搭建私有代理服务器不仅能保护隐私,还能突破网络限制。本指南带您了解 2026 年主流代理协议(含最新 REALITY、Hysteria2 防封技术),并提供详细的搭建、CF CDN 中转、DNS 防泄露与客户端配置全攻略。
🌐 什么是代理服务器
代理服务器是位于客户端和目标服务器之间的中间服务器。它接收客户端的请求,转发给目标服务器,再将响应返回给客户端。通过这种方式,它可以隐藏您的真实 IP,加密您的网络流量,并绕过地理限制或防火墙封锁。
📊 代理协议全景对比(2026)
首选推荐 Xray (VLESS+REALITY) 安全性 ★★★★★ 速度 ★★★★★ 难度 中等 主要特点:
无需购买域名极强抗封锁(偷SNI)全端口伪装延迟极低 首选推荐 Hysteria2 (QUIC/UDP) 安全性 ★★★★☆ 速度 ★★★★★ 难度 中等 主要特点:
UDP极速传输高丢包环境适用BBR拥塞控制内置流量混淆 V2Ray (VMess+WS+TLS) 安全性 ★★★★☆ 速度 ★★★★☆ 难度 中等 主要特点:
多协议支持强大的路由功能流量伪装CDN 中转 Shadowsocks 安全性 ★★★☆☆ 速度 ★★★★★ 难度 简单 主要特点:
轻量级速度快配置简单广泛支持 Trojan 安全性 ★★★★☆ 速度 ★★★★☆ 难度 中等 主要特点:
伪装 HTTPS难以检测稳定性高穿透力强 TUIC v5 安全性 ★★★★☆ 速度 ★★★★★ 难度 中等 主要特点:
基于 QUIC0-RTT 握手多路复用低延迟 🔮 首选:Xray REALITY 完整部署
在 2026 年,REALITY 是目前抗封锁能力最强的代理方案。它不需要域名,直接"偷"大型网站(如 Apple、Microsoft)的 TLS 证书来伪装流量,GFW 主动探测时会连接到真实的目标网站,无法区分真假代理流量。
方式一:一键脚本(推荐新手) mack-a 八合一脚本 # 推荐使用 mack-a 大佬的八合一脚本 (支持 VLESS+TCP+XTLS+REALITY)
wget -P /root -N --no-check-certificate "https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh" && chmod 700 /root/install.sh && /root/install.sh 运行脚本后,跟随全中文的交互式菜单,选择安装 VLESS+TCP+XTLS+REALITY 选项。安装完成后,脚本会输出订阅链接或分享二维码,直接导入客户端即可使用。
方式二:手动配置(了解原理) 生成密钥 + 启动 Xray # 安装 Xray(官方脚本)
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install
# 生成 UUID
xray uuid
# 输出:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
# 生成 x25519 密钥对(REALITY 专用)
xray x25519
# 输出:
# Private key: 你的私钥(填入 config.json 的 privateKey)
# Public key: 你的公钥(填入客户端配置)
# 启动 Xray
systemctl start xray && systemctl enable xray
systemctl status xray REALITY 完整配置文件 /usr/local/etc/xray/config.json // Xray 服务端配置文件:/usr/local/etc/xray/config.json
// VLESS + TCP + XTLS + REALITY 完整配置
{
"log": { "loglevel": "warning" },
"inbounds": [
{
"listen": "0.0.0.0",
"port": 443, // 使用 443 端口,最难被封
"protocol": "vless",
"settings": {
"clients": [
{
"id": "你的UUID", // 用 xray uuid 生成
"flow": "xtls-rprx-vision" // XTLS Vision 模式,最新最强
}
],
"decryption": "none"
},
"streamSettings": {
"network": "tcp",
"security": "reality",
"realitySettings": {
"show": false,
"dest": "www.apple.com:443", // 目标域名("偷" Apple 的 TLS 证书)
"xver": 0,
"serverNames": [
"www.apple.com"
],
"privateKey": "你的私钥", // xray x25519 生成
"shortIds": [""]
}
},
"sniffing": {
"enabled": true,
"destOverride": ["http", "tls", "quic"]
}
}
],
"outbounds": [
{ "protocol": "freedom", "tag": "direct" },
{ "protocol": "blackhole", "tag": "block" }
]
} ⚡ 新兴:Hysteria2 高速 UDP 代理
Hysteria2 是 2024-2026 年快速崛起的新一代代理协议,基于 QUIC(UDP)。在 TCP 遭受严重 QoS 限速的晚高峰,Hysteria2 的 UDP 通道往往能绕过拥塞,取得远优于 TCP 代理的速度。适合对速度极度敏感的用户作为备用/补充方案。
🚀 QUIC 协议底层 基于 UDP,绕过 TCP 拥塞控制,晚高峰速度优势明显
🔒 TLS 1.3 加密 全程 TLS 加密 + 内置伪装,连接被识别概率低
⚡ 多路复用 单个连接承载多个请求流,减少握手开销
