docker/notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Initial commit

Browse Source
This commit is contained in:
Docker7530
2026-03-01 01:43:46 +08:00
commit c6125c117b
3840 changed files with 415340 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
resource/系统/网络/DNS 泄露问题.md
+27
View File
@@ -0,0 +1,27 @@
# 问题 1
使用组策略编辑器(仅适用于专业版、企业版和教育版):
a. 打开 “运行” 对话框,可以按下 Win + R 键,然后输入 “gpedit.msc” 并按 Enter。
b. 在 “组策略编辑器” 中,导航至以下路径:
计算机配置 -> 管理模板 -> 网络 -> DNS客户端
c. 在右侧窗格中,找到并双击 “禁用智能多宿主名称解析”(Turn off Multicast Name Resolution)。
d. 在弹出的窗口中,选择 “已启用”(Enabled),然后点击 “确定”。
![](../../../attachment/images-paste/image-20250819113233246.png)
# 问题 2
```
edge://flags/#enable-quic
```
![](../../../attachment/images-paste/image-20250819145348590.png)
# 问题 3
![](../../../attachment/images-paste/image-20250819113221898.png)
resource/系统/网络/mihomo tun 和公司 VPN 的冲突.md
+104
View File
@@ -0,0 +1,104 @@
解决方案:https://github.com/MetaCubeX/mihomo/discussions/1920
# 如何在 Tun 模式下让公司域名走公司 VPN?
各位社区的大佬好,最近遇到了一个关于 **Tun 模式与公司 VPN 共存** 的问题,希望能得到大家的帮助。
# 🎯 目标
我希望在 **登录公司 VPN** 的同时,使用 **Tun 模式**,并且能够正常访问公司的内部域名。
# 📌 现状
- **使用系统代理模式时**,公司域名可以正常解析和访问,因为配置了规则 `DIRECT` 转向 `system` 后,系统代理模式会识别到公司 VPN 的 DNS 解析。
- 但是 **启用 Tun 模式后**,公司域名解析失败,无法访问。
# 🛠️ 配置
当前 `Clash` 配置中的 `dns` 相关部分如下:
```yaml
dns:
enable: true
ipv6: true
prefer-h3: true
listen: 0.0.0.0:1053
respect-rules: false
enhanced-mode: fake-ip
fake-ip-range: 198.18.0.1/16
fake-ip-filter-mode: blacklist
fake-ip-filter:
- "+.stun.*.*"
- "+.stun.*.*.*"
- "+.stuns.*.*"
- "+.stuns.*.*.*"
- "+.wns.windows.com"
- "+.msftncsi.com"
- "+.msftconnecttest.com"
- "rule-set:private_domain,cn_domain"
default-nameserver:
- 223.5.5.5
- 119.29.29.29
proxy-server-nameserver:
- https://dns.alidns.com/dns-query
nameserver-policy:
rule-set:private_domain,cn_domain:
- 223.5.5.5
rule-set:geolocation-!cn:
- https://cloudflare-dns.com/dns-query
- https://dns.google/dns-query
nameserver:
- 119.29.29.29
fallback:
- tls://1.1.1.1:853
- tls://9.9.9.9:853
direct-nameserver:
- system
```
`rules` 相关如下:
```yaml
rules:
# >>>>>>>>>>>>>>>> Custom Rules >>>>>>>>>>>>>>>>
- DOMAIN-SUFFIX,公司域名.net,DIRECT
# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
- RULE-SET,private_ip,DIRECT,no-resolve
- RULE-SET,private_domain,DIRECT
- RULE-SET,cn_ip,DIRECT,no-resolve
- RULE-SET,cn_domain,DIRECT
- RULE-SET,steamcn_domain,DIRECT
- RULE-SET,apple_domain,DIRECT
- RULE-SET,youtube_domain,YouTube
- RULE-SET,telegram_domain,Telegram
- RULE-SET,telegram_ip,Telegram
- RULE-SET,x_domain,X
- RULE-SET,facebook_domain,Facebook
- RULE-SET,facebook_ip,Facebook
- RULE-SET,instagram_domain,Instagram
- RULE-SET,openai_domain,OpenAi
- RULE-SET,github_domain,GitHub
- RULE-SET,onedrive_domain,OneDrive
- RULE-SET,netflix_ip,Netflix,no-resolve
- RULE-SET,netflix_domain,Netflix
- RULE-SET,paypal_domain,PayPal
- RULE-SET,steam_domain,Steam
- RULE-SET,google_ip,Google,no-resolve
- RULE-SET,google_domain,Google
- RULE-SET,microsoft_domain,Microsoft
- MATCH,Final
```
# 🔍 观察
- **VPN 启动后会创建一个新的网卡**,但在 Tun 模式下,公司内部域名似乎不会走公司 VPN 提供的 DNS 解析,从而导致解析失败。
- **猜测原因**
1. Tun 模式可能会导致 DNS 请求不走公司 VPN 解析。
![](../../../attachment/images-paste/image-20250317215046051.png)
# ❓ 求助
-**Tun 模式下**,如何让 **公司域名走公司 VPN** 进行解析和访问?
