• 启用 SYN-flood 防御：防止SYN-flood攻击，这是一个拒绝服务攻击，攻击者通过发送大量半连接请求来耗尽服务器资源。勾选后，防火墙会检测并阻止这种攻击。
• 丢弃无效数据包：
  • 丢弃那些违反TCP/IP协议的无效数据包，这有助于减少不必要的网络流量，提升安全性。
  • 通常建议启用，防止恶意数据包对网络产生负面影响。
• 入站数据：
  • 控制进入网络的数据包规则。在这里你可以选择“接受”、“拒绝”或“丢弃”外部进入的流量。
  • 默认值为“接受”，允许外部流量进入指定区域。
• 出站数据：
  • 控制从本地网络发出的数据包规则。通常情况下，允许出站流量，但可以根据需要限制某些类型的流量。
  • 默认值为“接受”，允许内部流量发往外部。
• 转发：
  • 控制数据包在不同网络接口之间的转发行为。
  • 默认设置为“拒绝”，防止未经授权的网络转发，保证网络隔离。
• 启用 FullCone-NAT：
  • FullCone NAT使外部设备可以通过同一个IP和端口多次访问内网设备。这对P2P应用和某些游戏会话连接比较友好。
  • 兼容模式：通常是对常规NAT模式的优化，兼顾兼容性和网络性能。

2、端口转发

• 注意：常规设置中，转发设为拒绝，影响的是全局，但是端口转发规则的优先级高于转发，针对特定的端口转发规则允许通行。
  • 举例说明：比如我把大门关着，对外宣称所有人都不可以通行，但是针对部分有通行证的人（设置了端口转发规则）还是可以放行的。
• 一般情况下的端口转发

• Docker中的端口转发
  • 这种情况下，我们可以简单的理解：Docker相当于一另一台独立的主机，它也有一个内部端口和外部端口，如果我们想要访问docker里面的镜像，需要映射好Docker的端口，然后再做好端口转发，这时候软路由/路由器的内部端口和Docker映射端口可以理解为同一端口。
  • 举例说明：例如Docker中有个镜像设置端口映射为5001:5000，如果我们想访问该镜像，就需要添加一个端口转发规则：外部端口（自定义）：5001
  • 注意：如果Docker使用的是本机网络，则不需要设置端口转发，直接设置通信规则即可

• 设置模板（根据自己实际情况填写）

3、通信规则

• 通信规则设置的优先级高于常规设置下的转发，虽然转发设置了拒绝，但是如果设置了通信规则，它会优先匹配所设置的通信规则。
• 通信规则有点像我们平常的服务器防火墙规则设置，只是通信规则它可以设置的条件会更多，针对满足条件的流量，实行丢弃、接受、拒绝等操作。
• 下图，以最简单的放行指定端口为例

4、NAT（网络地址转换）规则

• NAT规则和端口转发、通信规则同理，优先级高于常规设置
• 主要作用是通过修改数据包的源或目标IP地址来实现内网和外网的通信。具体作用如下：
  • 共享公共IP地址：NAT允许多个局域网设备共享一个公共IP地址访问互联网。通过NAT，路由器可以将内网设备的私有IP地址转换为路由器的公共IP地址，从而让多个设备在外网看来只有一个IP地址。
  • 隐藏内网结构：NAT隐藏了内网设备的真实IP地址。外部网络只能看到路由器的公共IP，而看不到内网设备的私有IP，从而增加了网络安全性，防止外网直接访问内网设备。
  • 端口转发：NAT规则可以用来将外部网络的特定端口请求转发到内网的某个设备。比如，你可以设置NAT规则，将外部访问路由器的某个端口的请求转发到内网的某个服务器，允许外网用户访问内网资源。
  • 地址重写（Masquerading）：NAT可以自动重写数据包的源IP地址为路由器的外部IP。这种机制确保内网设备的数据包可以顺利通过路由器访问外部网络，而外网返回的流量也能正确转发回到内网设备。
  • 跨网络通信：NAT 还可以用于两个不同网络（例如不同子网之间）的通信，帮助在网络之间转发流量。
• 注意：本规则一般情况下保持默认即可，如果安装了Docker镜像，需要用公网IP的情况下，需要把这个取消启用，等连接上，在把它启用回来

