diff --git a/README.md b/README.md index 9cf7f9ae7f0..86580ee4004 100644 --- a/README.md +++ b/README.md @@ -41,8 +41,7 @@ --- 1. [caddy(N+T)](https://github.com/lxhao61/integrated-examples/tree/main/caddy(N%2BT)) (基于caddy插件的naiveproxy与trojian-go应用。) ####  以Xray或v2ray为主、nginx为辅的综合应用。 -1. [v2ray(B+C+A)+nginx](https://github.com/lxhao61/integrated-examples/tree/main/v2ray(B%2BC%2BA)%2Bnginx) (反向代理WebSocket的综合应用。) -2. [v2ray(B+C+G+A)+nginx](https://github.com/lxhao61/integrated-examples/tree/main/v2ray(B%2BC%2BG%2BA)%2Bnginx) (以nginx SNI兼顾反向代理WebSocket与gRPC的综合应用。) +1. [v2ray(B+C+G+A)+nginx](https://github.com/lxhao61/integrated-examples/tree/main/v2ray(B%2BC%2BG%2BA)%2Bnginx) (反向代理WebSocket、gRPC的综合应用。) --- 1. [v2ray(E+B)+nginx](https://github.com/lxhao61/integrated-examples/tree/main/v2ray(E%2BB)%2Bnginx) (vless+tcp+tls回落/分流应用。) 2. [v2ray(E+B+C+G+A)+nginx](https://github.com/lxhao61/integrated-examples/tree/main/v2ray(E%2BB%2BC%2BG%2BA)%2Bnginx) (以vless+tcp+tls为主的综合应用。) diff --git "a/trojan-go\\trojan+nginx/nginx.conf" "b/trojan-go\\trojan+nginx/nginx.conf" index 8132b8a1b1a..3edf75682f5 100644 --- "a/trojan-go\\trojan+nginx/nginx.conf" +++ "b/trojan-go\\trojan+nginx/nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。如为trojan-go提供回落,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(B+C+A)+nginx/1_nginx.conf b/v2ray(B+C+A)+nginx/1_nginx.conf deleted file mode 100644 index bc8bbe833e3..00000000000 --- a/v2ray(B+C+A)+nginx/1_nginx.conf +++ /dev/null @@ -1,51 +0,0 @@ -#在‘http{}’里面添加(或修改)如下两个‘server’配置: -http { -#.........<省略>........ - - server { - listen 80; #IPv4,http默认监听端口。 - listen [::]:80; #IPv6,http默认监听端口。无IPv6,此项可以删除。 - return 301 https://$host$request_uri; #http自动跳转https,让网站看起来更真实。 - } - - server { - listen 443 ssl; #IPv4,https默认监听端口。 - listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #更改为自己的域名 - - ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 - ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 - - ssl_protocols TLSv1.2 TLSv1.3; #TLSv1.3可能需要源码编译才支持,见此部分README.md说明。 - ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305; - ssl_prefer_server_ciphers on; - - location = /HALdGZ9k { #与vless+ws应用中path对应 - proxy_redirect off; - proxy_pass http://127.0.0.1:2001; #转发给本机vless+ws监听端口 - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - proxy_set_header Host $http_host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - } - - location = /ss1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 - proxy_redirect off; - proxy_pass http://127.0.0.1:2002; #转发给本机Xray-plugin或v2ray-plugin监听端口 - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - proxy_set_header Host $http_host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - } - - add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS - location / { - root /var/www/html/; #更改为自己存放的web文件路径 - index index.html index.htm; - } - } -} diff --git a/v2ray(B+C+A)+nginx/1_v2ray_config.json b/v2ray(B+C+A)+nginx/1_v2ray_config.json deleted file mode 100644 index b17eb9caaa5..00000000000 --- a/v2ray(B+C+A)+nginx/1_v2ray_config.json +++ /dev/null @@ -1,139 +0,0 @@ -{ - "log": { - "loglevel": "warning", - "error": "/var/log/xray/error.log", //若使用v2ray,此处目录名称xray改成v2ray。 - "access": "/var/log/xray/access.log" //若使用v2ray,此处目录名称xray改成v2ray。 - }, - "inbounds": [ - { - "listen": "127.0.0.1", //只监听本机,避免本机外的机器探测到下面端口。 - "port": 2001, //vless+ws监听端口 - "protocol": "vless", - "settings": { - "clients": [ - { - "id": "048e0bf2-dd56-11e9-aa37-5600024c1d6a", //修改成自己的UUID - "email": "2001@gmail.com" - } - ], - "decryption": "none" - }, - "streamSettings": { - "network": "ws", - "security": "none", - "wsSettings": { - "path": "/HALdGZ9k" //修改成自己的path - } - }, - "sniffing": { - "enabled": true, - "destOverride": [ - "http", - "tls" - ] - } - }, - { - "listen": "127.0.0.1", //只监听本机,避免本机外的机器探测到下面端口。 - "port": 2002, //Xray-plugin或v2ray-plugin监听端口 - "protocol": "dokodemo-door", - "settings": { - "address": "v1.mux.cool", - "network": "tcp", - "followRedirect": false - }, - "streamSettings": { - "network": "ws", - "security": "none", - "wsSettings": { - "path": "/SS1v2ray" //修改成自己的path - } - }, - "tag": "ddws", //标签,与routing中标签对应。 - "sniffing": { - "enabled": true, - "destOverride": [ - "http", - "tls" - ] - } - }, - { - "listen": "127.0.0.1", //只监听本机,避免本机外的机器探测到下面端口。 - "port": 2003, //监听端口 - "protocol": "shadowsocks", - "settings": { - "email": "2003@gmail.com", - "method": "chacha20-ietf-poly1305", - "password": "diy2003", //修改成自己的密码 - "ota": false, - "network": "tcp,udp" - } - }, - { - "port": 2053, //监听端口 - "protocol": "vless", - "settings": { - "clients": [ - { - "id": "0a652466-dd56-11e9-aa37-5600024c1d6a", //修改成自己的UUID - "email": "2053@gmail.com" - } - ], - "decryption": "none" - }, - "streamSettings": { - "network": "kcp", - "security": "none", - "kcpSettings": { - "congestion": true, //启用拥塞控制 - "seed": "60VoqhfjP79nBQyU" //seed密码,修改成自己的。 - } - }, - "sniffing": { - "enabled": true, - "destOverride": [ - "http", - "tls" - ] - } - } - ], - "routing": { - "domainStrategy": "IPIfNonMatch", - "rules": [ - { - "type": "field", - "inboundTag": [ - "ddws" //与inbounds中标签对应 - ], - "outboundTag": "ssrr" //与outbounds中标签对应 - }, - { - "type": "field", - "protocol": [ - "bittorrent" - ], - "outboundTag": "blocked" - } - ] - }, - "outbounds": [ - { - "protocol": "freedom", - "settings": {} - }, - { - "tag": "ssrr", //标签,与routing中标签对应。 - "protocol": "freedom", - "settings": { - "redirect": "127.0.0.1:2003" //转发给本地2003端口 - } - }, - { - "tag": "blocked", - "protocol": "blackhole", - "settings": {} - } - ] -} diff --git a/v2ray(B+C+A)+nginx/2_nginx.conf b/v2ray(B+C+A)+nginx/2_nginx.conf deleted file mode 100644 index 164e3ab0678..00000000000 --- a/v2ray(B+C+A)+nginx/2_nginx.conf +++ /dev/null @@ -1,51 +0,0 @@ -#在‘http{}’里面添加(或修改)如下两个‘server’配置: -http { -#.........<省略>........ - - server { - listen 80; #IPv4,http默认监听端口。 - listen [::]:80; #IPv6,http默认监听端口。无IPv6,此项可以删除。 - return 301 https://$host$request_uri; #http自动跳转https,让网站看起来更真实。 - } - - server { - listen 443 ssl; #IPv4,https默认监听端口。 - listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 - - ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 - ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 - - ssl_protocols TLSv1.2 TLSv1.3; #TLSv1.3可能需要源码编译才支持,见此部分README.md说明。 - ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305; - ssl_prefer_server_ciphers on; - - location = /HALdGZ9k { #与vless+ws应用中path对应 - proxy_redirect off; - proxy_pass unix:/dev/shm/vws.sock; #转发给本机vless+ws监听进程 - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - proxy_set_header Host $http_host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - } - - location = /ss1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 - proxy_redirect off; - proxy_pass http://127.0.0.1:2002; #转发给本机Xray-plugin或v2ray-plugin监听端口 - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - proxy_set_header Host $http_host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - } - - add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS - location / { - root /var/www/html/; #更改为自己存放的web文件路径 - index index.html index.htm; - } - } -} diff --git a/v2ray(B+C+A)+nginx/2_v2ray_config.json b/v2ray(B+C+A)+nginx/2_v2ray_config.json deleted file mode 100644 index 5f7dc6a192f..00000000000 --- a/v2ray(B+C+A)+nginx/2_v2ray_config.json +++ /dev/null @@ -1,150 +0,0 @@ -{ - "log": { - "loglevel": "warning", - "error": "/var/log/xray/error.log", //若使用v2ray,此处目录名称xray改成v2ray。 - "access": "/var/log/xray/access.log" //若使用v2ray,此处目录名称xray改成v2ray。 - }, - "inbounds": [ - { - "listen": "/dev/shm/vws.sock", //vless+ws监听进程 - "protocol": "vless", - "settings": { - "clients": [ - { - "id": "048e0bf2-dd56-11e9-aa37-5600024c1d6a", //修改成自己的UUID - "email": "2001@gmail.com" - } - ], - "decryption": "none" - }, - "streamSettings": { - "network": "ws", - "security": "none", - "wsSettings": { - "path": "/HALdGZ9k" //修改成自己的path - } - }, - "sniffing": { - "enabled": true, - "destOverride": [ - "http", - "tls" - ] - } - }, - { - "listen": "127.0.0.1", //只监听本机,避免本机外的机器探测到下面端口。 - "port": 2002, //Xray-plugin或v2ray-plugin监听端口 - "protocol": "dokodemo-door", - "settings": { - "address": "v1.mux.cool", - "network": "tcp", - "followRedirect": false - }, - "streamSettings": { - "network": "ws", - "security": "none", - "wsSettings": { - "path": "/SS1v2ray" //修改成自己的path - } - }, - "tag": "ddws", //标签,与routing中标签对应。 - "sniffing": { - "enabled": true, - "destOverride": [ - "http", - "tls" - ] - } - }, - { - "listen": "127.0.0.1", //只监听本机,避免本机外的机器探测到下面端口。 - "port": 2003, //此端口无实际用处,但必须存在。 - "protocol": "shadowsocks", - "settings": { - "email": "2003@gmail.com", - "method": "chacha20-ietf-poly1305", - "password": "diy2003", //修改成自己的密码 - "ota": false, - "network": "tcp,udp" - }, - "streamSettings": { - "network": "domainsocket", - "security": "none", - "dsSettings": { - "path": "ss", //domainsocket文件路径,与outbounds中对应。 - "abstract": true - } - } - }, - { - "port": 2053, //监听端口 - "protocol": "vless", - "settings": { - "clients": [ - { - "id": "0a652466-dd56-11e9-aa37-5600024c1d6a", //修改成自己的UUID - "email": "2053@gmail.com" - } - ], - "decryption": "none" - }, - "streamSettings": { - "network": "kcp", - "security": "none", - "kcpSettings": { - "congestion": true, //启用拥塞控制 - "seed": "60VoqhfjP79nBQyU" //seed密码,修改成自己的。 - } - }, - "sniffing": { - "enabled": true, - "destOverride": [ - "http", - "tls" - ] - } - } - ], - "routing": { - "domainStrategy": "IPIfNonMatch", - "rules": [ - { - "type": "field", - "inboundTag": [ - "ddws" //与inbounds中标签对应 - ], - "outboundTag": "ssds" //与outbounds中标签对应 - }, - { - "type": "field", - "protocol": [ - "bittorrent" - ], - "outboundTag": "blocked" - } - ] - }, - "outbounds": [ - { - "protocol": "freedom", - "settings": {} - }, - { - "tag": "ssds", //标签,与routing中标签对应。 - "protocol": "freedom", - "streamSettings": { - "network": "domainsocket", - "dsSettings": { - "path": "ss", //domainsocket文件路径,与streamSettings中对应。 - "abstract": true - } - } - }, - { - "tag": "blocked", - "protocol": "blackhole", - "settings": {} - } - ] -} diff --git a/v2ray(B+C+A)+nginx/CDN_nginx.conf b/v2ray(B+C+A)+nginx/CDN_nginx.conf deleted file mode 100644 index 51461e31077..00000000000 --- a/v2ray(B+C+A)+nginx/CDN_nginx.conf +++ /dev/null @@ -1,70 +0,0 @@ -#使用多个域名实现CDN流量中转与正常应用共存配置 -#一、多个域名使用同一个通配符证书或SAN证书 -#原配置参数: -#.........<省略>........ - server { - listen 443 ssl; #IPv4,https默认监听端口。 - listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 - - ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 - ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 -#.........<省略>........ - } -} - -#以上参数修改如下: -#.........<省略>........ - server { - listen 443 ssl; #IPv4,https默认监听端口。 - listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name *.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 - - ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 - ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 -#.........<省略>........ - } -} -#注意: -#1、如多个域名使用同一个SAN证书,配置与上使用通配符证书配置类似,只是上述的通配符域名调整为多个域名。 - - -#二、多个域名使用各自普通证书 -#原配置参数: -#.........<省略>........ - server { - listen 443 ssl; #IPv4,https默认监听端口。 - listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 - - ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 - ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 -#.........<省略>........ - } -} - -#以上参数修改如下: -#.........<省略>........ - server { - listen 443 ssl; #IPv4,https默认监听端口。 - listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z1.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 - - ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 - ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 -#.........<省略>........ - } - - server { - listen 443 ssl; #IPv4,https默认监听端口。 - listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z2.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 - - ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 - ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 -#.........<省略>........ - } -} -#注意: -#1、此示例必须 nginx 带 stream_ssl_preread_module 模块,即 SNI 分流模块。 -#2、z1.xx.yy与z2.xx.yy表示两个不同域名(推荐采用根域名相同的两个二级域名即可)。 diff --git a/v2ray(B+C+A)+nginx/README.md b/v2ray(B+C+A)+nginx/README.md deleted file mode 100644 index d9143413126..00000000000 --- a/v2ray(B+C+A)+nginx/README.md +++ /dev/null @@ -1,18 +0,0 @@ -介绍: - -利用 nginx 支持 WebSocket(WS)反向代理,实现除 Xray\v2ray 的 kcp 应用外,WebSocket(WS)类应用共用443端口。包括应用如下: - -1、B=vless+ws+tls(tls由nginx提供及处理,不需配置;另可改成或添加其它WS类应用,参考对应的服务端单一应用配置示例。) - -2、C=SS+v2ray-plugin+tls(tls由nginx提供及处理,不需配置。) - -3、A=vless+kcp+seed(可改成vmess-kcp-seed,或添加它。) - -注意: - -1、如果系统版本过低,其对应发行版仓库自带 nginx 预编译程序包可能不支持 tls1.3;如需要支持 tls1.3,必须先升级 OpenSSl 版本大于 1.1.1,再进行 nginx 源代码编译和安装。 - -2、本示例配置不要使用 ACME 客户端在当前服务器上申请与更新普通证书及密钥,因普通证书及密钥申请与更新需要占用或监听80端口(或443端口),从而与当前应用端口冲突。 - -3、配置1:采用端口转发。配置2:vless+ws+tls 采用进程转发,其它应用采用端口转发。 - diff --git a/v2ray(B+C+A)+nginx/Xray_SS_patch_config.json b/v2ray(B+C+A)+nginx/Xray_SS_patch_config.json deleted file mode 100644 index ebc405f83d4..00000000000 --- a/v2ray(B+C+A)+nginx/Xray_SS_patch_config.json +++ /dev/null @@ -1,50 +0,0 @@ -//Xray从v1.2.3版开始支持Shadowsocks AEAD单端口多用户,配置方法与vmess、vless、trojan协议配置单端口多用户类似。AEAD就是aes-256-gcm、aes-128-gcm、chacha20-ietf-poly1305加密算法。 -//原来配置: -//.........<省略>........ - "settings": { - "email": "2003@gmail.com", - "method": "chacha20-ietf-poly1305", - "password": "diy2003", //更改为自己的密码 - "ota": false, - "network": "tcp,udp" - }, -//.........<省略>........ - -//现在配置(可如下修改): -//单用户 -//.........<省略>........ - "settings": { - "clients": [ - { - "method": "chacha20-ietf-poly1305", - "password": "diy2003", //更改为自己的密码 - "email": "2003@gmail.com" - } - ], - "network": "tcp,udp" - }, -//.........