如果有大佬遇到过类似问题,或者有任何建议,万分感谢!🙏
resource/系统/网络/shadowsocks.md
+150
View File
@@ -0,0 +1,150 @@
基于 Ubuntu 的服务器,安装和配置 `shadowsocks-libev`,并结合 `v2ray-plugin` 插件来增强其伪装能力。
[官网](https://shadowsocks.org/)
# 一、安装并管理 Shadowsocks-libev
首先,我们需要安装 Shadowsocks 的 libev 实现版本,它以高性能和低资源占用著称。
## 1. 安装 Shadowsocks
使用 `apt` 包管理器一键安装:
```bash
sudo apt update && sudo apt full-upgrade -y
sudo apt install shadowsocks-libev
```
如果在源中找不到包优先排查 Ubuntu 版本问题,推荐 LTS 版本。
## 2. 管理服务
安装后,`shadowsocks-libev` 会被注册为一个 systemd 服务,方便我们进行管理。
- 查看服务状态:检查服务是否正在运行。
```bash
systemctl status shadowsocks-libev.service
```
- 重启服务:当配置文件修改后,需要重启来使更改生效。
```bash
systemctl restart shadowsocks-libev.service
```
- 查看实时日志:排查连接问题或监控运行状态时非常有用。
```bash
journalctl -u shadowsocks-libev.service -f
```
# 二、安装 v2ray-plugin 插件
为了更好地伪装流量,我们选择安装 `v2ray-plugin`。
## 1. 安装插件
同样使用 `apt`进行安装:
```bash
sudo apt install shadowsocks-v2ray-plugin
```
## 2. 验证安装
可以通过 `dpkg` 命令查看插件安装后释放了哪些文件,以确认安装成功。
```bash
dpkg -L shadowsocks-v2ray-plugin
```
# 三、配置 Shadowsocks 服务器
接下来是最关键的一步:编辑配置文件,设定服务器的参数。
## 1. 编辑配置文件
使用 `vim` 或你喜欢的其他文本编辑器打开默认的配置文件:
```bash
sudo vim /etc/shadowsocks-libev/config.json
```
## 2. 写入配置
将文件内容替换为以下 JSON 配置。**请务必将 `password` 字段的值修改为您自己的强密码!**
```json
{
"server": ["::", "0.0.0.0"],
"mode": "tcp_and_udp",
"server_port": 8388,
"local_port": 1080,
"password": "vS52NAL6NqWJ",
"timeout": 86400,
"method": "chacha20-ietf-poly1305",
"plugin": "ss-v2ray-plugin",
"plugin_opts": "server"
}
```
配置项说明:
- `server`: 监听的 IP 地址。监听所有 IPv4、IPv6 接口。
- `server_port`: 服务器监听的端口,客户端需要连接此端口。
- `password`: 连接密码,**务必修改**。
- `method`: 加密方法,推荐使用 `chacha20-ietf-poly1305`。
- `plugin`: 指定要使用的插件,这里是 `ss-v2ray-plugin`。
- `plugin_opts`: 插件的选项,`server` 表示在服务器模式下运行。
## 3. 应用配置
配置修改完成后,不要忘记**重启 Shadowsocks 服务**以使新配置生效。
```bash
sudo systemctl restart shadowsocks-libev.service
```
# 四、配置防火墙 (UFW)
为了让外部客户端能够连接到我们的服务,需要在服务器的防火墙上放行指定的端口。这里以 `UFW` (Uncomplicated Firewall) 为例。
- 启动防火墙(如果尚未启动):
```bash
sudo ufw enable
```
- 查看防火墙状态:
```bash
sudo ufw status
```
- 开放服务端口(重要!):这里的 `8388` 必须与 `config.json` 文件中的 `server_port` 一致。
```bash
sudo ufw allow 8388
```
- 其他常用命令:
- 拒绝端口访问: `sudo ufw deny 8388`
- 删除已有规则: `sudo ufw delete allow 8388`
- 关闭防火墙: `sudo ufw disable`
# 五、客户端下载与配置
服务器搭建完成后,您需要在自己的设备(如 Windows、Mac、手机)上安装相应的客户端进行连接。
- Shadowsocks Windows 客户端:
> [https://github.com/shadowsocks/shadowsocks-windows](https://github.com/shadowsocks/shadowsocks-windows)
- v2ray-plugin 插件 (客户端也需要安装此插件):
> [https://github.com/shadowsocks/v2ray-plugin](https://github.com/shadowsocks/v2ray-plugin)
在客户端中,你需要填入与服务器 `config.json` 文件完全一致的**服务器IP**、**端口(8388)**、**密码**和**加密方法**,并在插件设置中选择 `v2ray` 插件即可。
至此,您的 Shadowsocks + v2ray-plugin 服务器已全部搭建并配置完毕。
resource/系统/网络/trojan.md
+234
View File
@@ -0,0 +1,234 @@