安装 Hysteria2 Hysteria2 一键安装 # ── 安装 Hysteria2 ───────────────────────────────────────────────────────────
bash <(curl -fsSL https://get.hy2.sh/)
# 安装完成后,配置文件路径:/etc/hysteria/config.yaml
# 启动命令:systemctl start hysteria-server.service 服务端配置文件 /etc/hysteria/config.yaml # 文件路径:/etc/hysteria/config.yaml
# Hysteria2 服务端完整配置
listen: :443 # 监听端口(UDP,443 端口抗封效果最好)
# TLS 证书配置(两种方式选一)
# 方式一:使用 Let's Encrypt 自动申请(需要域名)
acme:
domains:
- hy2.yourdomain.com
email: your@email.com
# 方式二:使用现有证书文件
# tls:
# cert: /path/to/cert.pem
# key: /path/to/key.pem
# 认证配置
auth:
type: password
password: "你的强密码" # 建议 16 位以上随机密码
# 伪装配置(访问时返回正常网站内容,防主动探测)
masquerade:
type: proxy
proxy:
url: https://www.bing.com # 伪装成 Bing,被探测时返回 Bing 内容
rewriteHost: true
# 带宽限制(可选,防止滥用)
# bandwidth:
# up: 1 gbps
# down: 1 gbps
# QUIC 参数优化
quic:
initStreamReceiveWindow: 26843545
maxStreamReceiveWindow: 26843545
initConnReceiveWindow: 67108864
maxConnReceiveWindow: 67108864 服务管理与防火墙 # Hysteria2 服务管理
systemctl start hysteria-server.service # 启动
systemctl enable hysteria-server.service # 开机自启
systemctl status hysteria-server.service # 查看状态
journalctl -u hysteria-server.service -f # 查看实时日志
# 更新 Hysteria2
bash <(curl -fsSL https://get.hy2.sh/)
# 防火墙开放 UDP 443 端口(重要!Hysteria2 使用 UDP)
ufw allow 443/udp
# 注意:443/tcp 不受影响,可以继续运行其他 TCP 服务
⚠️ Hysteria2 的局限性: UDP 协议在某些网络环境下(部分企业网/学校网/运营商)会被 QoS 或完全封锁,此时 Hysteria2 无法使用。推荐策略:REALITY(TCP)作为主节点,Hysteria2(UDP)作为备用,客户端配置自动故障切换。
☁️ 进阶:VLESS + WS + TLS + CF CDN 中转
当 VPS 的 IP 被 GFW 封锁时,可以通过 Cloudflare CDN 中转来"救活"节点。流量走 客户端 → Cloudflare(未被封)→ 你的 VPS,VPS 的 IP 不直接暴露给客户端,即使 VPS IP 被封也能正常使用。
Nginx 反代配置 /etc/nginx/conf.d/vless-ws.conf # 文件路径:/etc/nginx/conf.d/vless-ws.conf
# VLESS + WebSocket + TLS + Nginx 反代(配合 Cloudflare CDN 使用)
server {
listen 443 ssl;
http2 on;
server_name proxy.yourdomain.com; # 你的代理域名(需在 CF 上解析)
ssl_certificate /etc/letsencrypt/live/proxy.yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/proxy.yourdomain.com/privkey.pem;
# SSL 安全配置
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
# 默认返回正常网站(防探测)
location / {
root /var/www/html;
index index.html;
}
# 代理路径(只有客户端知道这个路径)
location /你的随机路径/ { # 如 /ws-xray/
proxy_redirect off;
proxy_pass http://127.0.0.1:10086; # Xray 监听本地端口
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_read_timeout 86400s;
proxy_send_timeout 86400s;
}
}
server {
listen 80;
server_name proxy.yourdomain.com;
return 301 https://$host$request_uri;
} Xray WebSocket 模式配置 /usr/local/etc/xray/config.json(WebSocket 模式) // Xray 配置(WebSocket 模式,搭配 Nginx 反代)
// 文件路径:/usr/local/etc/xray/config.json
{
"inbounds": [
{
"listen": "127.0.0.1", // 只监听本地,由 Nginx 接入
"port": 10086,
"protocol": "vless",
"settings": {