<省略>........ - -//多用户 -//.........<省略>........ - "settings": { - "clients": [ - { - "method": "aes-256-gcm", - "password": "diy2013", //更改为自己的密码 - "email": "2013@gmail.com" - }, - { - "method": "aes-128-gcm", - "password": "diy2023", //更改为自己的密码 - "email": "2023@gmail.com" - }, - { - "method": "chacha20-ietf-poly1305", - "password": "diy2033", //更改为自己的密码 - "email": "2033@gmail.com" - } - ], - "network": "tcp,udp" - }, -//.........<省略>........ diff --git a/v2ray(B+C+D+G+A)+caddy(N+T)/1_Caddyfile b/v2ray(B+C+D+G+A)+caddy(N+T)/1_Caddyfile index b2d7f6757e7..cc030916cea 100644 --- a/v2ray(B+C+D+G+A)+caddy(N+T)/1_Caddyfile +++ b/v2ray(B+C+D+G+A)+caddy(N+T)/1_Caddyfile @@ -32,7 +32,7 @@ reverse_proxy @vws 127.0.0.1:2001 #转发给本机vless+ws监听端口 @pws { #匹配器标签。此标签仅区分,多个不同代理需要改成不同名称,但要与下边‘reverse_proxy’中匹配器标签对应。 - path /ss1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 + path /SS1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 header Connection *Upgrade* header Upgrade websocket } diff --git a/v2ray(B+C+D+G+A)+caddy(N+T)/1_caddy.json b/v2ray(B+C+D+G+A)+caddy(N+T)/1_caddy.json index 8d168b3083c..8605f788222 100644 --- a/v2ray(B+C+D+G+A)+caddy(N+T)/1_caddy.json +++ b/v2ray(B+C+D+G+A)+caddy(N+T)/1_caddy.json @@ -38,7 +38,7 @@ }, { "match": [{ - "path": ["/ss1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 + "path": ["/SS1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 "header": { "Connection": ["*Upgrade*"], "Upgrade": ["websocket"] diff --git a/v2ray(B+C+D+G+A)+caddy(N+T)/2_Caddyfile b/v2ray(B+C+D+G+A)+caddy(N+T)/2_Caddyfile index c255637d801..35dcd179957 100644 --- a/v2ray(B+C+D+G+A)+caddy(N+T)/2_Caddyfile +++ b/v2ray(B+C+D+G+A)+caddy(N+T)/2_Caddyfile @@ -32,7 +32,7 @@ reverse_proxy @vws unix//dev/shm/vws.sock #转发给本机vless+ws监听进程 @pws { #匹配器标签。此标签仅区分,多个不同代理需要改成不同名称,但要与下边‘reverse_proxy’中匹配器标签对应。 - path /ss1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 + path /SS1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 header Connection *Upgrade* header Upgrade websocket } diff --git a/v2ray(B+C+D+G+A)+caddy(N+T)/2_caddy.json b/v2ray(B+C+D+G+A)+caddy(N+T)/2_caddy.json index b52d97358f9..cd9afcee63a 100644 --- a/v2ray(B+C+D+G+A)+caddy(N+T)/2_caddy.json +++ b/v2ray(B+C+D+G+A)+caddy(N+T)/2_caddy.json @@ -38,7 +38,7 @@ }, { "match": [{ - "path": ["/ss1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 + "path": ["/SS1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 "header": { "Connection": ["*Upgrade*"], "Upgrade": ["websocket"] diff --git a/v2ray(B+C+D+G+A)+naiveproxy/1_naive_Caddyfile b/v2ray(B+C+D+G+A)+naiveproxy/1_naive_Caddyfile index ad3d28c7794..7e0be6a7481 100644 --- a/v2ray(B+C+D+G+A)+naiveproxy/1_naive_Caddyfile +++ b/v2ray(B+C+D+G+A)+naiveproxy/1_naive_Caddyfile @@ -27,7 +27,7 @@ reverse_proxy @vws 127.0.0.1:2001 #转发给本机vless+ws监听端口 @pws { #匹配器标签。此标签仅区分,多个不同代理需要改成不同名称,但要与下边‘reverse_proxy’中匹配器标签对应。 - path /ss1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 + path /SS1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 header Connection *Upgrade* header Upgrade websocket } diff --git a/v2ray(B+C+D+G+A)+naiveproxy/1_naive_caddy.json b/v2ray(B+C+D+G+A)+naiveproxy/1_naive_caddy.json index cbfeb6148c4..da5c16a70ad 100644 --- a/v2ray(B+C+D+G+A)+naiveproxy/1_naive_caddy.json +++ b/v2ray(B+C+D+G+A)+naiveproxy/1_naive_caddy.json @@ -35,7 +35,7 @@ }, { "match": [{ - "path": ["/ss1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 + "path": ["/SS1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 "header": { "Connection": ["*Upgrade*"], "Upgrade": ["websocket"] diff --git a/v2ray(B+C+D+G+A)+naiveproxy/2_naive_Caddyfile b/v2ray(B+C+D+G+A)+naiveproxy/2_naive_Caddyfile index e4fe4fa7fe9..f3615b73271 100644 --- a/v2ray(B+C+D+G+A)+naiveproxy/2_naive_Caddyfile +++ b/v2ray(B+C+D+G+A)+naiveproxy/2_naive_Caddyfile @@ -27,7 +27,7 @@ reverse_proxy @vws unix//dev/shm/vws.sock #转发给本机vless+ws监听进程 @pws { #匹配器标签。此标签仅区分,多个不同代理需要改成不同名称,但要与下边‘reverse_proxy’中匹配器标签对应。 - path /ss1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 + path /SS1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 header Connection *Upgrade* header Upgrade websocket } diff --git a/v2ray(B+C+D+G+A)+naiveproxy/2_naive_caddy.json b/v2ray(B+C+D+G+A)+naiveproxy/2_naive_caddy.json index 75c25744ac9..2d8fa9750b9 100644 --- a/v2ray(B+C+D+G+A)+naiveproxy/2_naive_caddy.json +++ b/v2ray(B+C+D+G+A)+naiveproxy/2_naive_caddy.json @@ -35,7 +35,7 @@ }, { "match": [{ - "path": ["/ss1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 + "path": ["/SS1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 "header": { "Connection": ["*Upgrade*"], "Upgrade": ["websocket"] diff --git a/v2ray(B+C+G+A)+nginx/1_nginx.conf b/v2ray(B+C+G+A)+nginx/1_nginx.conf index 58a9c7b5328..0ac19c7abe0 100644 --- a/v2ray(B+C+G+A)+nginx/1_nginx.conf +++ b/v2ray(B+C+G+A)+nginx/1_nginx.conf @@ -1,50 +1,6 @@ - -user root; -worker_processes auto; - -error_log /var/log/nginx/error.log; - -pid /run/nginx.pid; - -events { - worker_connections 1024; -} - -stream { - map $ssl_preread_server_name $backend_name { - z1.xx.yy http1; #z1.xx.yy更改为自己规划对应http/1.1 server的域名 - z2.xx.yy http2; #z2.xx.yy更改为自己规划对应http/2 server的域名 - } - - upstream http1 { - server 127.0.0.1:1443; #转给http/1.1 server本地监听端口 - } - - upstream http2 { - server 127.0.0.1:2443; #转给http/2 server本地监听端口 - } - - server { - listen 443; #IPv4,tcp 443监听端口。 - listen [::]:443; #IPv6,tcp 443监听端口。无IPv6,此项可以删除。 - ssl_preread on; - proxy_protocol on; #启用PROXY protocol发送 - proxy_pass $backend_name; - } -} - +#在‘http{}’里面添加(或修改)如下两个‘server’配置: http { - include mime.types; - default_type application/octet-stream; - - log_format proxy '$proxy_protocol_addr - $remote_user [$time_local] ' - '"$request" $status $body_bytes_sent ' - '"$http_referer" "$http_user_agent"'; - - access_log /var/log/nginx/access.log proxy; - - sendfile on; - keepalive_timeout 65; +#.........<省略>........ server { listen 80; #IPv4,http默认监听端口。 @@ -53,12 +9,15 @@ http { } server { - listen 127.0.0.1:1443 ssl proxy_protocol; #http/1.1 server本地监听端口,并启用PROXY protocol接收。 - set_real_ip_from 127.0.0.1; - server_name z1.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } - ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 - ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 + ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 + ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 ssl_protocols TLSv1.2 TLSv1.3; #TLSv1.3可能需要源码编译才支持,见此部分README.md说明。 ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305; @@ -75,7 +34,7 @@ http { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } - location = /ss1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 + location = /SS1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 proxy_redirect off; proxy_pass http://127.0.0.1:2002; #转发给本机Xray-plugin或v2ray-plugin监听端口 proxy_http_version 1.1; @@ -86,25 +45,6 @@ http { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } - add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS - location / { - root /var/www/html/; #更改为自己存放的web文件路径 - index index.html index.htm; - } - } - - server { - listen 127.0.0.1:2443 ssl http2 proxy_protocol; #http/2 server本地监听端口,并启用PROXY protocol接收。 - set_real_ip_from 127.0.0.1; - server_name z2.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 - - ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 - ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 - - ssl_protocols TLSv1.2 TLSv1.3; #TLSv1.3可能需要源码编译才支持,见此部分README.md说明。 - ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305; - ssl_prefer_server_ciphers on; - location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://127.0.0.1:2009; #转发给本机vless+grpc监听端口 } diff --git a/v2ray(B+C+G+A)+nginx/2_nginx.conf b/v2ray(B+C+G+A)+nginx/2_nginx.conf index 12026dcab67..6238ed486dd 100644 --- a/v2ray(B+C+G+A)+nginx/2_nginx.conf +++ b/v2ray(B+C+G+A)+nginx/2_nginx.conf @@ -1,51 +1,6 @@ - -user root; -worker_processes auto; - -error_log /var/log/nginx/error.log; - -pid /run/nginx.pid; - -events { - worker_connections 1024; -} - -stream { - map $ssl_preread_server_name $backend_name { - z1.xx.yy http1; #z1.xx.yy更改为自己规划对应http/1.1 server的域名 - z2.xx.yy http2; #z2.xx.yy更改为自己规划对应http/2 server的域名 - } - - upstream http1 { - server unix:/dev/shm/http1.sock; #转给http/1.1 server监听进程 - } - - upstream http2 { - server unix:/dev/shm/http2.sock; #转给http/2 server监听进程 - } - - server { - listen 443; #IPv4,tcp 443监听端口。 - listen [::]:443; #IPv6,tcp 443监听端口。无IPv6,此项可以删除。 - ssl_preread on; - proxy_protocol on; #启用PROXY protocol发送 - proxy_pass $backend_name; - } -} - +#在‘http{}’里面添加(或修改)如下两个‘server’配置: http { - include mime.types; - default_type application/octet-stream; - - log_format main '$remote_addr - $remote_user [$time_local] "$request" ' - '$status $body_bytes_sent "$http_referer" ' - '"$http_user_agent" "$http_x_forwarded_for" ' - '$proxy_protocol_addr:$proxy_protocol_port'; - - access_log /var/log/nginx/access.log main; - - sendfile on; - keepalive_timeout 65; +#.........<省略>........ server { listen 80; #IPv4,http默认监听端口。 @@ -54,12 +9,15 @@ http { } server { - listen unix:/dev/shm/http1.sock ssl proxy_protocol; #http/1.1 server监听进程,并启用PROXY protocol接收。 - set_real_ip_from unix:; - server_name z2.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } - ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 - ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 + ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 + ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 ssl_protocols TLSv1.2 TLSv1.3; #TLSv1.3可能需要源码编译才支持,见此部分README.md说明。 ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305; @@ -76,7 +34,7 @@ http { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } - location = /ss1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 + location = /SS1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 proxy_redirect off; proxy_pass http://127.0.0.1:2002; #转发给本机Xray-plugin或v2ray-plugin监听端口 proxy_http_version 1.1; @@ -87,25 +45,6 @@ http { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } - add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS - location / { - root /var/www/html/; #更改为自己存放的web文件路径 - index index.html index.htm; - } - } - - server { - listen unix:/dev/shm/http2.sock ssl http2 proxy_protocol; #http/2 server监听进程,并启用PROXY protocol接收。 - set_real_ip_from unix:; - server_name z2.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 - - ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 - ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 - - ssl_protocols TLSv1.2 TLSv1.3; #TLSv1.3可能需要源码编译才支持,见此部分README.md说明。 - ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305; - ssl_prefer_server_ciphers on; - location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://unix:/dev/shm/vgrpc.sock; #转发给本机vless+grpc监听进程 } diff --git a/v2ray(B+C+G+A)+nginx/CDN_nginx.conf b/v2ray(B+C+G+A)+nginx/CDN_nginx.conf index b66de56d471..e3062afeb7c 100644 --- a/v2ray(B+C+G+A)+nginx/CDN_nginx.conf +++ b/v2ray(B+C+G+A)+nginx/CDN_nginx.conf @@ -1,30 +1,85 @@ -#使用多组域名实现CDN流量中转与正常应用共存配置 +#使用多个域名实现CDN流量中转与正常应用共存配置 #一、多个域名使用同一个通配符证书或SAN证书 #原配置参数: #.........<省略>........ -stream { - map $ssl_preread_server_name $backend_name { - z1.xx.yy http1; #z1.xx.yy更改为自己规划对应http/1.1 server的域名 - z2.xx.yy http2; #z2.xx.yy更改为自己规划对应http/2 server的域名 - } + server { + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } + + ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 + ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 #.........<省略>........ + } +} #以上参数修改如下: #.........<省略>........ -stream { - map $ssl_preread_server_name $backend_name { - z1.xx.yy http1; #z1.xx.yy更改为自己规划对应http/1.1 server的域名 - z2.xx.yy http2; #z2.xx.yy更改为自己规划对应http/2 server的域名 - z3.xx.yy http1; #z3.xx.yy更改为自己规划对应vless+ws+tls与SS+v2ray-plugin+tls的CDN流量中转域名 - z4.xx.yy http2; #z4.xx.yy更改为自己规划对应vless+grpc+tls的CDN流量中转域名 - } + server { + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name *.xx.yy; #更改为自己的通配符域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } + + ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 + ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 #.........<省略>........ + } +} #注意: -#1、推荐采用通配符域名来实现不同二级域名的SNI分流,一个通配符证书及密钥搞定所有二级域名。 +#1、如多个域名使用同一个SAN证书,配置与上使用通配符证书配置类似,只是上述的通配符域名调整为多个域名。 + + +#二、多个域名使用各自普通证书 +#原配置参数: +#.........<省略>........ + server { + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } + + ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 + ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 +#.........<省略>........ + } +} +#以上参数修改如下: +#.........<省略>........ + server { + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name z1.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } -#二、多组域名使用各自普通证书 -#采用多组普通域名方法来实现CDN流量中转与正常应用共存,配置麻烦,不推荐;不提供示例,仅提供思路,见如下: -#1)、为每个域名一一申请普通证书及密钥。 -#2)、在nginx中再增加http/1.1的反代WebSocket应用参数与http/2的反代grpc应用参数。 -#3)、最后在nginx中增加对应SNI参数。 + ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 + ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 +#.........<省略>........ + } + + server { + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name z2.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } + + ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 + ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 +#.........<省略>........ + } +} +#注意: +#1、此示例必须 nginx 带 stream_ssl_preread_module 模块,即 SNI 分流模块。 +#2、z1.xx.yy与z2.xx.yy表示两个不同域名(推荐采用根域名相同的两个二级域名即可)。 