# Trojan-Go 从零到一
Trojan-Go 是一个基于 Trojan 协议的代理工具,它通过将流量伪装成正常的 HTTPS 流量,从而有效地规避网络审查。相比原版 Trojan,Trojan-Go 提供了更多高级功能,如多路复用、路由、WebSocket 支持等,性能优异且配置灵活。
- **项目地址**[https://github.com/p4gefau1t/trojan-go](https://github.com/p4gefau1t/trojan-go)
- **官方文档**[https://p4gefau1t.github.io/trojan-go/](https://p4gefau1t.github.io/trojan-go/)
# 一、准备工作
在开始之前,请确保你已具备以下条件:
1. 一台境外 VPS:拥有 root 或 sudo 权限,并已安装好一个主流的 Linux 发行版(如 Ubuntu, Debian, CentOS)。
2. 一个域名:并将该域名解析到你的 VPS 公网 IP 地址。本文将以 `your.domain.com` 为例。
3. 基础的 Linux 操作能力:熟悉使用 SSH 连接服务器及执行基本命令。
# 二、申请 SSL/TLS 证书
Trojan 协议的核心是使用真实的 TLS 加密来伪装流量。因此,一个有效的域名证书是必不可少的。我们推荐使用 `acme.sh` 自动申请和续签 Let's Encrypt 等免费证书。
## 1. 安装 acme.sh
```bash
# 安装 acme.sh 工具
curl https://get.acme.sh | sh -s
# 如果提示 curl: command not found, 请先安装 curl
# apt update && apt install curl -y (Debian/Ubuntu)
# yum update && yum install curl -y (CentOS)
# 创建软链接,方便全局调用
ln -s /root/.acme.sh/acme.sh /usr/local/bin/acme.sh
# 注册 acme.sh 账户(邮箱会用于接收证书到期提醒)
acme.sh --register-account -m my@example.com
```
## 2. 安装依赖并开放端口
`acme.sh``standalone` 模式需要在 80 端口上启动一个临时验证服务器。
```bash
# 安装 socatstandalone 模式依赖它
apt update
apt install socat -y # Debian/Ubuntu
# yum install socat -y # CentOS
# 确保防火墙开放 80 端口(用于证书申请)和 443 端口(Trojan-Go 服务)
ufw allow 80
ufw allow 443
ufw reload
```
## 3. 申请证书
我们使用 ECC 证书(`ec-256`),它具有更好的性能和更小的密钥体积。
```bash
# --standalone 模式会自动监听 80 端口完成验证
acme.sh --issue -d your.domain.com --standalone -k ec-256
```
证书签发失败怎么办?
默认的 CA 服务商可能因为各种原因无法成功签发。你可以尝试切换到其他 CA:
```bash
# 切换到 Lets Encrypt
acme.sh --set-default-ca --server letsencrypt
# 切换到 Buypass
acme.sh --set-default-ca --server buypass
# 切换到 ZeroSSL
acme.sh --set-default-ca --server zerossl
```
切换后,重新执行上面的申请命令即可。
## 4. 安装证书到指定目录
为了方便管理,我们将证书和密钥统一部署到一个目录,例如 `/root/trojan/`
这里为了方便可以放到 trojan 目录下。
```bash
# 创建目录
mkdir -p /root/trojan
# 使用 --installcert 命令将证书文件复制到指定位置
# acme.sh 会在证书续签后自动将新证书部署到这里
acme.sh --installcert -d your.domain.com --ecc \
--key-file /root/trojan/server.key \
--fullchain-file /root/trojan/server.crt
```
备选方案:使用自签名证书
如果你只是为了临时测试或在内网环境使用,可以快速生成自签名证书。**注意:客户端连接时需要禁用证书验证,安全性较低,不推荐在生产环境使用。**
```bash
# 生成私钥
openssl ecparam -genkey -name prime256v1 -out /root/trojan/server.key
# 生成证书(-subj 参数可以自定义,CN需要是你的域名)
openssl req -new -x509 -days 36500 -key /root/trojan/server.key -out /root/trojan/server.crt -subj "/CN=your.domain.com"
```
# 三、下载并配置 Trojan-Go
#### 1. 下载 Trojan-Go
前往 Trojan-Go 的 [GitHub Releases](https://github.com/p4gefau1t/trojan-go/releases) 页面,找到最新的版本,复制对应你服务器架构的 `linux-amd64` 版本下载链接。
```bash
# 进入一个临时目录
cd /tmp
# 下载(请替换为最新的版本链接)
wget https://github.com/p4gefau1t/trojan-go/releases/download/v0.10.6/trojan-go-linux-amd64.zip
# 解压
unzip trojan-go-linux-amd64.zip
# 将可执行文件移动到系统路径
mv trojan-go /usr/local/bin/
# 创建配置文件目录
mkdir -p /etc/trojan-go
```
#### 2. 编写配置文件
创建一个配置文件 `config.json`