"clients": [
{ "id": "你的UUID" }
],
"decryption": "none"
},
"streamSettings": {
"network": "ws",
"wsSettings": {
"path": "/你的随机路径/" // 必须与 Nginx 配置一致
}
}
}
],
"outbounds": [{ "protocol": "freedom" }]
} 📋 CF CDN 中转配置清单 域名在 Cloudflare 解析,A 记录指向 VPS IP,橙色云朵(代理开启) CF SSL/TLS 模式设为 Full(非 Strict,因为 Nginx 证书自签也行) CF 面板 Network → WebSocket 设为开启 客户端使用的端口必须是 CF 支持的端口(443/2053/2083/2087/2096/8443) 客户端配置:TLS 开启,Host 填域名,path 填 /你的随机路径/ 📦 进阶:Sing-box 服务端多协议配置
Sing-box 是 2024-2026 年活跃度最高的新一代统一代理平台,单一二进制同时支持 VLESS/REALITY/Hysteria2/Trojan/SS 等所有主流协议,配置格式统一(JSON),性能优异。使用 Sing-box 服务端可以同时开启多个协议入站,让不同设备选择最适合的协议。
安装 Sing-box Sing-box 安装 # 安装 Sing-box(官方脚本)
bash <(curl -fsSL https://sing-box.app/deb-install.sh)
# 或手动下载最新版
VERSION=$(curl -s https://api.github.com/repos/SagerNet/sing-box/releases/latest | grep '"tag_name"' | cut -d'"' -f4)
wget "https://github.com/SagerNet/sing-box/releases/download/${VERSION}/sing-box-${VERSION#v}-linux-amd64.tar.gz"
tar xzf sing-box-*.tar.gz
mv sing-box-*/sing-box /usr/local/bin/
# 配置文件路径(创建目录)
mkdir -p /etc/sing-box
# 启动
systemctl start sing-box
systemctl enable sing-box
systemctl status sing-box 多协议服务端配置(REALITY + Hysteria2) /etc/sing-box/config.json # 文件路径:/etc/sing-box/config.json
# Sing-box 服务端:同时支持 VLESS+REALITY 和 Hysteria2 两种协议
{
"log": {
"level": "info",
"timestamp": true
},
"inbounds": [
// ── VLESS + REALITY 入站 ──────────────────────────────────────────────
{
"type": "vless",
"tag": "vless-in",
"listen": "::",
"listen_port": 443,
"users": [
{
"uuid": "你的UUID",
"flow": "xtls-rprx-vision"
}
],
"tls": {
"enabled": true,
"server_name": "www.apple.com",
"reality": {
"enabled": true,
"handshake": {
"server": "www.apple.com",
"server_port": 443
},
"private_key": "你的REALITY私钥",
"short_id": [""]
}
}
},
// ── Hysteria2 入站 ────────────────────────────────────────────────────
{
"type": "hysteria2",
"tag": "hy2-in",
"listen": "::",
"listen_port": 8443, // 使用不同端口区分两个协议
"up_mbps": 1000,
"down_mbps": 1000,
"users": [
{ "password": "你的Hysteria2密码" }
],
"tls": {
"enabled": true,
"acme": {
"domain": "hy2.yourdomain.com",
"email": "your@email.com"
}
},
"masquerade": "https://www.bing.com"
}
],
"outbounds": [
{ "type": "direct", "tag": "direct" },
{ "type": "block", "tag": "block" }
]
} 🚀 经典:V2Ray 搭建
V2Ray (VMess) 是经典的代理工具,配合 WebSocket + TLS + Nginx 反向代理(需要购买域名)依然是一种非常稳健的建站伪装方案,生态成熟、客户端支持最广。
1. 安装 V2Ray bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh) 2. 配置文件 编辑 /usr/local/etc/v2ray/config.json:
{
"inbounds": [{
"port": 10086,
"protocol": "vmess",
"settings": {
"clients": [{ "id": "YOUR_UUID", "alterId": 0 }]
}
}],
"outbounds": [{ "protocol": "freedom" }]