5、IP集合

• 防火墙的IP集合（IP sets）是一种高效的方式来管理大量的IP地址、网络段或主机的集合。

6、自定义规则

• 自定义规则可以实现前面所有的功能，相对更加个性化

2、注册Vercel账号：【点击进入】

3、开源项目地址：【点击进入】

• 具体操作流程：点击Deploy——点击Github——点击授权Vercel——点击安装——自定义一个名称——点击创建Create——输入API密钥——设置一个CODE密码（这个密码需要记住）——点击Deploy——等待部署完成——点击对应域名——点击登录——输入CODE密码——设置模型
• 注意：如果没有GOOGLE_API_KEY：在vercel中点击创建的项目——点击设置——点击环境变量——找到OPENAI_API_KEY——点击编辑——把OPENAI_API_KEY替换成GOOGLE_API_KEY——点击保存

• qBittorrent客户端下载：【点击下载】

2、关闭防火墙/放行端口

• 关闭防火墙

sudo ufw disable

• 放行端口

ufw allow 需要放行的端口

3、更新系统并安装依赖

apt update -y&&apt install -y curl&&apt install -y socat

4、安装Docker

curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh

5、安装Docker compose

• 一键安装脚本

curl -SL https://github.com/docker/compose/releases/download/v2.23.3/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose 
sudo chmod +x /usr/local/bin/docker-compose

6、安装qBittorrent

• 创建对应目录并编写 Docker-Compose 文件

mkdir -p /root/data/docker_data/qBittorrent #创建qbitorrent数据文件夹
cd /root/data/docker_data/qBittorrent
mkdir config downloads #创建配置文件目录与下载目录
touch docker-compose.yml #创建并编辑文件

• docker-compose.yml文件配置内容

version: "3.9"
services:
  qbittorrent:
    image: linuxserver/qbittorrent
    container_name: qbittorrent
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Asia/Shanghai # 你的时区
      - UMASK_SET=022
      - WEBUI_PORT=8081 # 将此处修改成你欲使用的 WEB 管理平台端口 
    volumes:
      - ./config:/config # 绝对路径请修改为自己的config文件夹
      - ./downloads:/downloads # 绝对路径请修改为自己的downloads文件夹
    ports:
      # 要使用的映射下载端口与内部下载端口，可保持默认，安装完成后在管理页面仍然可以改成其他端口。
      - 6881:6881 
      - 6881:6881/udp
      # 此处WEB UI 目标端口与内部端口务必保证相同
      - 8081:8081
    restart: unless-stopped

• 执行docker-compose.yml

docker-compose up -d
# 执行后，如果得法，访问 ip:web-ui-port 即可进入管理页面
# 默认用户名密码admin/admin

7、常用命令

重启docker：sudo systemctl restart docker

查看docker ID：docker ps

查看docker日志：docker logs <容器ID/容器名>

8、Trackers 列表

• 精选列表：(81 个)
  • https://cf.trackerslist.com/best.txt
• 完整列表：(165 个)
  • https://cf.trackerslist.com/all.txt
• HTTP(S)列表：(65 个)
  • https://cf.trackerslist.com/http.txt

9、种子资源网

• The Pirate Bay：【点击进入】
• YlFY Torrents：【点击进入】
• 1337x：【点击进入】

• RARBG：【点击进入】
• Torrentz2：【点击进入】

1、DDNS-GO开源项目：【点击进入】

• 恩山论坛固件对应的DDNS-GO开源项目地址：【点击进入】

2、阿里云设置（阿里云域名相关设置）

• 获取AccessKey ID和AccessKey Secret：鼠标移到右上角头像位置——点击AccessKey管理——点击创建创AccessKey（注意：AccessKey Secret只出现一次，记得复制出来保存好）
• 域名解析：搜索云解析DNS——在控制台下找到云解析DNS——选择对应的域名——点击添加记录——类型让它默认——主机记录可以自定义——记录值输入软路由的IP地址——点击确认
• 打开ddns-go后台——选择Alidns(阿里云)——把AccessKey ID和AccessKey Secret输入到对应的位置——启用IPV4——获取IP方式（把这个https://myip4.ipip.net删掉）——输入前面解析好的域名——点击保存
  • 特别注意：AccessKey ID和AccessKey Secret粘贴过来的时候，前面会有个空格，要把它删掉