```bash
vim /etc/trojan-go/config.json
```
将以下内容粘贴进去,并根据你的实际情况进行修改:
```json
{
"run_type": "server",
"local_addr": "0.0.0.0",
"local_port": 443,
"remote_addr": "127.0.0.1",
"remote_port": 80,
"password": [
"your_strong_password" // 请修改为你自己的强密码
],
"ssl": {
"cert": "/root/trojan/server.crt", // 证书路径
"key": "/root/trojan/server.key", // 私钥路径
"sni": "your.domain.com" // 你的域名
},
"router": {
"enabled": true,
"block": [
"geoip:private"
],
"geoip": "/usr/local/bin/geoip.dat",
"geosite": "/usr/local/bin/geosite.dat"
}
}
```
**配置文件关键参数解析:**
- `run_type`: 运行类型,服务端设置为 `server`
- `local_addr` & `local_port`: Trojan-Go 监听的地址和端口,`0.0.0.0:443` 表示监听所有网络接口的 443 端口。
- `remote_addr` & `remote_port`: **伪装目标地址**。当有非 Trojan 协议的流量(如直接用浏览器访问你的域名)访问 `443` 端口时,Trojan-Go 会将该流量转发到此地址。通常,我们会在本地 80 端口搭建一个简单的 Nginx 网站,来完美伪装成一个真实网站。`127.0.0.1:80` 是最常见的配置。
- `password`: 客户端连接时需要使用的密码,可以设置多个。
- `ssl`: TLS 相关配置。
- `cert` & `key`: 指向你刚刚申请并安装的证书和私钥文件。
- `sni`: Server Name Indication,客户端必须指定此域名才能成功连接。这里填写你的域名。
- `router`: Trojan-Go 内置的简易路由器,可以用来屏蔽特定流量(如BT、私网IP等),增强安全性。`geoip.dat``geosite.dat` 文件随 Trojan-Go 压缩包一起提供,记得将它们也移动到 `/usr/local/bin/`
# 四、设置后台运行与开机自启(Systemd)
为了让 Trojan-Go 能在后台稳定运行,并且在服务器重启后自动启动,我们为它创建一个 Systemd 服务。
```bash
nano /etc/systemd/system/trojan-go.service
```
将以下内容粘贴到文件中:
```ini
[Unit]
Description=Trojan-Go
Documentation=https://github.com/p4gefau1t/trojan-go
After=network.target nss-lookup.target
[Service]
User=root
CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
NoNewPrivileges=true
ExecStart=/usr/local/bin/trojan-go -config /etc/trojan-go/config.json
Restart=on-failure
RestartSec=10s
LimitNOFILE=infinity
[Install]
WantedBy=multi-user.target
```
现在,使用以下命令来管理 Trojan-Go 服务:
```bash
# 重新加载 Systemd 配置
systemctl daemon-reload
# 启动 Trojan-Go 服务
systemctl start trojan-go
# 设置开机自启
systemctl enable trojan-go
# 查看服务运行状态
systemctl status trojan-go
```
如果状态显示 `active (running)`,则表示服务已成功启动。
# 五、客户端配置示例
在你的本地设备上,使用支持 Trojan 协议的客户端(如 V2RayN, Shadowrocket, Clash 等),并参考以下配置进行连接:
- **地址/服务器 (Address/Server)**: `your.domain.com`
- **端口 (Port)**: `443`
- **密码 (Password)**: `your_strong_password` (你在服务端设置的密码)
- **SNI/服务器名称指示 (SNI/Peer)**: `your.domain.com`
- **允许不安全 (Allow Insecure)**: `false``关闭` (因为我们用的是可信证书)
- **协议 (Protocol)**: `trojan`
resource/系统/网络/关于 Win+Scoop 环境下 Sing-box 防火墙路径问题及 VPN 都在并存的小发现.md
+89
View File
@@ -0,0 +1,89 @@
**环境配置**
Win + scoop + WinSW + sing-box 1.12.14 裸核
**问题一:切换 mixed 模式断网与防火墙路径**
之前一直用的 tun 的 gvisor 堆栈,最近看群里讨论 mixed 模式(也是默认模式),就想换过来试试,结果一改配置直接断网。
**排查与解决:**
在群友提醒下怀疑是防火墙问题。
1. 尝试直接关闭防火墙,网络恢复,确认锅在防火墙。
2. 检查防火墙规则,发现确实有一条 `sing-tun` 的放行规则,路径指向 `E:\MyScoop\Scoop\apps\sing-box\current\sing-box.exe`
3. **关键点来了**Scoop 的 `current` 是一个软连接。我尝试把防火墙规则改为实际的版本路径 `E:\MyScoop\Scoop\apps\sing-box\1.12.14\sing-box.exe`,启用防火墙后网络正常了。