} 3. 启动服务 systemctl start v2ray && systemctl enable v2ray 🔐 经典:Shadowsocks 部署
安装 Shadowsocks-libev apt update && apt install shadowsocks-libev -y 配置 编辑 /etc/shadowsocks-libev/config.json:
{
"server":"0.0.0.0",
"server_port":8388,
"password":"your_password",
"timeout":300,
"method":"aes-256-gcm"
} 🛡️ 经典:Trojan 配置
Trojan 将流量伪装成正常的 HTTPS 流量,抗干扰能力极强。前提是您需要一个真实的域名并申请 SSL 证书。
一键安装脚本 source <(curl -sL https://git.io/trojan-install) ⚡ 一键安装脚本
对于新手,以下是 2026 年最实用的一键脚本,复制粘贴即可运行:
Sing-box 全家桶 — 支持 REALITY / Hysteria2 / TUIC,2026 首选 ⭐ 推荐 bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh) 3X-UI 面板 — Web 可视化管理,多用户流量统计,Xray 内核 bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh) Hysteria2 官方脚本 — QUIC/UDP 协议,自动申请证书,5 分钟完成 bash <(curl -fsSL https://get.hy2.sh/) mack-a 八合一脚本 — VLESS + REALITY / WS+TLS 多方案交互选择 wget -P /root -N --no-check-certificate https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh && chmod 700 /root/install.sh && /root/install.sh 🔍 必读:DNS 防泄露配置
这是代理使用中最容易被忽略的安全盲点:即使代理连接成功,如果 DNS 查询没有走代理,您的 ISP 仍然能看到您访问了哪些域名(通过 DNS 请求),这叫 DNS 泄露。在某些防火墙环境下,DNS 泄露会导致特定域名被 DNS 污染而无法访问。
DNS 防泄露检测与配置 # ── 检测 DNS 泄露(访问这些网站查看你的 DNS 服务器)────────────────────────
# https://dnsleaktest.com
# https://browserleaks.com/dns
# 如果 DNS 服务器显示的是你的 ISP(国内电信/联通/移动),说明存在 DNS 泄露
# ── 方法一:在 Clash/Sing-box 客户端配置 DNS ─────────────────────────────────
# Clash 配置(config.yaml):
# dns:
# enable: true
# enhanced-mode: fake-ip # 或 redir-host
# nameserver:
# - https://1.1.1.1/dns-query # 通过代理请求 Cloudflare DoH
# - https://8.8.8.8/dns-query # 通过代理请求 Google DoH
# nameserver-policy:
# "+.cn": [223.5.5.5, 119.29.29.29] # 国内域名走国内 DNS
# ── 方法二:服务端启用 FakeDNS(Xray 配置)──────────────────────────────────
# 在 Xray config.json 的 inbounds 中开启 sniffing:
# "sniffing": {
# "enabled": true,
# "destOverride": ["http", "tls", "quic"],
# "routeOnly": false
# }
# ── 方法三:在 VPS 上部署 AdGuard Home(见第26篇)────────────────────────────
# 最彻底的方案:将 DNS 解析完全交给自己服务器的 AdGuard Home
# 客户端 DNS 指向 Tailscale 内网的 AdGuard Home IP(100.64.x.x)
# 所有 DNS 查询走加密隧道,完全不泄露
# ── 验证 DNS 不泄露的客户端配置(以 Clash 为例)────────────────────────────
# 确保以下设置:
# 1. clash-tun 模式开启(接管系统所有流量,包括 UDP DNS)
# 2. DNS 模式设为 fake-ip
# 3. nameserver 只使用走代理的 DoH 地址(非国内 DNS 地址)
# 4. 关闭系统 IPv6(有时 IPv6 DNS 会绕过代理) 🔄 订阅转换与分流规则
服务端搭建好后,通常会生成一个节点链接或订阅链接。但不同客户端(Clash/Sing-box/Shadowrocket)需要不同格式,且默认节点不含分流规则。subconverter 订阅转换解决这两个问题——一键转换格式 + 自动注入分流规则。
subconverter 部署与分流规则配置 # ── subconverter:将单节点/订阅链接转换为各客户端格式 ──────────────────────
# GitHub: https://github.com/tindy2013/subconverter
# 在线转换(无需自建):https://sub.xeton.dev
# ── 自建 subconverter(Docker)────────────────────────────────────────────────
docker run -d --name subconverter --restart always -p 25500:25500 tindy2013/subconverter:latest