3、腾讯云设置

• 登陆腾讯云——打开DNSPod页面
• 获取SecretId和SecretKey：鼠标移到右上角头像位置——点击API密钥——点击新建密钥——确定新建——分别获得SecretId和SecretKey（注意：SecretKey只出现一次，记得复制出来保存好）
• 域名解析：点击我的域名——选择对应的域名——点击添加记录——类型让它默认——主机记录可以自定义——类型让它默认——记录值输入软路由的IP地址——点击确认
• 打开ddns-go后台——选择腾讯云——把SecretId和SecretKey输入到对应的位置——启用IPV4——获取IP方式（把这个https://myip4.ipip.net删掉）——输入前面解析好的域名——点击保存

4、Cloudflare设置（Cloudflare相关设置）

• 登陆Cloudflare
• 获取Token：点击右上角头像位置——点击我的个人资料——点击API令牌——点击创建令牌——点击编辑区域 DNS（使用模板）——权限保持默认——区域资源选择特定——选择对应的域名——点击继续以显示摘要——点击创建令牌（注意：令牌只出现一次，记得复制出来保存好）
• 域名解析：选择对应的域名——点击DNS——点击添加记录——类型让它默认——名称可以自定义——IPv4 地址输入软路由的IP地址——把代理状态关掉——点击保存
• 打开ddns-go后台——选择Cloudflare——把Token输入到对应的位置——启用IPV4——获取IP方式（把这个https://myip4.ipip.net删掉）——输入前面解析好的域名——点击保存

5、OpenWRT安装DDNS-GO

• 用SSH连接工具Finalshell连接到软路由——查看CPU架构

arch
cat /proc/version
uname -m
uname -a
uname -r

• 根据你的处理器选择要下载的版本——右键复制链接地址——把地址替换到下面红色部分

wget https://github.com/jeessy2/ddns-go/releases/download/v6.3.3/ddns-go_6.3.3_linux_armv7.tar.gz

• 解压安装包

tar -zxvf ddns-go_6.3.3_linux_armv7.tar.gz  #红色部分要和上面后面的名称对应上

• 安装DDNS-GO

./ddns-go -s install

• DDNS-GO的webui的端口是9876，访问ip:9876即可

2、域名购买或者申请网址：

• 免费域名申请Freenom、
  • 参考视频：https://youtu.be/mC8H4Y05ccM
• 域名购买Godaddy
  • 参考视频：https://youtu.be/C7dTu74_IbM

3、域名解析参考视频：

• CloudFlare域名托管&解析
• 阿里云域名托管&解析

4、SSl证书申请：

• 证书网站：https://freessl.cn/
• 解决方案一
• 解决方案二

5、Xray服务器搭建参考：

• 阿里云搭建VPS
• 腾讯云搭建VPS
• 谷歌云搭建VPS
• 微软云搭建VPS
• 亚马逊云搭建VPS
• Vultr搭建VPS

6、科学上网客户端下载：

• 电脑端

奶油之家

• 手机/安卓等客户端

• 下载并安装SSH连接工具Finalshell：【点击进入】
• 购买服务器并解析域名：【点击进入】

2、关闭防火墙（如果是其它云平台可以在防火墙下面设置规则放行所有端口）

ufw disable

3、更新系统

apt update -y && apt upgrade -y

4、申请SSL证书（注意：官方最新的一键安装，需要用到证书，没有证书打不开页面）

• 安装git

apt install git -y

• 一键申请SSL证书：【点击进入】

git clone https://github.com/slobys/SSL-Renewal.git /tmp/acme && mv /tmp/acme/* /root && bash acme_2.0.sh

5、创建文件夹并把证书和密钥移到文件夹内

• 创建certs文件夹

mkdir -p /var/lib/marzban/certs/

• 移动证书密钥文件（红色部分替换成你解析好的域名）

mv /root/你的域名.crt /var/lib/marzban/certs/
mv /root/你的域名.key /var/lib/marzban/certs/

