​【保姆级】甲骨文ARM搭建最强防封节点:宝塔Nginx反代+VLESS+WS+TLS教程

作者

​前言​

最近入手了甲骨文云(Oracle Cloud)的 ARM 机器,性能很强,但折腾网络配置时踩了不少坑。起初尝试用 Docker 搭建 frp 和代理,但网络模式(Host/Bridge/IPVlan)搞得头大。​最终摸索出了一套最稳定、最隐蔽、且完全不影响现有宝塔建站的方案:直装 3X-UI + 宝塔 Nginx 反向代理。​这套方案的优势:​

1、极度隐蔽:流量伪装成正常的 HTTPS 网站访问,防火墙(GFW)无法识别。

​2、不影响建站:你的博客/网站正常运行,代理只是网站下的一个“隐藏路径”。

​3、安全性高:后台节点只监听 127.0.0.1,只有本地 Nginx 能转发流量,杜绝被扫描。

​4、速度快:配合 BBR 加速,跑满宽带。

准备工作

​1、甲骨文 ARM 服务器一台(已安装 Ubuntu)。​

2、已安装宝塔面板,并部署好了一个开启了 HTTPS 的网站(例如 www.example.com)。​3、SSH 连接工具。

​第一步:开启 BBR 加速

甲骨文默认没开 BBR,开启后速度提升明显。在 SSH 执行:

echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

输入 lsmod | grep bbr 看到有 tcp_bbr 即成功。

第二步:安装 3X-UI 面板(最大坑点!)

这里有一个巨大的坑:3X-UI 安装脚本强制要求申请 SSL 证书,这会占用 80 端口。但我们的 80 端口已经被宝塔的 Nginx 占用了!​如果不处理,安装必失败。正确操作步骤如下:

1、暂停 Nginx(腾出 80 端口):

sudo systemctl stop nginx

2、安装 3X-UI:

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

3、安装设置

  • 设置用户名、密码、端口(推荐 9998)。​
  • SSL 选择:选 2 (Let’s Encrypt for IP Address)。因为 80 端口已空闲,这里会申请成功。

4、恢复 Nginx(安装完立刻执行)

sudo systemctl start nginx

第三步:配置“隐形”节点

现在面板是 HTTPS 模式,我们需要把它改回 HTTP,并创建一个只允许本地访问的节点。

  • ​登录面板:访问 https://你的IP:9998(注意会有安全警告,忽略并继续)。​

关闭面板 SSL:

  • ​进入【面板设置】。
  • ​清空【公钥路径】和【私钥路径】。​
  • 保存并重启面板。
  • ​以后使用 http://你的IP:9998 登录。

​创建本地节点(关键配置):​

  • 入站列表 -> 添加入站。​
  • 协议:vless​
  • 监听 IP:127.0.0.1 (核心!只允许本机访问)​
  • 端口:10000 (记下这个端口)​
  • 传输协议:ws​
  • 路径:/mysecret (自己设一个复杂的,记下来)​
  • TLS:关闭 (必须关闭,由 Nginx 处理加密)​
  • 添加,并记下生成的 UUID。

第四步:宝塔 Nginx 反向代理

​这是将流量伪装成网站流量的关键步骤。

1、登录宝塔 -> 网站 -> 找到你的 HTTPS 网站 -> 设置 -> 配置文件。

​2、找到 location / { … } 配置块的下方,插入以下代码: 

# --- 代理转发配置开始 ---
# 路径必须和 3X-UI 里设置的一致
location /mysecret {
    if ($http_upgrade != "websocket") {
        return 404;
    }
    # 端口必须和 3X-UI 里设置的一致
    proxy_pass http://127.0.0.1:10000;

    proxy_redirect off;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
# --- 代理转发配置结束 ---

3、点击保存

​第五步:客户端连接

以 v2rayN 为例,添加 VLESS 服务器:

  • 地址 (Address): 你的域名
  • ​端口 (Port): 443 (注意是443)​
  • 用户ID (UUID): 你的UUID​
  • 传输协议 (Network): ws​
  • 伪装域名 (Host): 你的域名​
  • 路径 (Path): /mysecret
  • ​传输层安全 (TLS): tls (开启)

​避坑总结(FAQ)

​1、Q: 为什么安装 X-UI 时会报错或卡住?

​ .A: 99% 是因为端口被占用。记得一定要先停止 Nginx 再安装脚本。

​2、Q: 为什么客户端连不上?

​ .A: 检查甲骨文网页后台(Security List)是否放行了 443 端口。不需要放行 10000 端口,因为走的是本地回环。

​ .A: 检查路径(Path)是否两边完全一致(包括斜杠 /)。

​3、Q: 3X-UI 面板里的 TLS 为什么不能开?​

.A: 因为我们的架构是:客户端 (TLS) -> Nginx (解密) -> 3X-UI。Nginx 已经负责了解密工作,转发给后台的流量必须是明文的。​

4、Q: 甲骨文会封号吗?

​ .A: 这种配置下,甲骨文只能看到正常的 HTTPS 网站流量,非常安全。但切记:严禁 BT 下载、严禁挖矿、严禁对外攻击。

教程结束,尽情享受高速网络吧!

发表评论