**求教:** 看来 Windows 防火墙似乎不认 Scoop 的 `current` 软连接路径?有没有懂这块底层机制的佬友科普一下原理?
**问题二:关于公司 VPN 并存与 local DNS 的源码发现**
顺道分享一个近期折腾 VPN 并存时发现的坑。
场景是日常挂 sing-box 和公司 VPN。VPN 启动后会生成独立虚拟网卡。
**目前的笨办法:**
必须显式指定出站接口和 DNS 转发。
创建绑定 VPN 网卡的 outbound
```json
{
"tag": "company-network",
"type": "direct",
"bind_interface": "controller" // controller 为网卡名称
}
```
定义内网 DNS 并指定出口:
```json
{
"tag": "Company-DNS",
"type": "udp",
"server": "12.0.0.1", // 公司内网DNS
"detour": "company-network"
}
```
路由规则指定域名走该 DNS
```json
{
"action": "route",
"domain_suffix": ["company.net"],
"server": "Company-DNS",
"strategy": "prefer_ipv4"
}
```
**尝试简化失败:**
原本以为可以用官方文档里的 `local` 服务来简化配置,让 sing-box 自动读取系统 DNS
```json
{
"type": "local",
"tag": "dns_local"
}
```
配置后发现无法解析公司内网域名。
**原因分析:**
大概翻了一下 sing-box 源码,`local` 确实是读取系统里的上游 DNS 列表,但它在发查询时会检查网关。
由于我们公司的 VPN 网卡(controller)没有配置 IPv4 默认网关,源码里有一句判断:
```go
if address.FirstGatewayAddress == nil {
continue
}
```
导致这张网卡直接被跳过了。给同样有 VPN 并存需求的兄弟排个雷。
**求教:** 佬友们有没有需要公司 VPN 和代理工具同时使用的场景呢?可以分享下使用技巧。
resource/系统/网络/网络协议.md
+427
View File
@@ -0,0 +1,427 @@
# 底层协议
## 1、TCP
Transmission Control Protocol,传输控制协议
- **特点**:面向连接、可靠传输、按顺序传输数据、错误检测和修复、流量控制、拥塞控制。
- **应用**:常用于需要高可靠性的应用,如网页浏览(HTTP)、文件传输(FTP)、电子邮件(SMTP/POP3/IMAP)等。
## 2、UDP
User Datagram Protocol,用户数据报协议
- **特点**:无连接、速度较快、没有流量控制和拥塞控制、数据可能丢失或乱序。
- **应用**:适用于对速度要求较高、容忍数据丢失的应用,如视频流、实时语音通信、在线游戏等。
## 3、SCTP
Stream Control Transmission Protocol,流控制传输协议
- **特点**:面向连接、可靠传输,具有多流(multi-streaming)和多宿主(multi-homing)支持,可以提供对多条路径的冗余传输,提高了容错性。
- **应用**:主要用于电信、网络电话(VoIP)等领域,尤其是在需要多条数据流并且要在多个网络路径中传输数据的场景。
## 4、DCCP
Datagram Congestion Control Protocol,数据报拥塞控制协议
- **特点**:提供拥塞控制,但不像 TCP 那样进行可靠性保证。DCCP 的目标是在低延迟和拥塞控制之间取得平衡。
- **应用**:适用于那些需要控制拥塞但又不需要完全可靠传输的应用,如流媒体传输。
## 5、RUDP
Reliable User Datagram Protocol,可靠用户数据报协议
- **特点**:结合了 UDP 和 TCP 的特性,提供 UDP 的低延迟和 TCP 的可靠性。
- **应用**:在一些实时性要求较高的应用中(如实时视频通话)使用,提供可靠的传输机制,同时保持较低的延迟。
## 6、QUIC
Quick UDP Internet Connections,快速 UDP 互联网连接协议
- **特点**:基于 UDP,但结合了 TCP 的某些功能,如流量控制、错误纠正等,同时增加了加密和连接恢复等功能。由 Google 提出并在 HTTP/3 中使用。
- **应用**:主要用于网页浏览,特别是在 Google Chrome 和 HTTP/3 协议中,以提高传输速度和可靠性。
## 7、MPTCP
Multipath TCP,多路径 TCP
- **特点**:允许通过多条网络路径进行数据传输,增强了传输的可靠性和带宽利用率。
- **应用**:主要用于移动设备中,支持多个网络接口(例如 Wi-Fi 和移动数据)同时进行数据传输,提高连接的稳定性和性能。