6、一键安装Marzban

• 开源项目地址：【点击进入】

bash -c "$(curl -sL https://github.com/Gozargah/Marzban-scripts/raw/master/marzban.sh)" @ install

7、修改配置文件

• 进入/opt/marzban目录
• 打开.env文件
• 再进入/var/lib/marzban/certs目录，然后复制证书和密钥路径
• 注释掉的 UVICORN_SSL_CERTFILE 和 UVICORN_SSL_KEYFILE 变量，然后把它取消注释，再把证书是密钥的路径添加到引号里面（如下图）

8、重启Marzban

marzban restart

9、打开Marzban面板：https://你的域名:8000/dashboard

10、创建账号密码

marzban cli admin create --sudo

• 如果想要购买域名，用这个Godaddy：【点击进入】，本次演示以购买域名作为演示
• 建议用谷歌浏览器打开，并且安装谷歌翻译，打开网址——点击创建一个账户——输入资料并验证——登陆——输入自己想要的域名——填写自己的信息——点击购买——用支付宝付款即可
• 点击我的产品——找到所有产品和服务——点击全部管理——点击DNS——选择自己的域名——点击Nameservers

2、注册并登陆Cloudflare，Cloudflare官网：【点击进入】

3、点击添加站点——输入自己购买的域名——选择免费——点击继续——点击确认——点击复制添加 Cloudflare 名称服务器——回到Godaddy——点击更改Nameservers——选择I’ll use my own nameservers——然后把cloudflare的服务器地址粘贴过来

4、注意：其他的域名商，原理都是一样的，都是把Cloudflare的服务器地址添加到域名商的系统上即可

1、专业查看路由线路网站1：【点击进入】,网站2：【点击进入】

• 专业查询软件：【点击进入】
• 测试IP：【点击进入】
• 回程可在VPS中输入以下命令

安装mtr：apt install mtr -y

路由回程查询：mtr -rn ip

2、各个运营商的线路情况：

• 中国电信
  • 163骨干网（ChinaNet）：走AS4134路由节点，IP开头一律是“202.97.*.*”，全程不经过CN2网络节点，已知出口：北京、上海、广州
  • CN2中国电信下一代承载网，简称CN2：CN2分为CN2 GT和CN2 GIA，CN2 GT（Global Transit又称半程 CN2 ）国内走163骨干网，国际走CN2;CN2 GIA（Global Internet Access 又称纯 CN2/全程 CN2）全程不经过163骨干网，走AS4809路由节点，IP开头一律是“59.43.*.*”，已知出口：北京、上海、广州、乌鲁木齐
• 中国联通
  • 联通169网络（CHINA169）：由原中国网通互联网骨干网（CHINA169）和原中国联通互联网骨干网（UNINET）合并而来，全程走AS4837的路由节点，IP开头一律是“219.158.*.*”，已知出口：北京、上海、广州
  • 联通A网（CUII）经常被称为9929网络：走AS9929路由节点，IP开头一律是“218.105.*.*/210.*.*.*”，对标电信CN2 GIA，已知出口：北京、上海、广州
  • 联通国际CUG：走AS10099路由节点，提供至大陆方向的差异化接入，包括 CUG（AS10099 -> AS4837）和 CUG VIP（AS10099 -> AS9929 -> AS4837）
  • 线路组合有以下几种：
    • 内地 AS4837 + 境外 AS4837：最普通、最常见的联通 169 网络，也是一般联通家宽路由线路。
    • 内地 AS4837 + 境外 AS10099：应该算是高端线路，目前看到搬瓦工香港 CN2 GIA 是这样走的。
    • 内地 AS9929 + 境外 AS4837：目前暂时没看到这种路由，但是看到介绍说部分地区 A 网出境后会并入 169 网。
    • 内地 AS9929 + 境外 AS10099：联通高端线路，China Unicom Premium。
• 中国移动
  • 中国移动骨干网：国内必走AS9808路由节点，IP开头一律是“221.176.*.*/221.183.*.*”，部分会并入到铁通 AS9314 / 电信 163 骨干网 / 联通 169 骨干网，已知出口：北京、上海、广州
  • 国际段骨干网（CMI）:走AS58453路由节点，承接所有AS9808出镜流量
• 中国教育网：走AS4538路由节点，各大高校的校园网和部分大型国内云服务提供商，已知出口：北京清华大学

