://8.8.4.4:853                 # Google DNS (DoT)
  # Fallback DNS 例外名单，匹配此列表的域名将只使用主 DNS 解析
  fallback-filter:
@@ -89,9 +95,9 @@ dns:
  # 以下规则强制所有已知国内域名走最快的 IP DNS，彻底解决国内域名解析超时。
  nameserver-policy:
    'rule-set:direct':
-      - 119.29.29.29
      - 223.5.5.5
-      - 114.114.114.114
+      - 180.184.1.1
+      - 119.29.29.29
    'rule-set:apple':
      - 119.29.29.29
      - 223.5.5.5
@@ -126,31 +132,31 @@ dns:


 # 禁止远程调试
-external-controller-cors: {}
+external-controller-cors: { }

-##----------------#
-##   TUN 模式配置  #
-##----------------#
-## TUN 模式通过创建虚拟网卡，在系统网络层接管所有流量
-#tun:
-#  # 启用 TUN 模式
-#  enable: true
-#  # 协议栈，'system' 在大多数系统上性能最佳
-#  # 在 macOS 上或遇到兼容性问题时可尝试 'gvisor'
-#  stack: system
-#  # DNS 劫持，将所有发往 53 端口的 DNS 请求重定向到 Clash 的 DNS 服务器
-#  # 这是强制所有应用使用 Clash DNS 的关键
-#  dns-hijack:
-#    - 'any:53'
-#  # 自动路由，Clash 会自动配置系统路由表，将全局流量导向 TUN 网卡
-#  # 开启此项后，无需再进行任何手动网络设置
-#  auto-route: true
-#  # 自动检测出口网卡，适用于大多数单网卡设备
-#  # 如果设备有多个物理网卡，建议关闭此项并手动指定 interface-name
-#  auto-detect-interface: true
+  ##----------------#
+  ##   TUN 模式配置  #
+  ##----------------#
+  ## TUN 模式通过创建虚拟网卡，在系统网络层接管所有流量
+  #tun:
+  #  # 启用 TUN 模式
+  #  enable: true
+  #  # 协议栈，'system' 在大多数系统上性能最佳
+  #  # 在 macOS 上或遇到兼容性问题时可尝试 'gvisor'
+  #  stack: system
+  #  # DNS 劫持，将所有发往 53 端口的 DNS 请求重定向到 Clash 的 DNS 服务器
+  #  # 这是强制所有应用使用 Clash DNS 的关键
+  #  dns-hijack:
+  #    - 'any:53'
+  #  # 自动路由，Clash 会自动配置系统路由表，将全局流量导向 TUN 网卡
+  #  # 开启此项后，无需再进行任何手动网络设置
+  #  auto-route: true
+  #  # 自动检测出口网卡，适用于大多数单网卡设备
+  #  # 如果设备有多个物理网卡，建议关闭此项并手动指定 interface-name
+  #  auto-detect-interface: true
  # [优化] 严格路由模式
  # 开启后可防止 DNS 泄露，并解决在某些系统上 DNS 劫持不生效的问题。
-  # 注意：此设置会使局域网内的其他设备无法访问本机。如果不需要共享代理，建议开启。
+# 注意：此设置会使局域网内的其他设备无法访问本机。如果不需要共享代理，建议开启。
 #  strict-route: true

 #------------------------------------------------------------------#
@@ -427,7 +433,7 @@ proxies:
    tls: true
    udp: true

-  - {"type":"socks5","name":"onetools-35-71","server":"192.168.35.71","port":22888,"username":"zeaslity","password":"password","udp":true}
+  - { "type": "socks5","name": "onetools-35-71","server": "192.168.35.71","port": 22888,"username": "zeaslity","password": "password","udp": true }

 proxy-groups:
  - name: 🚀 节点选择
@@ -533,8 +539,7 @@ proxy-groups:
 #   规则集定义    #
 #----------------#
 # Rule Providers 用于从网络动态加载规则列表，实现规则的自动更新
-rule-providers:
-  # 广告、追踪器、恶意域名规则集
+rule-providers: # 广告、追踪器、恶意域名规则集
  reject:
    type: http
    behavior: domain
@@ -618,14 +623,13 @@ rule-providers:
 #   分流规则      #
 #----------------#
 # 规则按从上到下的顺序进行匹配，一旦匹配成功，后续规则将不再执行
-rules:
-  # 1. 广告、追踪器拦截规则 (最高优先级)
+rules: # 1. 广告、追踪器拦截规则 (最高优先级)
  # 直接拒绝连接，提升网页加载速度和隐私保护
  - RULE-SET,reject,REJECT