## 8、IPX
Internetwork Packet Exchange,网络包交换协议
- **特点**:一种较早的网络协议,曾广泛应用于 Novell NetWare 操作系统中。虽然现在较为过时,但它是一种面向连接的协议。
- **应用**:在 1980s 和 1990s,广泛应用于局域网环境中,但现在已被 TCP/IP 协议取代。
## 9、X.25
- **特点**:一种老式的面向连接的协议,曾用于广域网(WAN)环境中,提供可靠的数据传输,但速度较慢。
- **应用**:曾广泛应用于金融和政府领域,现在已被现代的 TCP/IP 协议所取代。
## 10、L2TP
Layer 2 Tunneling Protocol,第二层隧道协议
- **特点**:L2TP 本身并不提供加密和认证,但常用于虚拟专用网络(VPN)协议中,结合 IPsec 提供安全性。
- **应用**:VPN 技术,特别是在需要建立跨多个网络的虚拟专用连接时。
# 加密协议
## 早期阶段(以简单代理和基础加密为主)
1. **Socks5**
- 功能:简单的代理协议,不提供加密功能,适用于基本的代理需求。
- 特点:轻量,但安全性较低,通常需要其他工具配合加密。
2. **HTTP**
- 功能:通过HTTP协议进行明文传输,主要用于传统代理。
- 特点:未加密,安全性低,不适合绕过防火墙或隐私保护。
3. **HTTPS**
- 功能:HTTP的加密版本,使用TLS/SSL加密数据。
- 特点:安全性高,隐蔽性好,常用于现代Web流量代理。
4. **SSH**
- 功能:基于Secure Shell协议的加密传输,用于保护远程连接。
- 特点:安全性高,速度较慢,多用于远程登录,偶尔用于翻墙。
## 中期阶段(注重加密和混淆的代理协议):
1. **Shadowsocks (SS)**
- 时间:2012年
- 功能:基于SOCKS5代理,增加了数据加密功能(AES-256-GCM、ChaCha20等)。
- 特点:轻量、高效,主要用于绕过防火墙。
2. **ShadowsocksR (SSR)**
- 时间:2016年(Shadowsocks的分支)
- 功能:在Shadowsocks基础上增加了协议混淆和多种加密方式。
- 特点:抗封锁能力更强,但已停止更新,逐渐被其他协议取代。
3. **Vmess**
- 时间:2017年(随V2Ray推出)
- 功能:V2Ray的核心协议,支持数据加密和动态端口。
- 特点:灵活性强,可搭配多种传输协议(TCP、WebSocket、mKCP等)。
4. **VLESS**
- 时间:2020年
- 功能:Vmess的改进版本,去除了数据加密,仅进行身份验证。
- 特点:效率更高,适合与TLS等协议结合使用。
5. **Relay**
- 功能:一种中继协议,通过中间节点转发流量,提高隐私性。
- 特点:通常与其他工具配合使用,隐蔽性较高。
6. **Socks5 Over TLS**
- 功能:将Socks5协议与TLS加密结合,增强安全性。
- 特点:适合需要高隐私的代理场景。
7. **HTTP2**
- 功能:基于HTTP的升级协议,支持多路复用和TLS加密。
- 特点:传输效率高,隐蔽性强,多用于机场节点伪装。
## 现代阶段(高效传输和高级伪装):
1. **Trojan**
- 时间:2019年
- 功能:基于HTTPS协议伪装正常Web流量。
- 特点:隐蔽性强,抗封锁能力优秀,支持TLS加密。
2. **WireGuard**
- 时间:2019年
- 功能:轻量级VPN协议,使用ChaCha20加密。
- 特点:速度快,效率高,适合对性能要求高的用户。
3. **Hysteria**
- 时间:2021年
- 功能:基于UDP的传输协议,专注于低延迟和高吞吐量。
- 特点:速度极快,适合游戏和流媒体需求。
4. **Hysteria2**
- 时间:2023年
- 功能:Hysteria的升级版本,优化了性能和抗封锁能力。
- 特点:更高效,适应复杂网络环境。
5. **TUIC**
- 时间:2023年
- 功能:新一代代理协议,支持多路复用和TLS加密。
- 特点:隐蔽性强,传输效率高。
6. **Juicity**
- 功能:基于现代加密技术的新协议。
- 特点:多用于对隐私和安全性要求高的场景。
7. **Snell**
- 时间:2020年
- 功能:Simple-obfs作者开发的一种代理协议。
- 特点:轻量化,隐蔽性较好。
8. **Brook**
- 时间:2018年
- 功能:跨平台代理工具,支持多种混淆技术。
- 特点:轻量、简单,但抗封锁能力一般。
9. **Lua**
- 功能:一种嵌入式脚本语言,有时用于自定义代理逻辑。
- 特点:灵活,可嵌入其他工具中实现特殊需求。
# 线路介绍
## CN2 线路
CN2ChinaNet Next Carrying Network)是中国电信的下一代骨干网络,主要面向高端用户和企业级业务。它提供更高的服务质量(QoS),支持多种网络协议,具有更低的延迟和更高的稳定性。