# 使用方法(将原始订阅链接转换为 Clash 格式 + 带分流规则):
# http://你的VPS:25500/sub?target=clash&url=<原始订阅URL编码>&config=<规则集URL>
# ── 推荐分流规则集 ────────────────────────────────────────────────────────────
# 1. blackmatrix7/ios_rule_script(GitHub 上维护最积极的规则集)
# https://github.com/blackmatrix7/ios_rule_script
# 包含:流媒体分流/广告过滤/App专属规则/国内直连
# 2. MetaCubeX/meta-rules-dat(Mihomo/Clash Meta 规则数据库)
# https://github.com/MetaCubeX/meta-rules-dat
# ── 示例:Clash 配置中使用规则集 ─────────────────────────────────────────────
# rule-providers:
# netflix:
# type: http
# behavior: classical
# url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Netflix/Netflix.yaml"
# interval: 86400
# direct:
# type: http
# behavior: domain
# url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/China/China_Domain.yaml"
# interval: 86400
# rules:
# - RULE-SET,netflix,🎬 Netflix
# - RULE-SET,direct,DIRECT
# - GEOIP,CN,DIRECT
# - MATCH,🚀 节点选择 🚀 进阶:BBR 速度优化
搭建好服务端后,如果在晚高峰发现速度不理想,一定要检查是否开启了 BBR 拥塞控制算法。开启 BBR 后,跨国传输的速度通常可以提升 30% 到 200% 不等。
# 开启 Linux 内核自带的 BBR 加速算法
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
# 验证是否开启成功 (有输出说明成功)
lsmod | grep bbr 📱 附录:全平台客户端推荐(2026)
服务端搭建好后,您需要在设备上安装客户端并导入配置。2026 年客户端生态已发生较大变化,以下是各平台最新推荐:
🪟 Windows Clash Verge Rev ⭐: 2024-2026 首选,Mihomo 内核,支持所有新协议,UI 极美,持续更新 Hiddify Next: 新兴客户端,Sing-box 内核,界面简洁,支持 REALITY+Hysteria2 v2rayN: 老牌经典,Xray 内核,操作简单,占用极小,适合轻量用户 🍎 macOS Clash Verge Rev ⭐: 同 Windows,跨平台支持,是目前 macOS 最活跃的免费客户端 Surge Mac: 终极神器,功能无敌,但价格极高($49.99+),专业用户首选 Stash: Clash 生态,界面精致,年费订阅制 📱 iOS(需非国区 ID) Shadowrocket ⭐: "小火箭",$2.99,性价比最高,万能兼容,几乎支持所有协议 Quantumult X: 高端玩家首选,MitM/重写能力最强,$7.99 Sing-box(官方): 免费开源,Sing-box 核心,支持最新协议,但界面较朴素 🤖 Android Karing ⭐: 2024新兴,Sing-box 内核,界面现代,开源免费,快速迭代 Hiddify: 跨平台,Sing-box 内核,支持 REALITY/Hysteria2,界面简洁 v2rayNG: 老牌稳定,Xray 内核,操作简单,适合轻量需求 NekoBox for Android: Sing-box 内核,功能强大,类 PC 端操作体验 🐧 Linux Clash Verge Rev: 跨平台支持 Linux,图形界面,开箱即用 sing-box(CLI): 命令行模式,资源极省,配合 systemd 后台运行,服务器端理想 Mihomo(Clash Meta): Clash Meta 内核直接运行,搭配 yacd-meta Web 面板管理 📺 路由器/软路由 OpenClash(OpenWRT): 路由器级全局代理,家庭网络设备无需各自安装客户端 PassWall / SSR Plus+: OpenWRT 插件,支持多种内核,适合玩 OpenWRT 路由器的用户 Mihomo(iStoreOS): 软路由友好,配合 OpenWRT 使用,家庭全屋透明代理首选 ❓ 常见问题解答 REALITY、Trojan、VMess 三者怎么选?各有什么适用场景?
2026 年的现实选择:① REALITY(首选):无需域名,直接用 IP 即可部署,"偷"大型网站的 TLS 指纹来伪装,GFW 主动探测会连到真实的目标网站(如 Apple CDN),无法区分真假——这是目前抗封锁能力最强的方案,新部署首选;② Hysteria2:UDP 协议,晚高峰 TCP 拥塞时速度优势明显,与 REALITY 互为补充;③ Trojan / VLESS+WS+TLS:需要域名 + SSL 证书,将流量完全伪装成 HTTPS,适合已有域名或需要搭配 Cloudflare CDN 使用(CDN 中转可拯救被墙 IP)的场景;④ VMess:历史经典,生态最成熟,客户端支持最广,但流量特征相对容易被识别,适合需要兼容老客户端的场景;⑤ Shadowsocks:最简单最快,但抗封锁能力最弱,适合对速度极度敏感、封锁环境宽松的场景。
节点配置好后连接成功但访问速度很慢,怎么排查?