-   # [优化] 核心国内流量直连规则 (IP 维度)
-   # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。
-   # 任何目标地址在此列表内的连接都会被立即直连，无需进行 DNS 查询和 GEOIP 判断。
+    # [优化] 核心国内流量直连规则 (IP 维度)
+    # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。
+  # 任何目标地址在此列表内的连接都会被立即直连，无需进行 DNS 查询和 GEOIP 判断。
  - RULE-SET,cncidr,DIRECT
  - # 5. 基于地理位置的补充规则
  - # 所有目标 IP 位于中国大陆的流量都直连
--- a/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙-配置.sh
+++ b/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙-配置.sh
@@ -0,0 +1,105 @@
+#!/bin/bash
+#
+# UFW 防火墙配置脚本
+# 适用于 Ubuntu 22.04 LTS
+#
+
+# --- 脚本开始 ---
+
+# 输出提示信息，告知用户脚本即将开始
+echo "================================================="
+echo "      UFW 防火墙自动配置脚本即将开始...      "
+echo "================================================="
+echo ""
+
+# --- 1. 重置 UFW ---
+# 为了避免与旧规则冲突，首先重置UFW到初始状态。
+# --force 选项可以在没有交互提示的情况下完成重置。
+echo "--- 步骤 1: 重置UFW防火墙，清除所有现有规则 ---"
+echo "执行命令: sudo ufw --force reset"
+sudo ufw --force reset
+echo "-------------------------------------------------"
+echo ""
+
+# --- 3. 开放特定端口 (对所有IP) ---
+# 为公共服务开放指定的端口。
+echo "--- 步骤 3: 向所有IP开放指定的TCP/UDP端口 ---"
+# 开放 HTTPS (443) 端口
+echo "开放端口: 443/tcp 和 443/udp"
+echo "执行命令: sudo ufw allow 443"
+sudo ufw allow 443
+# 开放自定义 (22333) 端口
+echo "开放端口: 22333/tcp 和 22333/udp"
+echo "执行命令: sudo ufw allow 22333"
+sudo ufw allow 22333
+# 开放自定义 (25000-26000) 端口范围
+echo "开放端口范围: 25000:26000/tcp"
+echo "执行命令: sudo ufw allow 25000:26000/tcp"
+sudo ufw allow 25000:26000/tcp
+echo "开放端口范围: 25000:26000/udp"
+echo "执行命令: sudo ufw allow 25000:26000/udp"
+sudo ufw allow 25000:26000/udp
+echo "-------------------------------------------------"
+echo ""
+
+# --- 4. 添加IP白名单 ---
+# 为受信任的IP地址开放所有权限，方便管理和访问。
+echo "--- 步骤 4: 为白名单IP开放所有协议和端口 ---"
+WHITELIST_IPS=(
+  "42.192.52.227/32"
+  "43.154.83.213/32"
+  "144.24.164.121/32"
+  "132.145.87.10/32"
+  "140.238.0.0/16"
+)
+# 遍历IP列表并添加规则
+for ip in "${WHITELIST_IPS[@]}"; do
+  echo "添加白名单IP: ${ip}"
+  echo "执行命令: sudo ufw allow from ${ip} to any"
+  sudo ufw allow from ${ip} to any
+done
+echo "-------------------------------------------------"
+echo ""
+
+# --- 2. 设置默认策略 ---
+# 这是防火墙的基础安全策略。
+# deny incoming: 拒绝所有未经明确允许的进入流量。
+# allow outgoing: 允许服务器主动发起的任何出站流量。
+echo "--- 步骤 2: 设置默认防火墙策略 ---"
+echo "设置默认拒绝所有进入流量..."
+echo "执行命令: sudo ufw default deny incoming"
+sudo ufw default deny incoming
+echo "设置默认允许所有出口流量..."
+echo "执行命令: sudo ufw default allow outgoing"
+sudo ufw default allow outgoing
+echo "-------------------------------------------------"
+echo ""
+
+# --- 5. ICMP (Ping) 请求处理 ---
+# UFW的默认拒绝策略(deny incoming)已经包含了对ICMP的阻止。
+# 而上一步的IP白名单规则(ufw allow from <IP>)允许了这些IP的所有协议，因此它们可以ping通。
+# 这精确地实现了“禁止非白名单IP的ICMP请求”的目标。
+echo "--- 步骤 5: ICMP (Ping) 请求说明 ---"
+echo "无需额外规则。默认的'deny incoming'策略已阻止非白名单IP的ping请求。"
+echo "-------------------------------------------------"
+echo ""
+
+# --- 6. 启用 UFW ---