- **特点:**
- **多协议标签交换(MPLS)技术**:提高了网络的传输效率和灵活性。
- **更优的路由选择**:通常经过优化的传输路径,减少中转节点。
- **高带宽低延迟**:特别适用于对网络质量要求较高的应用,比如游戏、视频会议和跨境通信。
### QoSQuality of Service
QoS 是指网络传输中的服务质量,主要包括带宽、延迟、抖动、丢包率等多个方面。它的目标是保障关键数据传输的优先级,从而提升用户体验。
- **主要功能:**
- **带宽管理**:分配固定带宽给关键任务。
- **延迟控制**:减少延迟对实时应用(如视频通话、在线游戏)的影响。
- **数据优先级**:确保高优先级任务在拥堵时优先处理。
---
### “被 QoS”是什么意思?
“被 QoS”是指网络服务供应商对用户的网络带宽进行限制或调控,通常出现在运营商为确保网络资源公平分配时。用户体验的表现是网速下降,尤其是下载速度、视频加载速度或跨境访问。
- **常见情形:**
- 运营商为节约成本或在高峰时段保障总体网络稳定性而对部分用户限制速度。
- 用户使用的带宽超出了运营商约定的范围(如无限流量套餐)。
---
### CN2 的缺点
虽然 CN2 线路的性能优秀,但也存在一些局限性:
- **高成本**:CN2 线路的价格通常比普通线路更高。
- **出口带宽有限**:在跨境通信时,部分地区的 CN2 出口可能会有瓶颈。
- **覆盖范围有限**:不如传统骨干网络广泛覆盖。
---
### CN2 GT 和 CN2 GIA
- **CN2 GTGlobal Transit**
- 标准 CN2 服务,适用于普通国际访问,路由质量较好。
- 相较于 CN2 GIA,价格较低但优先级也较低。
- **CN2 GIAGlobal Internet Access**
- 高级服务,提供更优质的路由和更稳定的传输。
- 适合对国际网络质量有高要求的企业和用户,价格昂贵。
## BGP 协议(Border Gateway Protocol
BGP 是边界网关协议,用于管理互联网中的路由信息,是互联网的核心协议之一。
- **功能:**
- **路由选择**:通过动态路由表,选择最佳的网络路径。
- **自治系统(AS)之间的通信**:在多个 AS 之间共享路由信息。
- **冗余路由**:提供备选路径以防止网络故障。
## GCP、AWS、Azure 的特点和问题
这些是三大云计算服务提供商,各有优势和劣势。
### Google Cloud Platform (GCP)
- **特点**
- 强大的数据分析和机器学习能力(如 BigQuery)。
- 卓越的全球网络性能。
- 对开发者友好。
- **问题**
- 企业级生态不如 AWS 成熟。
- 定价策略较复杂。
### Amazon Web Services (AWS)
- **特点**
- 最全面的服务范围,行业领导者。
- 广泛的全球数据中心分布。
- 强大的开发者和企业支持生态。
- **问题**
- 价格昂贵。
- 初学者可能觉得复杂。
## Microsoft Azure
- **特点**
- 与微软产品(如 Office 365、Windows Server)深度集成。
- 强大的混合云支持。
- **问题**
- 开发者工具生态略逊于 AWS 和 GCP。
- 部分服务的性能略显滞后。
## PCCW 线路、HKT、HKBN 线路
这些是香港地区的主要网络服务提供商。
### PCCWPacific Century CyberWorks)线路
- 香港最大的电信公司之一,提供高性能国际线路。
- 多用于企业和跨境业务。
### HKTHong Kong Telecommunications
- 另一家主要的电信服务提供商,专注于家庭和中小企业市场。
- 提供多种宽带服务,但国际出口不如 PCCW 强。
### HKBNHong Kong Broadband Network
- 以高性价比宽带服务著称,服务家庭用户。
- 国际出口相较 PCCW 和 HKT 略逊,但价格更具吸引力。
---
## IPLCInternational Private Leased Circuit
IPLC 是国际专线,是一种专门用于点对点国际数据传输的通信线路。
- **特点:**
- **高带宽、低延迟**:适合跨境视频会议、数据传输等高要求场景。
- **固定费用**:适合流量需求稳定的企业。
- **缺点**
- 价格昂贵。
- 缺乏灵活性,不适用于动态流量需求。
## 163 网
**163 网**是中国电信的一个传统互联网骨干网络,也是中国最早的大规模商用互联网之一。它的名字来源于中国电信的全国拨号上网接入号码“163”,因此得名。
1. **传统互联网骨干网**
- 是中国早期的互联网基础设施,主要用于国内互联网流量的承载。
- 连接中国电信的宽带用户到全球互联网。
2. **路由优先国内**
- 对于国内访问优化较好,适合访问国内网站、应用和服务。
- 国际访问通常通过海底光缆或者与国外运营商的合作线路,但路径较复杂,可能造成高延迟和丢包。
3. **普通用户网络**
- 面向大众用户,带宽和性能受限于线路负载和流量情况。
- 对国际访问的体验不如**CN2 线路**优质。
## 163 网与 CN2 的对比
|特性|163 网(ChinaNet|CN2ChinaNet Next Carrying Network|
|---|---|---|
|**定位**|普通宽带用户互联网|高端用户和企业级网络服务|
|**国内访问**|优化良好|同样优化良好|
|**国际访问**|路径较复杂,延迟较高|优化路由,低延迟,稳定性更强|
|**用户群体**|普通家庭和小型企业|高端家庭用户、大型企业|
|**技术架构**|传统互联网架构|使用 MPLS 技术优化路由|
|**价格**|成本低,价格便宜|成本高,价格昂贵|
### 163 网的主要问题
1. **国际访问体验差**
- 对于访问国际网站或服务(如国外服务器、游戏、视频等),通常存在延迟高、丢包严重的问题。
- 原因是国际出口带宽不足,且路由优化不够。
2. **拥堵现象明显**
- 高峰时段可能出现网络拥堵,导致网速变慢。
3. **服务质量有限**