3、各种线路详解：

• BGP专线：简单来说BGP线路就是一个能够动态切换的线路，当一条线不能正常链接访问时，自动切换到另一条线路。BGP线路简单来说就是将电信、联通、移动、铁通、教育网等多家运营商的网络融合在一起的线路，融合为一个IP地址，路由器根据相关数据进行解析，选出最快的线路反馈回去，以实现不同线路之间的互联互通。
• CN2：CN2线路是中国电信推出的一种优质线路，又叫中国电信下一代承载网。是中国电信目前推出的质量最好的网络带宽线路。主要特点：低丢包、低延时、轻负载，出国回国必定经过北京/上海/广州。
  • CN2 GT: CN2里属于Global Transit的产品(又名GIS-Global Internet Service)，在CN2里等级低，省级/出国节点为202.97开头，国际骨干节点有2～4个59.43开头的CN2节点。在出国线路上拥堵程度一般，相对于163骨干网的稍强，相比CN2 GIA，性价比也较高。出国前走的是163骨干网，出国后走的是59.43开头的
  • CN2 GIA: CN2里属于Global Internet Access的产品，等级最高，省级/出国/国际骨干节点都以59.43开头，全程没有202.97开头的节点。在出国线路上表现最好，很少拥堵，理论上速度最快最稳定，当然，价格也相对CN2 GT偏高。
• IPLC和IEPL：
  • IPLC是英文词组”International Private Leased Circuit” 的缩写，即“国际专线”，是指用户专用的跨国的数据、话音等综合信息业务的通信线路。通俗地说，也就是指传统的专线，如DDN、E1等，用于互连两点之间的通信，只不过IPLC是跨国跨境专用的而已。比如深港IPLC，即深圳到香港点对点传输而不经过公网，是完全的内网，可以被认为是真正意义上的专线。这种专线因为没有走公网因此完全不过墙，你传输什么 GFW 都是不会知道的。
  • IEPL是英文词组“International Ethernet Private Line”的缩写，即“国际以太网专线”。IEPL线路为二层的电路，主要为跨国性企业提供高品质的以太网专线服务。国际以太网专线服务(IEPL)为一个端对端的管理式频宽服务方案，透过网络平台，为客户提供可作无限扩充的点对点专用跨境通讯服务。
  • IEPL网络传输性能优于专线IPLC，但是价格也比IPLC一般企业和个人用户更贵，IPLC和IEPL专线使用体验差别不大，IPLC性价比更高。个人使用。IPLC比IEPL对于企业实时合作办公络游戏加速的高端用户来说，专线更划算，IEPL专线会有比IPLC低延迟体验更好。

4、QoS解析：QoS（Quality of Service）是一种网络技术也可以理解为数据的分拣中心，用于在网络上为不同的应用程序或用户提供不同的服务质量。它可以确保网络上的数据传输是可靠的，并且可以根据需要分配带宽和优先级。在网络拥塞或流量高峰期，QoS可以确保关键应用程序的数据传输优先级高于其他应用程序，从而保证网络的性能和可靠性。简单的理解就是在上网高峰期，它会选择性丢包，确保重要客户或者重要信息优先通行，例如在上网高峰期一般个人用户和企业用户，企业用户的优先级就高于我们个人用户，跟银行的VIP客户原理一样