按层次排查:① 服务器本身网络是否正常:SSH 登录 VPS,用 speedtest 测试服务端出口速度;② BBR 是否开启:sysctl net.ipv4.tcp_congestion_control,未开启时尤其影响高延迟跨国链路;③ 回程路由是否拥堵:用 NextTrace 检查回程路由,是否走了 163 骨干网在晚高峰限速——这是物理问题,只能换线路(见第22篇);④ 服务器负载:top 查看 CPU/内存;⑤ 客户端问题:测试不同客户端是否有差异;⑥ 协议切换:TCP 慢时尝试切换 Hysteria2(UDP),绕过 TCP QoS 拥塞。
节点搭好没多久就被封了,有没有防封建议?
IP 被封的常见原因和对策:① IP 质量差:购机前用 scamalytics.com 检测 IP 纯净度,高风险 IP 更容易被盯上;② 协议特征明显:2026 年 VMess、SS 在 DPI 检测下特征明显,迁移到 REALITY 或 Trojan(HTTPS 伪装);③ 公共 IP 泄露:不要在 Telegram/论坛公开分享节点,被大量扫描器检测后会触发封锁;④ Cloudflare CDN 中转:VLESS+WS+TLS 配合 CF CDN,用 CF 的 IP 作为前置(见本文 CF CDN 章节);⑤ 端口选择:避免 1080/8080/10086 等知名代理端口,换用 443/8443;⑥ 流量混淆:REALITY 的 uTLS 指纹设置为 chrome/firefox,让流量更像真实浏览器。
3X-UI 面板和直接用命令行配置相比有什么优劣? 3X-UI 优势:图形界面管理入站规则,可视化查看流量统计和在线用户;多用户管理(每人独立 UUID 和流量限额);订阅链接一键生成,分享给他人方便;支持 Telegram 机器人通知流量到期。3X-UI 劣势:面板本身是一个 Web 服务,增加了攻击面(需要修改默认端口和账号);历史上出现过安全漏洞,需要及时更新;占用额外的端口和内存;面板密码泄露可能导致配置被篡改。命令行方案优势:零额外攻击面,配置直接写在 JSON 文件里;一次配置、长期稳定,无需登录维护;资源占用极小。建议:个人自用选命令行(更简洁安全);需要多用户管理或经常分享节点选 3X-UI(便捷性碾压)。
Sing-box 和 Xray 有什么区别?为什么说 Sing-box 是"新一代"?
两者都是代理核心(执行引擎),区别在设计理念:Xray:Project X 出品,是 V2Ray 的分支,功能经典稳定,VLESS + REALITY 协议的原创出处,拥有最广泛的生态和文档;Sing-box:新一代统一代理平台,单一二进制文件同时支持几乎所有协议(VLESS/Trojan/SS/Hysteria2/NaïveProxy/TUIC 等),客户端和服务端通用,配置文件格式更一致,性能更优(Go 语言重写,内存占用更低),是目前活跃度最高的新项目。如何选择:服务端两者均可,功能基本对等;客户端推荐使用基于 Sing-box 内核的客户端(如 Clash Verge Rev、Karing、Hiddify),因为 Sing-box 客户端支持 REALITY + Hysteria2 等最新协议,而老 V2Ray 内核客户端对新协议支持滞后。
代理服务器搭建后,如何配置分流规则(国内直连,国外走代理)?
分流规则(Rule-Based)在客户端配置,而非服务端。主要在 Clash/Sing-box 客户端的配置文件中定义规则集:① Clash(YAML 格式):在 rules 段落添加 GEOIP、DOMAIN-SUFFIX、IP-CIDR 等规则,匹配中国 IP 和域名直连,其他流量走代理;常用规则集:blackmatrix7/ios_rule_script(GitHub 上有完整维护的规则集);② Sing-box(JSON 格式):在 route.rules 中定义,逻辑相同;③ 推荐预设订阅:使用 subconverter(见本文订阅转换章节)配合支持"白名单模式"的转换服务,自动生成带分流规则的配置文件,无需手动编写。
服务端端口被封了(无法连接),但 SSH 还能用,怎么快速恢复?