- 缺乏针对企业或高端用户的优化服务,服务质量相对普通。
## 中国移动的骨干网络
- **CMIChina Mobile International**
- 中国移动的国际网络品牌,专门为跨境通信服务。
- 其骨干网络被称为 **CMNET**,主要用于国内和国际的互联网通信。
- **特点**
- **国内流量为主**:CMNET 网络优化主要面向国内用户,国际通信能力不如 CN2。
- **性价比高**:宽带套餐通常便宜,但国际访问性能稍差,延迟较高。
- **高延迟问题**:特别是在访问海外网站和服务时,跨境通信路径长,性能不佳。
- **国际出口优化**
- 中国移动近年来通过 CMI 增加了对国际流量的优化,提供了部分高质量国际线路,但整体仍不如 CN2。
## 中国联通的骨干网络
- **CUGChina Unicom Global**
- 中国联通的国际网络品牌,骨干网络通常被称为 **CNCNET**
- **特点**
- **国际访问表现较好**:CNCNET 的国际出口相对稳定,在北美、欧洲和亚洲地区的国际访问体验好于中国移动。
- **国际线路优化**:相比 163 网,中国联通的国际访问质量更高,但整体仍低于 CN2。
- **性价比中等**:比 CN2 便宜,但国际通信质量优于 CMNET。
- **联通优质国际线路**
- 中国联通也提供一些专门针对高端用户和企业的国际专线服务,与 CN2 GIA 相似。
- 国际访问的优化效果一般优于 CMNET,但在稳定性和延迟上稍逊于 CN2。
## 三大运营商骨干网络的对比
|特性|中国电信(CN2)|中国移动(CMNET)|中国联通(CNCNET|
|---|---|---|---|
|**国际访问质量**|优秀(特别是 CN2 GIA)|较差(国际延迟较高)|良好(优于 CMNET,低于 CN2|
|**国内访问优化**|优秀|优秀|优秀|
|**网络稳定性**|高|中|中高|
|**国际出口带宽**|较大(特别是 CN2 GIA)|一般|较大|
|**用户群体**|普通用户和高端用户|普通家庭用户|普通用户和企业用户|
|**性价比**|中(CN2 GIA 成本较高)|高|中|
|**适用场景**|高端国际通信需求、游戏、企业网络|日常家庭网络|国际通信和企业网络|
## 中国电信(China Telecom
### 出口线路
- **CN2ChinaNet Next Carrying Network**
- **CN2 GIAGlobal Internet Access**:专为高端国际访问设计,低延迟、高稳定性,适合企业和高要求用户。
- **CN2 GTGlobal Transit)**:面向普通用户,质量较好,但优先级低于 GIA。
- **163 骨干网(ChinaNet)**:普通用户常用的传统网络,国际出口较慢,路径复杂,延迟和丢包率较高。
### 适用场景
- **CN2 GIA**:跨境电商、视频会议、外贸企业、高质量需求的国际访问。
- **CN2 GT**:一般国际访问需求。
- **163 网**:低成本国际访问,但不适合高要求场景。
## 中国移动(China Mobile
### 出口线路
- **CMNETChina Mobile Network**
- 中国移动的传统骨干网,出口优化主要面向国内用户,国际访问体验一般。
- **CMIChina Mobile International**
- 中国移动为国际通信专门设置的网络品牌,近年来逐步优化跨境流量。
### 适用场景
- 性价比高,适合对国际访问要求不高的普通家庭用户。
- 对国际通信优化有限,适合轻量级跨境应用(如普通浏览、邮件)。
## 中国联通(China Unicom
### 出口线路
- **CNCNETChina Unicom Network**
- 中国联通的骨干网络,对国际流量有较好的优化。
- **联通国际专线**
- 提供类似于 CN2 GIA 的高端国际线路,专注于企业和高质量用户。
### 适用场景
- 对国际访问体验要求较高,但预算较低于 CN2 GIA 的场景。
- 北美、欧洲等地区访问表现优于 CMNET。
## 香港运营商和特殊线路
部分用户会选择通过香港运营商或专线出墙,这些线路可以绕开中国大陆的国际出口限制。
### 常见的香港线路
- **PCCW(电讯盈科)**:香港最大的国际出口提供商,性能优秀,适合高质量国际访问。
- **HKT(香港电讯)**:服务家庭用户和中小企业,提供稳定的国际出口。
- **HKBN(香港宽频)**:以性价比闻名,适合预算有限的用户。
### 国际专线
- **IPLCInternational Private Leased Circuit**:点对点的国际专线,适合跨境企业的高质量通信需求。
- **IEPLInternational Ethernet Private Line**:类似 IPLC,但基于以太网技术,成本较低。
## 主要跨境通信方式
### 海底光缆
中国的网络国际出口高度依赖于多条海底光缆连接:
- **亚太地区(APCN-2, AAG)**:连接中国与日本、韩国、东南亚国家。
- **欧美地区(SMW-3, FLAG, TPE)**:连接中国与北美和欧洲。
- **跨太平洋光缆(TPE)**:主要负责中美之间的高速通信。
---
## 总结:中国出墙的主要运营商和骨干网络
| 运营商 | 网络干线 | 特点 |
| ----- | ---------------------- | ------------------------------------ |
| 中国电信 | CN2 GIA, CN2 GT, 163 网 | 高端用户选 CN2 GIA;普通用户多使用 163 网,性能较差。 |
| 中国移动 | CMNET, CMI | 性价比高,但国际访问体验一般,适合国内为主、国际需求轻的用户。 |
| 中国联通 | CNCNET, 联通国际专线 | 国际出口较稳定,性能介于电信和移动之间,适合国际需求适中的场景。 |
| 香港运营商 | PCCW, HKT, HKBN | 高质量的国际访问,适合对网络质量有高要求的企业和个人。 |
| 国际专线 | IPLC, IEPL | 高带宽低延迟,但成本较高,适合跨境业务场景(如外贸、电商、视频会议等)。 |