diff --git a/v2ray(B+C+G+A)+nginx/README.md b/v2ray(B+C+G+A)+nginx/README.md index b3b150cd925..bf0aeb7574e 100644 --- a/v2ray(B+C+G+A)+nginx/README.md +++ b/v2ray(B+C+G+A)+nginx/README.md @@ -1,6 +1,6 @@ 介绍: -利用 nginx 支持 SNI 分流特性,对 http/1.1 server 与 http/2 server 进行 SNI 分流(四层转发),以便 http/1.1 server 与 http/2 server 各自反向代理 WebSocket(http/1.1) 与 gRPC(http/2)类应用,实现除 Xray\v2ray 的 kcp 应用外,WebSocket(http/1.1) 与 gRPC(http/2)类应用共用443端口。包括应用如下: +利用 nginx 支持 WebSocket(WS)、gRPC 反向代理,实现除 Xray\v2ray 的 kcp 应用外,WebSocket(WS)、gRPC 类应用共用443端口。包括应用如下: 1、B=vless+ws+tls(tls由nginx提供及处理,不需配置;另可改成或添加其它WS类应用,参考对应的服务端单一应用配置示例。) @@ -14,16 +14,10 @@ 1、Xray 版本不小于 1.4.0 或 v2ray 版本不小于v4.36.2,才完美支持 gRPC 应用。 -2、nginx 预编译程序包一般不带支持 SNI 分流协议的模块。如要使用此项协议应用,需加 stream_ssl_preread_module 模块构建自定义模板,再进行源代码编译和安装。 +2、采用 nginx 反向代理 gRPC,配置 nginx 时需要启用 http/2,因为 gRPC 必须使用 http/2 传输数据。使用源码编译和安装,编译时需要加入 http_ssl 和 http_v2 模块。 -3、nginx 预编译程序包可能不带支持 PROXY protocol 协议的模块。如要使用此项协议应用,需加 http_realip_module 与 stream_realip_module 两模块构建自定义模板,再进行源代码编译和安装。另编译时选取源代码版本建议不要低于1.13.11。 +3、若系统版本过低,其对应发行版仓库自带 nginx 预编译程序包可能不支持 tls1.3;如需要支持 tls1.3,必须先升级 OpenSSl 版本大于 1.1.1,再进行 nginx 源代码编译和安装。 -4、采用 nginx 反向代理 gRPC,配置 nginx 时需要启用 http/2,因为 gRPC 必须使用 http/2 传输数据。使用源码编译和安装,编译时需要加入 http_ssl 和 http_v2 模块。 +4、本示例配置不要使用 ACME 客户端在当前服务器上申请与更新普通证书及密钥,因普通证书及密钥申请与更新需要占用或监听80端口(或443端口),从而与当前应用端口冲突。 -5、nginx 支持 http/2 server,但不支持 http/1.1 server 与 http/2 server 共用一个端口或一个进程(Unix Domain Socket 应用),故两者都启用必须分开。采用 SNI 方式实现共用443端口,需多个域名(多个证书或通配符证书)来标记区分。 - -6、若系统版本过低,其对应发行版仓库自带 nginx 预编译程序包可能不支持 tls1.3;如需要支持 tls1.3,必须先升级 OpenSSl 版本大于 1.1.1,再进行 nginx 源代码编译和安装。 - -7、本示例配置不要使用 ACME 客户端在当前服务器上申请与更新普通证书及密钥,因普通证书及密钥申请与更新需要占用或监听80端口(或443端口),从而与当前应用端口冲突。 - -8、配置1:采用端口分流、端口转发,且启用了 PROXY protocol。配置2:采用进程分流、进程转发(对应SS+v2ray-plugin除外),且启用了 PROXY protocol。 +5、配置1:采用端口转发。配置2:除SS+v2ray-plugin+tls外,其它采用进程转发。 diff --git a/v2ray(E+B)+nginx/1_nginx.conf b/v2ray(E+B)+nginx/1_nginx.conf index fe9e2a8a71a..94fb781bdeb 100644 --- a/v2ray(E+B)+nginx/1_nginx.conf +++ b/v2ray(E+B)+nginx/1_nginx.conf @@ -11,7 +11,10 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(E+B)+nginx/2_nginx.conf b/v2ray(E+B)+nginx/2_nginx.conf index 1a5274e1840..39cd9077646 100644 --- a/v2ray(E+B)+nginx/2_nginx.conf +++ b/v2ray(E+B)+nginx/2_nginx.conf @@ -11,7 +11,10 @@ http { server { listen unix:/dev/shm/h1.sock; #http/1.1 server进程 listen unix:/dev/shm/h2c.sock http2; #h2c server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(E+B)+nginx/3_nginx.conf b/v2ray(E+B)+nginx/3_nginx.conf index eb1b9627a2d..952ec50fca2 100644 --- a/v2ray(E+B)+nginx/3_nginx.conf +++ b/v2ray(E+B)+nginx/3_nginx.conf @@ -34,7 +34,10 @@ http { listen unix:/dev/shm/h1.sock proxy_protocol; #http/1.1 server进程,并启用PROXY protocol接收。 listen unix:/dev/shm/h2c.sock http2 proxy_protocol; #h2c server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(E+B+C+F+A)+nginx/1_nginx.conf b/v2ray(E+B+C+F+A)+nginx/1_nginx.conf index fe9e2a8a71a..94fb781bdeb 100644 --- a/v2ray(E+B+C+F+A)+nginx/1_nginx.conf +++ b/v2ray(E+B+C+F+A)+nginx/1_nginx.conf @@ -11,7 +11,10 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(E+B+C+F+A)+nginx/2_nginx.conf b/v2ray(E+B+C+F+A)+nginx/2_nginx.conf index 1a5274e1840..39cd9077646 100644 --- a/v2ray(E+B+C+F+A)+nginx/2_nginx.conf +++ b/v2ray(E+B+C+F+A)+nginx/2_nginx.conf @@ -11,7 +11,10 @@ http { server { listen unix:/dev/shm/h1.sock; #http/1.1 server进程 listen unix:/dev/shm/h2c.sock http2; #h2c server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(E+B+C+F+A)+nginx/3_nginx.conf b/v2ray(E+B+C+F+A)+nginx/3_nginx.conf index eb1b9627a2d..952ec50fca2 100644 --- a/v2ray(E+B+C+F+A)+nginx/3_nginx.conf +++ b/v2ray(E+B+C+F+A)+nginx/3_nginx.conf @@ -34,7 +34,10 @@ http { listen unix:/dev/shm/h1.sock proxy_protocol; #http/1.1 server进程,并启用PROXY protocol接收。 listen unix:/dev/shm/h2c.sock http2 proxy_protocol; #h2c server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(E+B+C+G+A)+nginx/1_nginx.conf b/v2ray(E+B+C+G+A)+nginx/1_nginx.conf index 42ac3bd5ffb..9e37d968551 100644 --- a/v2ray(E+B+C+G+A)+nginx/1_nginx.conf +++ b/v2ray(E+B+C+G+A)+nginx/1_nginx.conf @@ -10,7 +10,10 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -21,7 +24,10 @@ http { server { listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://127.0.0.1:2009; #转发给本机vless+grpc监听端口 diff --git a/v2ray(E+B+C+G+A)+nginx/2_nginx.conf b/v2ray(E+B+C+G+A)+nginx/2_nginx.conf index de28be6e879..6fd941bf794 100644 --- a/v2ray(E+B+C+G+A)+nginx/2_nginx.conf +++ b/v2ray(E+B+C+G+A)+nginx/2_nginx.conf @@ -10,7 +10,10 @@ http { server { listen unix:/dev/shm/h1.sock; #http/1.1 server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -21,7 +24,10 @@ http { server { listen unix:/dev/shm/h2c.sock http2; #h2c server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://unix:/dev/shm/vgrpc.sock; #转发给本机vless+grpc监听进程 diff --git a/v2ray(E+B+C+G+A)+nginx/3_nginx.conf b/v2ray(E+B+C+G+A)+nginx/3_nginx.conf index f2fd8413a95..ba3e4b11c58 100644 --- a/v2ray(E+B+C+G+A)+nginx/3_nginx.conf +++ b/v2ray(E+B+C+G+A)+nginx/3_nginx.conf @@ -33,7 +33,10 @@ http { server { listen unix:/dev/shm/h1.sock proxy_protocol; #http/1.1 server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -45,7 +48,10 @@ http { server { listen unix:/dev/shm/h2c.sock http2 proxy_protocol; #h2c server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://unix:/dev/shm/vgrpc.sock; #转发给本机vless+grpc监听进程 diff --git a/v2ray(E+B+C+G+A)+trojan+nginx/1_nginx.conf b/v2ray(E+B+C+G+A)+trojan+nginx/1_nginx.conf index e3e3264a6a2..fd851fc16e1 100644 --- a/v2ray(E+B+C+G+A)+trojan+nginx/1_nginx.conf +++ b/v2ray(E+B+C+G+A)+trojan+nginx/1_nginx.conf @@ -53,7 +53,7 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -64,7 +64,7 @@ http { server { listen 127.0.0.1:7443 ssl http2; #http/2 server本地监听端口 - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 diff --git a/v2ray(E+B+C+G+A)+trojan+nginx/2_nginx.conf b/v2ray(E+B+C+G+A)+trojan+nginx/2_nginx.conf index d3f7a5e70fa..5c2713103f5 100644 --- a/v2ray(E+B+C+G+A)+trojan+nginx/2_nginx.conf +++ b/v2ray(E+B+C+G+A)+trojan+nginx/2_nginx.conf @@ -53,7 +53,7 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -64,7 +64,7 @@ http { server { listen unix:/dev/shm/http2.sock ssl http2; #http/2 server监听进程 - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 diff --git a/v2ray(E+B+C+G+A)+trojan+nginx/3_nginx.conf b/v2ray(E+B+C+G+A)+trojan+nginx/3_nginx.conf index ee7fb00af07..e15d9b63f87 100644 --- a/v2ray(E+B+C+G+A)+trojan+nginx/3_nginx.conf +++ b/v2ray(E+B+C+G+A)+trojan+nginx/3_nginx.conf @@ -66,7 +66,7 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -78,7 +78,7 @@ http { server { listen unix:/dev/shm/http2.sock ssl http2 proxy_protocol; #http/2 server监听进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 diff --git a/v2ray(E+B+C+G+A)+trojan+nginx/CDN_nginx.conf b/v2ray(E+B+C+G+A)+trojan+nginx/CDN_nginx.conf index 2d2412cc6a8..476704b5aeb 100644 --- a/v2ray(E+B+C+G+A)+trojan+nginx/CDN_nginx.conf +++ b/v2ray(E+B+C+G+A)+trojan+nginx/CDN_nginx.conf @@ -9,9 +9,9 @@ stream { zh.xx.yy http2; #zh.xx.yy更改为自己规划对应http/2 server的域名 } #.........