5、测试IP收集

电信测试

全程AS4143

测试IP:35.220.130.206

CN2 GT  

测试IP：204.152.218.25

CN2 GIA

测试IP:65.49.131.102/93.179.124.115

联通测试

联通普通线路

测试IP:35.220.130.206

联通CUG AS4837——AS10099线路

测试IP:93.179.124.115

联通高端CUG VIP

测试IP：104.255.67.140

移动测试


AS9808——AS58453线路

测试IP：23.252.103.101

2、购买服务器和解析域名

• 购买云服务器（支持25端口）：【点击进入】
• 端口放行（谷歌云、阿里云、腾讯云等等可以到控制台的防火墙中添加对应的端口进行放行，注意：一定要放行）

iptables -A INPUT -p tcp --dport 25 -j ACCEPT   # 放行 SMTP 端口 (25)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT   # 放行 HTTP 端口 (80)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT  # 放行 HTTPS 端口 (443)
iptables -A INPUT -p tcp --dport 110 -j ACCEPT  # 放行 POP3 端口 (110)
iptables -A INPUT -p tcp --dport 143 -j ACCEPT  # 放行 IMAP 端口 (143)
iptables -A INPUT -p tcp --dport 465 -j ACCEPT  # 放行 SMTP SSL 端口 (465)
iptables -A INPUT -p tcp --dport 587 -j ACCEPT  # 放行 SMTP (587)
iptables -A INPUT -p tcp --dport 993 -j ACCEPT  # 放行 IMAP SSL 端口 (993)
iptables -A INPUT -p tcp --dport 995 -j ACCEPT  # 放行 POP3 SSL 端口 (995)

• 验证25端口是否可用：（这里十分重要，如果25端口没有放行，会导致发不了邮件，但是可以收邮件，大部分云服务器会禁用此端口，如果被禁用，可联系服务商放行）

telnet smtp.qq.com 25

• Cloudflare域名解析：【点击进入】（添加以下这几条记录，必须添加，否则收不到邮件）

3、安装Docker

• 更新系统中的软件包

apt update -y && apt upgrade -y && apt install -y curl wget sudo socat

• 安装Docker

curl -fsSL https://get.docker.com -o get-docker.sh && sh get-docker.sh

• 设置Docker开机自启和启动Docker

systemctl enable docker && systemctl start docker 

4、安装和配置 Poste.io

• Docker安装 Poste.io（红色部分改成自己的域名）

docker run -d \
   --net=host \
   -e TZ=Asia/Shanghai \
   -v /home/mail:/data \
   --name "mailserver" \
   -h "mail.example.com" \
   -t analogic/poste.io:latest

• 登录管理页面：http://服务器IP/admin/install/server
  • 设置一个管理员邮箱和密码
• 申请SSL证书：点击系统设置——点击TLS证书——点击颁发免费的letsencrypt.org证书——勾选已启用——点击保存更改

5、可能需要用到的命令

• 检查邮箱服务是否在运行

docker ps -a

• 启动邮箱服务

docker start mailserver

• 重启邮箱服务

docker restart mailserver

1、Sing-Box内核和Clash内核的区别

2、开源项目地址：【点击进入】

• 官方使用文档：【点击进入】

3、最简单的设置方案

• 设置语言——更新并选择内核——添加插件——点击快速开始——添加订阅链接
• 进阶设置打开方式
  • 配置——选择对应的配置——点击编辑——名称可以自定义——通用设置（点开高级设置）——选择是否启用TUN模式——代理组设置——路由规则——DNS设置——DNS规则设置
• TUN模式堆栈解析
  • system是指系统代理的设置。当你使用v2ray tun模式时，你可以选择将系统代理设置为v2ray，这样所有的网络流量都会通过v2ray进行代理；
  • gvisor是一个用于提供更高级的网络隔离和安全性的工具。它是一个开源的沙箱工具，可以在操作系统级别实现容器化，以保护应用程序免受恶意代码的攻击。使用gvisor可以增加网络应用程序的安全性，防止恶意代码对系统的攻击和滥用。

4、插件

• 点击插件中心——添加节点转换——Sing-Box订阅转换

5、规则集

• 规则集获取方式
  • GEOIP：
    • GitHub – MetaCubeX/meta-rules-dat – GEOIP
    • GitHub – SagerNet/sing-geoip at rule-set
  • GEOSITE：
    • GitHub – MetaCubeX/meta-rules-dat – GEOSITE
    • GitHub – SagerNet/sing-geosite at rule-set

6、计划任务

• 时间表达式生成：【点击进入】

7、设置