端口被封但 SSH 正常说明 IP 未被封(只是特定端口被 GFW 阻断),处理方案:① 换端口:最快的方法——修改配置文件将监听端口改为 443 或其他随机高位端口,重启服务;② 多端口监听:3X-UI 面板可以同时开多个入站,不同端口监听相同配置,某端口被封后客户端切换另一个端口;③ 套 CDN 中转:配置 VLESS+WS+TLS 并通过 Cloudflare CDN 中转(参见本文 CF CDN 章节),之后流量走 CF IP 的 443 端口,即使 VPS 端口被封也不受影响;④ 切换 Hysteria2(UDP):如果只有 TCP 端口被封,切换 UDP 的 Hysteria2 可以继续使用;⑤ 如果只是临时被封(有时 24-48 小时后自动解封),可以等待观察,同时准备备用方案。
Hysteria2 是什么?和 REALITY 相比有什么区别?
Hysteria2 是基于 QUIC(UDP)协议的新一代代理工具,特别适合高丢包、高延迟的恶劣网络环境(如移动网络、拥塞时段)。核心区别:Hysteria2 使用 UDP,在 TCP 拥塞时能绕过拥塞控制取得更高速度,但 UDP 更容易被 QoS 限速或 ISP 封锁,且在某些网络环境下不稳定;REALITY 基于 TCP,更稳定,普适性更强,但在极端拥塞环境下速度不如 Hysteria2。实用建议:日常使用以 REALITY(TCP)为主,在某些特定时段(晚高峰 TCP 严重拥堵)可以切换到 Hysteria2(UDP)获得更好速度。Sing-box 同时支持两种协议,可以在客户端配置备用节点自动切换。
iOS 没有非国区 Apple ID,有没有其他方法安装代理客户端?
几种替代方案:① 注册一个美区/港区 Apple ID(推荐):国外信用卡或礼品卡充值,买一次 Shadowrocket($2.99)终身使用,是最干净的方案;② AltStore / SideStore:通过 PC 侧载方式在国区账号下安装未上架 App Store 的 IPA 文件,每 7 天需要重新签名(免费开发者证书限制);③ 苹果企业证书签名版(不推荐):不稳定,容易证书被吊销失效,且存在安全风险;④ 路由器级代理:在家庭路由器(OpenWRT)或软路由上部署代理,iPhone 连接 WiFi 时自动走代理,无需在 iPhone 上安装任何 App——这是最优雅的家庭网络方案;⑤ Sing-box 官方 iOS App:已于 2024 年上架 App Store(需非国区),免费开源,是目前国区外最好的免费选择。
搭建代理服务器后,下一步应该做什么来完善网络工具体系?
代理解决了出站流量,按 30 篇路径继续完善网络基础设施:① DNS 服务器搭建(第26篇):在 VPS 上部署 AdGuard Home,接管 DNS 解析——去广告、防污染、DoH 加密,并为代理客户端提供干净的 DNS(防止 DNS 泄露暴露真实访问记录),参见DNS 服务器搭建;② 端口转发与内网穿透(第27篇):将代理服务器与 frp 内网穿透结合,把家庭内网服务安全发布到公网,并通过代理节点中转实现全球访问,参见端口转发与内网穿透;③ 与异地组网结合:在 Tailscale 组网内的设备上,将代理服务配置为只允许内网 IP 访问(Tailscale 100.x.x.x 网段),既保证安全又方便组网内所有设备共用一个出口节点。
🚀 下一步行动
代理服务器搭好了,接下来完善网络工具体系:
📡 DNS 服务器搭建 AdGuard Home 私有 DNS,全局去广告、防污染解析与 DoH/DoT 加密。
开始学习 🔁 端口转发与内网穿透 frp + Cloudflare Tunnel,将内网服务安全发布到公网。
开始学习 ⭐ VPS 推荐榜单 查看经过实测验证的优质 VPS 商家推荐,找到最适合您的方案。
查看推荐 📚 浏览更多教程 探索服务器安全、网站搭建、性能优化、Docker 容器等进阶主题。
探索教程 还没有心仪的 VPS? 查看年度精选榜单,找到最适合您的性价比之选,或继续探索更多进阶教程。
查看 VPS 推荐榜单 浏览更多教程