<省略>........ - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 #.........<省略>........ - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 #.........<省略>........ #以上参数修改如下: @@ -26,9 +26,9 @@ stream { z2.xx.yy http2; #z3.xx.yy更改为自己规划对应vless+grpc+tls的CDN流量中转域名 } #.........<省略>........ - server_name zv.xx.yy zt.xx.yy z1.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy z1.xx.yy; #更改为自己的对应域名 #.........<省略>........ - server_name zh.xx.yy z3.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy z3.xx.yy; #更改为自己的对应域名 #.........<省略>........ #注意: #1、推荐采用通配符域名来实现不同二级域名的SNI分流,一个通配符证书及密钥搞定所有二级域名。 diff --git a/v2ray(E+B+F+C+G+A)+nginx/1_nginx.conf b/v2ray(E+B+F+C+G+A)+nginx/1_nginx.conf index 38ba89f0a70..71ab3ace6d8 100644 --- a/v2ray(E+B+F+C+G+A)+nginx/1_nginx.conf +++ b/v2ray(E+B+F+C+G+A)+nginx/1_nginx.conf @@ -53,7 +53,7 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -64,7 +64,7 @@ http { server { listen 127.0.0.1:7443 ssl http2; #http/2 server本地监听端口 - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 diff --git a/v2ray(E+B+F+C+G+A)+nginx/2_nginx.conf b/v2ray(E+B+F+C+G+A)+nginx/2_nginx.conf index 2eb09732191..ff04df2546b 100644 --- a/v2ray(E+B+F+C+G+A)+nginx/2_nginx.conf +++ b/v2ray(E+B+F+C+G+A)+nginx/2_nginx.conf @@ -53,7 +53,7 @@ http { server { listen unix:/dev/shm/h1.sock; #http/1.1 server监听进程 listen unix:/dev/shm/h2c.sock http2; #h2c server监听进程 - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -64,7 +64,7 @@ http { server { listen unix:/dev/shm/http2.sock ssl http2; #http/2 server监听进程 - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 diff --git a/v2ray(E+B+F+C+G+A)+nginx/3_nginx.conf b/v2ray(E+B+F+C+G+A)+nginx/3_nginx.conf index dc9edde6652..0855ba5aed9 100644 --- a/v2ray(E+B+F+C+G+A)+nginx/3_nginx.conf +++ b/v2ray(E+B+F+C+G+A)+nginx/3_nginx.conf @@ -62,7 +62,7 @@ http { listen unix:/dev/shm/h1.sock proxy_protocol; #http/1.1 server监听进程,并启用PROXY protocol接收。 listen unix:/dev/shm/h2c.sock http2 proxy_protocol; #h2c server监听进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -74,7 +74,7 @@ http { server { listen unix:/dev/shm/http2.sock ssl http2 proxy_protocol; #http/2 server监听进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 diff --git a/v2ray(E+B+F+C+G+A)+nginx/CDN_nginx.conf b/v2ray(E+B+F+C+G+A)+nginx/CDN_nginx.conf index 3cde48d1951..85685d810a9 100644 --- a/v2ray(E+B+F+C+G+A)+nginx/CDN_nginx.conf +++ b/v2ray(E+B+F+C+G+A)+nginx/CDN_nginx.conf @@ -9,9 +9,9 @@ stream { zh.xx.yy http2; #zh.xx.yy更改为自己规划对应http/2 server的域名 } #.........<省略>........ - server_name zv.xx.yy zt.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy; #更改为自己的对应域名 #.........<省略>........ - server_name zh.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy; #更改为自己的对应域名 #.........<省略>........ #以上参数修改如下: @@ -26,9 +26,9 @@ stream { z3.xx.yy http2; #z3.xx.yy更改为自己规划对应vless+grpc+tls的CDN流量中转域名 } #.........<省略>........ - server_name zv.xx.yy zt.xx.yy z1.xx.yy z2.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zv.xx.yy zt.xx.yy z1.xx.yy z2.xx.yy; #更改为自己的对应域名 #.........<省略>........ - server_name zh.xx.yy z3.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name zh.xx.yy z3.xx.yy; #更改为自己的对应域名 #.........<省略>........ #注意: #1、推荐采用通配符域名来实现不同二级域名的SNI分流,一个通配符证书及密钥搞定所有二级域名。 diff --git a/v2ray(F+B)+nginx/1_nginx.conf b/v2ray(F+B)+nginx/1_nginx.conf index fe9e2a8a71a..94fb781bdeb 100644 --- a/v2ray(F+B)+nginx/1_nginx.conf +++ b/v2ray(F+B)+nginx/1_nginx.conf @@ -11,7 +11,10 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(F+B)+nginx/2_nginx.conf b/v2ray(F+B)+nginx/2_nginx.conf index 1a5274e1840..39cd9077646 100644 --- a/v2ray(F+B)+nginx/2_nginx.conf +++ b/v2ray(F+B)+nginx/2_nginx.conf @@ -11,7 +11,10 @@ http { server { listen unix:/dev/shm/h1.sock; #http/1.1 server进程 listen unix:/dev/shm/h2c.sock http2; #h2c server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(F+B)+nginx/3_nginx.conf b/v2ray(F+B)+nginx/3_nginx.conf index eb1b9627a2d..952ec50fca2 100644 --- a/v2ray(F+B)+nginx/3_nginx.conf +++ b/v2ray(F+B)+nginx/3_nginx.conf @@ -34,7 +34,10 @@ http { listen unix:/dev/shm/h1.sock proxy_protocol; #http/1.1 server进程,并启用PROXY protocol接收。 listen unix:/dev/shm/h2c.sock http2 proxy_protocol; #h2c server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git a/v2ray(F+B+C+G+A)+nginx/1_nginx.conf b/v2ray(F+B+C+G+A)+nginx/1_nginx.conf index 42ac3bd5ffb..9e37d968551 100644 --- a/v2ray(F+B+C+G+A)+nginx/1_nginx.conf +++ b/v2ray(F+B+C+G+A)+nginx/1_nginx.conf @@ -10,7 +10,10 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -21,7 +24,10 @@ http { server { listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://127.0.0.1:2009; #转发给本机vless+grpc监听端口 diff --git a/v2ray(F+B+C+G+A)+nginx/2_nginx.conf b/v2ray(F+B+C+G+A)+nginx/2_nginx.conf index de28be6e879..6fd941bf794 100644 --- a/v2ray(F+B+C+G+A)+nginx/2_nginx.conf +++ b/v2ray(F+B+C+G+A)+nginx/2_nginx.conf @@ -10,7 +10,10 @@ http { server { listen unix:/dev/shm/h1.sock; #http/1.1 server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -21,7 +24,10 @@ http { server { listen unix:/dev/shm/h2c.sock http2; #h2c server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://unix:/dev/shm/vgrpc.sock; #转发给本机vless+grpc监听进程 diff --git a/v2ray(F+B+C+G+A)+nginx/3_nginx.conf b/v2ray(F+B+C+G+A)+nginx/3_nginx.conf index f2fd8413a95..ba3e4b11c58 100644 --- a/v2ray(F+B+C+G+A)+nginx/3_nginx.conf +++ b/v2ray(F+B+C+G+A)+nginx/3_nginx.conf @@ -33,7 +33,10 @@ http { server { listen unix:/dev/shm/h1.sock proxy_protocol; #http/1.1 server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { @@ -45,7 +48,10 @@ http { server { listen unix:/dev/shm/h2c.sock http2 proxy_protocol; #h2c server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } location /cdngrpc { #与vless+grpc应用中serviceName对应 grpc_pass grpc://unix:/dev/shm/vgrpc.sock; #转发给本机vless+grpc监听进程 diff --git "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/CDN_nginx.conf" "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/CDN_nginx.conf" index 117e29e3636..943c7018a16 100644 --- "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/CDN_nginx.conf" +++ "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/CDN_nginx.conf" @@ -5,7 +5,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -18,7 +21,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name *.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name *.xx.yy; #更改为自己的通配符域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 @@ -35,7 +41,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -48,7 +57,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z1.xx.yy; #修改成自己的域名 + server_name z1.