+# 应用以上所有规则，正式启动防火墙。
+echo "--- 步骤 6: 启用UFW防火墙 ---"
+echo "执行命令: sudo ufw enable"
+sudo ufw enable
+echo "-------------------------------------------------"
+echo ""
+
+# --- 7. 显示最终状态 ---
+# 显示详细的防火墙状态，以便用户检查配置是否正确。
+echo "--- 步骤 7: 显示当前防火墙状态 ---"
+echo "执行命令: sudo ufw status verbose"
+sudo ufw status verbose
+echo "-------------------------------------------------"
+echo ""
+
+echo "================================================="
+echo "      防火墙配置完成！请检查上面的状态。     "
+echo "================================================="
--- a/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙Prompt.md
+++ b/1-代理Xray/3-BitsFLowCloud-洛杉矶/防火墙Prompt.md
@@ -0,0 +1,14 @@
+
+你是一个精通ubuntu22.04系统下ufw使用的计算机高手，请实现一个shell脚本，实现如下的功能
+- 所有的命令均有清晰的中文注释
+- 所有执行的命令均使用echo进行打印输出
+- 开放访问目的地端口为443 22333 25000-26000的tcp udp到0.0.0.0/0
+- 对以下IP开放全部协议及端口 
+  - 42.192.52.227/32
+  - 43.154.83.213/32
+  - 144.24.164.121/32
+  - 132.145.87.10/32
+  - 140.238.0.0/16
+- 禁止其他端口的访问流量
+- 禁止非白名单IP的ICMP请求
+- 允许全部的出口流量
--- a/1-代理Xray/98-subscribe-clash.yaml
+++ b/1-代理Xray/98-subscribe-clash.yaml
@@ -35,8 +35,7 @@ external-controller: '127.0.0.1:9090'
 #   DNS 配置      #
 #----------------#
 # DNS 模块是实现智能分流和抗污染的关键
-dns:
-  # 启用 DNS 服务器
+dns: # 启用 DNS 服务器
  enable: true
  # 监听地址，'0.0.0.0:53' 使 Clash DNS 可为局域网内其他设备服务
  # 如果只为本机服务，可设为 '127.0.0.1:53'
@@ -65,20 +64,27 @@ dns:
  # 用于解析 nameserver 和 fallback 中的 DNS 服务器域名，以及代理节点的域名。
  # 必须使用纯 IP 地址，这是打破解析死锁、解决 DNS 超时问题的关键。
  default-nameserver:
-    - 119.29.29.29
    - 223.5.5.5
+    - 180.76.76.76 # 百度DNS
+    - 119.29.29.29
  # [优化] 主 DNS 服务器列表 (国内，加密 DoH)
  # 会与 Fallback DNS 并发请求，如果返回的 IP 是国内 IP，则立即采用，速度快
  # 使用加密 DNS 替代传统 UDP DNS，增强解析的稳定性和抗干扰性。
  nameserver:
-    - https://doh.pub/dns-query      # 腾讯 DoH DNS
-    - https://dns.alidns.com/dns-query # 阿里 DoH DNS
+    - 223.5.5.5 # 阿里云
+    - 180.76.76.76 # 百度DNS
+    - 180.184.1.1 # 字节跳动
+    - 1.2.4.8 # CNNIC DNS
+  #    - https://dns.alidns.com/dns-query # 阿里 DoH DNS
  # 备用 DNS 服务器列表 (国外，加密)
  # 用于解析国外域名。当主 DNS 返回国外 IP 时，Clash 会认为可能被污染，
  # 并采用 Fallback DNS 的解析结果，以确保准确性
  fallback:
    - https://dns.google/dns-query # Google DNS (DoH)
-    - https://1.1.1.1/dns-query      # Cloudflare DNS (DoH)
+    - https://dns.cloudflare.com/dns-query      # Cloudflare DNS (DoH)
+    - https://dns.quad9.net/dns-query # IBM quad9
+    - https://dns.opendns.com/dns-query # CISCO OpenDNS
+    - https://dns.adguard-dns.com/dns-query # AdGuard DNS
    - tls://8.8.4.4:853                 # Google DNS (DoT)
  # Fallback DNS 例外名单，匹配此列表的域名将只使用主 DNS 解析
  fallback-filter:
@@ -89,9 +95,9 @@ dns:
  # 以下规则强制所有已知国内域名走最快的 IP DNS，彻底解决国内域名解析超时。
  nameserver-policy:
    'rule-set:direct':
-      - 119.29.29.29
      - 223.5.5.5
-      - 114.114.114.114
+      - 180.184.1.1
+      - 119.29.29.29
    'rule-set:apple':
      - 119.29.29.29
      - 223.5.5.5
@@ -126,7 +132,7 @@ dns:


 # 禁止远程调试
-external-controller-cors: {}
+external-controller-cors: { }

  ##----------------#
  ##   TUN 模式配置  #
@@ -149,7 +155,7 @@ external-controller-cors: {}
  #  # 如果设备有多个物理网卡，建议关闭此项并手动指定 interface-name
  #  auto-detect-interface: true
  # [优化] 严格路由模式
-  # 开启后可防止 DNS 泄露，并解决在某些系统上 DNS 劫持不生效的问题。
+# 开启后可防止 DNS 泄露，并解决在某些系统上 DNS 劫持不生效的问题。
 # 注意：此设置会使局域网内的其他设备无法访问本机。如果不需要共享代理，建议开启。
 #  strict-route: true

@@ -427,7 +433,7 @@ proxies:
    tls: true
    udp: true

-  - {"type":"socks5","name":"onetools-35-71","server":"192.168.35.71","port":22888,"username":"zeaslity","password":"password","udp":true}
+  - { "type": "socks5","name": "onetools-35-71","server": "192.168.35.71","port": 22888,"username": "zeaslity","password": "password","udp": true }

 proxy-groups:
  - name: 🚀 节点选择
@@ -533,8 +539,7 @@ proxy-groups:
 #   规则集定义    #
 #----------------#
 # Rule Providers 用于从网络动态加载规则列表，实现规则的自动更新
-rule-providers:
-  # 广告、追踪器、恶意域名规则集
+rule-providers: # 广告、追踪器、恶意域名规则集
  reject:
    type: http
    behavior: domain
@@ -618,13 +623,12 @@ rule-providers:
 #   分流规则      #
 #----------------#
 # 规则按从上到下的顺序进行匹配，一旦匹配成功，后续规则将不再执行
-rules:
-  # 1. 广告、追踪器拦截规则 (最高优先级)
+rules: # 1. 广告、追踪器拦截规则 (最高优先级)
  # 直接拒绝连接，提升网页加载速度和隐私保护
  - RULE-SET,reject,REJECT

    # [优化] 核心国内流量直连规则 (IP 维度)
-    # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。
+  # 将中国大陆的 IP 地址段置于高优先级。这是解决国内网站访问缓慢和超时的关键。
  # 任何目标地址在此列表内的连接都会被立即直连，无需进行 DNS 查询和 GEOIP 判断。
  - RULE-SET,cncidr,DIRECT
  - # 5. 基于地理位置的补充规则