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 @@ -58,7 +70,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z2.xx.yy; #修改成自己的域名 + server_name z2.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/Caddyfile" "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/Caddyfile" index 9c7e99bcded..ef0b78f10c4 100644 --- "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/Caddyfile" +++ "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/Caddyfile" @@ -14,7 +14,7 @@ } @pws { #匹配器标签。此标签仅区分,多个不同代理需要改成不同名称,但要与下边‘reverse_proxy’中匹配器标签对应。 - path /ss1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 + path /SS1v2ray #与Xray-plugin或v2ray-plugin模块中path对应 header Connection *Upgrade* header Upgrade websocket } diff --git "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/caddy.json" "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/caddy.json" index 51073cc3cee..6426c418def 100644 --- "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/caddy.json" +++ "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/caddy.json" @@ -20,7 +20,7 @@ "listen": [":443"], "routes": [{ "match": [{ - "path": ["/ss1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 + "path": ["/SS1v2ray"], //与Xray-plugin或v2ray-plugin模块中path对应 "header": { "Connection": ["*Upgrade*"], "Upgrade": ["websocket"] diff --git "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/nginx.conf" "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/nginx.conf" index b53b70f3c5f..402f9d07375 100644 --- "a/v2ray(SS+v2ray-plugin)+caddy\\nginx/nginx.conf" +++ "b/v2ray(SS+v2ray-plugin)+caddy\\nginx/nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -20,7 +23,7 @@ http { ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305; ssl_prefer_server_ciphers on; - location = /ss1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 + location = /SS1v2ray { #与Xray-plugin或v2ray-plugin模块中path对应 proxy_redirect off; proxy_pass http://127.0.0.1:2002; #转发给本机Xray-plugin或v2ray-plugin监听端口 proxy_http_version 1.1; diff --git "a/v2ray(socks\\SS+WS)+caddy\\nginx/CDN_nginx.conf" "b/v2ray(socks\\SS+WS)+caddy\\nginx/CDN_nginx.conf" index ba5c7e21853..943c7018a16 100644 --- "a/v2ray(socks\\SS+WS)+caddy\\nginx/CDN_nginx.conf" +++ "b/v2ray(socks\\SS+WS)+caddy\\nginx/CDN_nginx.conf" @@ -5,7 +5,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -18,7 +21,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name *.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name *.xx.yy; #更改为自己的通配符域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 @@ -35,7 +41,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -48,7 +57,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z1.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name z1.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 @@ -58,7 +70,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z2.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的对应域名。 + server_name z2.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(socks\\SS+WS)+caddy\\nginx/nginx.conf" "b/v2ray(socks\\SS+WS)+caddy\\nginx/nginx.conf" index 6b6b8a8af0d..33e98e46308 100644 --- "a/v2ray(socks\\SS+WS)+caddy\\nginx/nginx.conf" +++ "b/v2ray(socks\\SS+WS)+caddy\\nginx/nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(trojan+WS)+caddy\\nginx/1_nginx.conf" "b/v2ray(trojan+WS)+caddy\\nginx/1_nginx.conf" index af60725c10f..838ab68e104 100644 --- "a/v2ray(trojan+WS)+caddy\\nginx/1_nginx.conf" +++ "b/v2ray(trojan+WS)+caddy\\nginx/1_nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(trojan+WS)+caddy\\nginx/2_nginx.conf" "b/v2ray(trojan+WS)+caddy\\nginx/2_nginx.conf" index 1797bfbd1b7..dc1ebe1cc7f 100644 --- "a/v2ray(trojan+WS)+caddy\\nginx/2_nginx.conf" +++ "b/v2ray(trojan+WS)+caddy\\nginx/2_nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(trojan+WS)+caddy\\nginx/CDN_nginx.conf" "b/v2ray(trojan+WS)+caddy\\nginx/CDN_nginx.conf" index 117e29e3636..943c7018a16 100644 --- "a/v2ray(trojan+WS)+caddy\\nginx/CDN_nginx.conf" +++ "b/v2ray(trojan+WS)+caddy\\nginx/CDN_nginx.conf" @@ -5,7 +5,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -18,7 +21,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name *.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name *.xx.yy; #更改为自己的通配符域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 @@ -35,7 +41,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -48,7 +57,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z1.xx.yy; #修改成自己的域名 + server_name z1.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 @@ -58,7 +70,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z2.xx.yy; #修改成自己的域名 + server_name z2.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(trojan+grpc)+caddy\\nginx/1_nginx.conf" "b/v2ray(trojan+grpc)+caddy\\nginx/1_nginx.conf" index eafe6087948..543813687a5 100644 --- "a/v2ray(trojan+grpc)+caddy\\nginx/1_nginx.conf" +++ "b/v2ray(trojan+grpc)+caddy\\nginx/1_nginx.conf" @@ -9,9 +9,12 @@ http { } server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(trojan+grpc)+caddy\\nginx/2_nginx.conf" "b/v2ray(trojan+grpc)+caddy\\nginx/2_nginx.conf" index f7a00a44f8c..ef23ea32c5c 100644 --- "a/v2ray(trojan+grpc)+caddy\\nginx/2_nginx.conf" +++ "b/v2ray(trojan+grpc)+caddy\\nginx/2_nginx.conf" @@ -9,9 +9,12 @@ http { } server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(trojan+grpc)+caddy\\nginx/CDN_nginx.conf" "b/v2ray(trojan+grpc)+caddy\\nginx/CDN_nginx.conf" index fbe4124b7bd..e3062afeb7c 100644 --- "a/v2ray(trojan+grpc)+caddy\\nginx/CDN_nginx.conf" +++ "b/v2ray(trojan+grpc)+caddy\\nginx/CDN_nginx.conf" @@ -3,9 +3,12 @@ #原配置参数: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -16,9 +19,12 @@ #以上参数修改如下: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name *.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name *.xx.yy; #更改为自己的通配符域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 @@ -33,9 +39,12 @@ #原配置参数: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -46,9 +55,12 @@ #以上参数修改如下: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name z1.xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name z1.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 @@ -56,9 +68,12 @@ } server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name z2.xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name z2.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(trojan+grpc)+caddy\\nginx/README.md" "b/v2ray(trojan+grpc)+caddy\\nginx/README.md" index c0732f9c8ea..3a585faa0d2 100644 --- "a/v2ray(trojan+grpc)+caddy\\nginx/README.md" +++ "b/v2ray(trojan+grpc)+caddy\\nginx/README.md" @@ -17,7 +17,7 @@ 4、本示例中 caddy 的 Caddyfile 格式配置与 json 格式配置二选一即可(效果一样)。支持自动 https,即自动申请与更新证书与私钥,自动 http 重定向到 https。 -5、若采用 nginx 反向代理,配置 nginx 时需要启用 http/2,因为 gRPC 必须使用 http/2 传输数据。使用源码编译和安装,编译时需要加入 http_ssl 和 http_v2 模块。 +5、若采用 nginx 反向代理 gRPC,配置 nginx 时需要启用 http/2,因为 gRPC 必须使用 http/2 传输数据。使用源码编译和安装,编译时需要加入 http_ssl 和 http_v2 模块。 6、若采用 nginx 反向代理,如果系统版本过低,其对应发行版仓库自带 nginx 预编译程序包可能不支持 tls1.3;如需要支持 tls1.3,必须先升级 OpenSSl 版本大于 1.1.1,再进行 nginx 源代码编译和安装。 diff --git "a/v2ray(vless\\trojan+tcp+tls)+nginx/1_nginx.conf" "b/v2ray(vless\\trojan+tcp+tls)+nginx/1_nginx.conf" index 1ebbb41f23c..68a867b7939 100644 --- "a/v2ray(vless\\trojan+tcp+tls)+nginx/1_nginx.conf" +++ "b/v2ray(vless\\trojan+tcp+tls)+nginx/1_nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 127.0.0.1:81; #http/1.1 server,监听本地81端口。 listen 127.0.0.1:82 http2; #h2c server,监听本地82端口。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),修改成自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git "a/v2ray(vless\\trojan+tcp+tls)+nginx/2_nginx.conf" "b/v2ray(vless\\trojan+tcp+tls)+nginx/2_nginx.conf" index 93a99953874..471375c9133 100644 --- "a/v2ray(vless\\trojan+tcp+tls)+nginx/2_nginx.conf" +++ "b/v2ray(vless\\trojan+tcp+tls)+nginx/2_nginx.conf" @@ -11,7 +11,10 @@ http { server { listen unix:/dev/shm/h1.sock; #http/1.1 server进程 listen unix:/dev/shm/h2c.sock http2; #h2c server进程 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),修改成自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git "a/v2ray(vless\\trojan+tcp+tls)+nginx/3_nginx.conf" "b/v2ray(vless\\trojan+tcp+tls)+nginx/3_nginx.conf" index 0e37a6e37df..3aaae87d324 100644 --- "a/v2ray(vless\\trojan+tcp+tls)+nginx/3_nginx.conf" +++ "b/v2ray(vless\\trojan+tcp+tls)+nginx/3_nginx.conf" @@ -34,7 +34,10 @@ http { listen unix:/dev/shm/h1.sock proxy_protocol; #http/1.1 server进程,并启用PROXY protocol接收。 listen unix:/dev/shm/h2c.sock http2 proxy_protocol; #h2c server进程,并启用PROXY protocol接收。 set_real_ip_from unix:; - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),修改成自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; #启用HSTS location / { diff --git "a/v2ray(vless\\vmess+WS)+caddy\\nginx/1_nginx.conf" "b/v2ray(vless\\vmess+WS)+caddy\\nginx/1_nginx.conf" index dc4bda7531a..f3b88968b7e 100644 --- "a/v2ray(vless\\vmess+WS)+caddy\\nginx/1_nginx.conf" +++ "b/v2ray(vless\\vmess+WS)+caddy\\nginx/1_nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(vless\\vmess+WS)+caddy\\nginx/2_nginx.conf" "b/v2ray(vless\\vmess+WS)+caddy\\nginx/2_nginx.conf" index b2e2858c464..d2e849256d0 100644 --- "a/v2ray(vless\\vmess+WS)+caddy\\nginx/2_nginx.conf" +++ "b/v2ray(vless\\vmess+WS)+caddy\\nginx/2_nginx.conf" @@ -11,7 +11,10 @@ http { server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(vless\\vmess+WS)+caddy\\nginx/CDN_nginx.conf" "b/v2ray(vless\\vmess+WS)+caddy\\nginx/CDN_nginx.conf" index 51461e31077..943c7018a16 100644 --- "a/v2ray(vless\\vmess+WS)+caddy\\nginx/CDN_nginx.conf" +++ "b/v2ray(vless\\vmess+WS)+caddy\\nginx/CDN_nginx.conf" @@ -5,7 +5,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -18,7 +21,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name *.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name *.xx.yy; #更改为自己的通配符域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 @@ -35,7 +41,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -48,7 +57,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z1.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name z1.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 @@ -58,7 +70,10 @@ server { listen 443 ssl; #IPv4,https默认监听端口。 listen [::]:443 ssl; #IPv6,https默认监听端口。无IPv6,此项可以删除。 - server_name z2.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + server_name z2.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/1_nginx.conf" "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/1_nginx.conf" index 11612f8cb5b..9c90d54e69d 100644 --- "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/1_nginx.conf" +++ "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/1_nginx.conf" @@ -9,9 +9,12 @@ http { } server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/2_nginx.conf" "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/2_nginx.conf" index ef927d4a4c4..4b7c1b1d63f 100644 --- "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/2_nginx.conf" +++ "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/2_nginx.conf" @@ -9,9 +9,12 @@ http { } server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/CDN_nginx.conf" "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/CDN_nginx.conf" index fbe4124b7bd..e3062afeb7c 100644 --- "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/CDN_nginx.conf" +++ "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/CDN_nginx.conf" @@ -3,9 +3,12 @@ #原配置参数: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -16,9 +19,12 @@ #以上参数修改如下: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name *.xx.yy; #限定域名访问(禁止以ip方式访问网站),更改为自己的域名。 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name *.xx.yy; #更改为自己的通配符域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.crt; #换成自己的通配符证书或SAN证书,绝对路径。 ssl_certificate_key /home/tls/wildcard_.xx.yy/wildcard_.xx.yy.key; #换成自己的通配符密钥或SAN密钥,绝对路径。 @@ -33,9 +39,12 @@ #原配置参数: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/xx.yy/xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/xx.yy/xx.yy.key; #换成自己的密钥,绝对路径。 @@ -46,9 +55,12 @@ #以上参数修改如下: #.........<省略>........ server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name z1.xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name z1.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z1.xx.yy/z1.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z1.xx.yy/z1.xx.yy.key; #换成自己的密钥,绝对路径。 @@ -56,9 +68,12 @@ } server { - listen 443 ssl http2; #IPv4,http/2默认监听端口。 - listen [::]:443 ssl http2; #IPv6,http/2默认监听端口。无IPv6,此项可以删除。 - server_name z2.xx.yy; #修改成自己的域名 + listen 443 ssl http2; #IPv4,https默认监听端口,且启用支持http/2。 + listen [::]:443 ssl http2; #IPv6,https默认监听端口,且启用支持http/2。无IPv6,此项可以删除。 + server_name z2.xx.yy; #更改为自己的域名 + if ($host ~ "\d+\.\d+\.\d+\.\d") { #禁止以ip方式访问网站 + return 404; + } ssl_certificate /home/tls/z2.xx.yy/z2.xx.yy.crt; #换成自己的证书,绝对路径。 ssl_certificate_key /home/tls/z2.xx.yy/z2.xx.yy.key; #换成自己的密钥,绝对路径。 diff --git "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/README.md" "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/README.md" index 59537e1cd63..ee3db8b18b6 100644 --- "a/v2ray(vless\\vmess+grpc)+caddy\\nginx/README.md" +++ "b/v2ray(vless\\vmess+grpc)+caddy\\nginx/README.md" @@ -17,7 +17,7 @@ 4、本示例中 caddy 的 Caddyfile 格式配置与 json 格式配置二选一即可(效果一样)。支持自动 https,即自动申请与更新证书与私钥,自动 http 重定向到 https。 -5、若采用 nginx 反向代理,配置 nginx 时需要启用 http/2,因为 gRPC 必须使用 http/2 传输数据。使用源码编译和安装,编译时需要加入 http_ssl 和 http_v2 模块。 +5、若采用 nginx 反向代理 gRPC,配置 nginx 时需要启用 http/2,因为 gRPC 必须使用 http/2 传输数据。使用源码编译和安装,编译时需要加入 http_ssl 和 http_v2 模块。 6、若采用 nginx 反向代理,如果系统版本过低,其对应发行版仓库自带 nginx 预编译程序包可能不支持 tls1.3;如需要支持 tls1.3,必须先升级 OpenSSl 版本大于 1.1.1,再进行 nginx 源代码编译和安装。