Proxy Config
组件配置特性
服务端代理核心
服务端代理核心使用 Xray-core。
当前 VLESS + REALITY + Vision 和 VLESS + XHTTP + TLS 都由 Xray 承载。
Xray 只监听本机回环地址,不直接对公网暴露 Xray 端口。
内部 Reality 入站由 Nginx SNI 分流转入,内部 XHTTP 入站由 Nginx 站点入口反向代理转入。
服务端 UDP 链路
Hysteria2 使用官方 Hysteria 服务端承载。
该链路独立于 Xray,使用 UDP 443。
入口与反代组件
Nginx 负责 TCP 443 SNI 分流、站点 TLS 入口、订阅文件访问和 XHTTP 反向代理。
Nginx 的站点 TLS 入口只监听本机回环地址,由 TCP 443 分流入口转入,不直接对公网开放。
客户端核心
Clash Verge Rev 使用 mihomo 核心。
XHTTP 需要新版 mihomo 才能正常使用,旧版内置核心可能 timeout。
Loon 直接导入 base64 节点订阅,不使用 Clash 配置文件。
对外入口配置
TCP 443
TCP 443 由 SNI 分流入口接管。
该入口同时监听 IPv4 和 IPv6。
当前分流特性:
www.microsoft.com进入 Reality 链路。- 服务域名进入站点 TLS 入口。
- 未命中特定服务域名的默认 TLS 流量进入 Reality 链路。
该配置让 Reality 链路和站点 TLS 链路共用 TCP 443,对外不额外开放 Reality 专用端口。
UDP 443
UDP 443 由 Hysteria2 使用。
该入口同时接受 IPv4 和 IPv6。
该入口与 TCP 443 分开,作为 UDP 备用链路存在。
TCP 80
TCP 80 只用于证书校验相关入口。
该入口对 IPv4 和 IPv6 都允许访问。
普通访问不提供有效站点内容。
防火墙入口
当前防火墙只放行 SSH、TCP 80、TCP 443 和 UDP 443。
这些入口同时覆盖 IPv4 和 IPv6。
Reality 链路配置特性
入口特征
Reality 链路走 TCP 443。
当前客户端连接时使用的握手伪装目标是 www.microsoft.com,客户端指纹使用 Chrome 类指纹。
服务端暴露方式
Reality 服务不直接公开独立端口。
外部访问先进入 TCP 443 SNI 分流入口,再转入本机内部 Reality 服务。
认证特性
Reality 链路依赖 Reality 认证材料和 VLESS 用户信息。
未携带正确认证材料的连接不能获得代理能力,也不会展示订阅、管理面板或节点信息。
Vision 配置
Reality 节点启用 Vision 流控。
该链路在 Clash 和 Loon 中都保留,作为主要可选节点之一。
XHTTP 链路配置特性
入口特征
XHTTP 链路走同一个 TCP 443 站点 TLS 入口。
客户端连接的服务名是服务域名,不使用 Reality 的 www.microsoft.com SNI。
路径特征
XHTTP 使用 /assets/<随机路径> 形式的路径。
该路径挂在站点 TLS 入口下,外部表现为普通 HTTPS 路径访问,不单独暴露 XHTTP 专用端口。
反代特性
站点 TLS 入口接收 XHTTP 请求后,转发到本机内部 Xray XHTTP 服务。
对外只看到服务域名、443 端口和 HTTPS 路径。
客户端兼容性
XHTTP 节点要求客户端核心版本足够新。
Clash Verge Rev 自带旧版核心会 timeout,当前需要使用新版 mihomo 核心才能稳定使用。
Hysteria2 链路配置特性
入口特征
Hysteria2 使用 UDP 443。
客户端使用服务域名作为 SNI,并校验证书。
伪装特征
Hysteria2 配置了 masquerade。
当前 masquerade 目标是 https://www.microsoft.com/,并启用 Host 重写。
定位
Hysteria2 不进入 IPv6 灰度逻辑的默认策略,也不作为唯一主链路。
它作为备用节点保留在 Clash 和 Loon 订阅中。
站点与订阅入口配置特性
服务域名入口
服务域名承载以下内容:
- HTTPS 站点入口。
- XHTTP 路径入口。
- Clash 一键订阅文件。
- Loon base64 节点订阅文件。
订阅路径
订阅使用随机路径。
站点不提供目录索引,不展示订阅列表,不暴露服务端配置。
根路径行为
根路径只提供极简内容或空白入口,不展示代理相关信息。
非预期路径返回不可用结果。
客户端订阅配置特性
Clash 节点
Clash 当前包含以下节点:
DMIT-HY2。DMIT-Reality。DMIT-XHTTP。DMIT-HY2-v6。DMIT-Reality-v6。DMIT-XHTTP-v6。
IPv4 节点是日常可用基线。
IPv6 节点只作为手动测试项。
Clash 分组
当前 Clash 分组为:
Default。Auto。Select。Develop。Media/Social。Microsoft。Direct。
Clash 运行模式为 rule。
客户端配置关闭 allow-lan,避免代理端口对局域网开放。
客户端启用 tcp-concurrent、unified-delay 和严格进程匹配。
Default
Default 是默认出海入口。
该分组包含 DIRECT、Auto、Select 和三条 IPv4 节点。
Auto
Auto 包含三条 IPv4 协议节点:HY2、Reality 和 XHTTP。
IPv6 节点没有放入 Auto,避免无 IPv6 路由时断网。
Select
Select 包含 DIRECT、全部 IPv4 节点和 IPv6 灰度节点。
IPv6 节点只在这里手动选择。
Develop
Develop 覆盖 GitHub 和 AI 类规则。
该分组可选择默认出海、自动选择、手动选择或具体 IPv4 节点。
Media/Social
Media/Social 覆盖流媒体和社交类规则。
范围包括 YouTube、X、Telegram、Discord、Reddit、Facebook、Instagram 等类别。
Microsoft
Microsoft 默认把 DIRECT 放在前面。
该配置保留 OneDrive、Microsoft 服务在可直连时优先直连的使用习惯,同时允许手动切换出海。
Direct
Direct 只包含 DIRECT。
用于国内、局域网和明确直连流量。
规则覆盖
当前规则覆盖以下类别:
- LAN。
- Hijacking。
- GitHub。
- AI:OpenAI、Claude、Gemini、Copilot。
- Telegram。
- X / Twitter。
- YouTube。
- Discord。
- Reddit。
- Facebook。
- Instagram。
- 流媒体:Netflix、Disney、Spotify、TikTok、GlobalMedia。
- Microsoft 与 OneDrive。
- China 与 ChinaMax。
- Proxy 与 Global。
规则兜底为 Default。
DNS 与防泄漏配置特性
Clash DNS
Clash 配置启用 DNS 接管。
当前 DNS 上游使用 DoH,不使用明文 53 端口作为主要查询路径。
代理服务器域名解析使用 proxy-server-nameserver,同样配置为 DoH,避免 Clash 为连接代理节点而先发起明文 DNS 查询。
当前使用 Fake-IP 模式,Fake-IP 地址池为 198.18.0.1/16。
TUN 已启用,使用 mixed 栈,开启自动路由和自动接口识别。
TUN 开启 strict route,并劫持常规 DNS 请求与 TCP DNS 请求,减少系统 DNS 绕过代理的概率。
DNS 分流
国内域名走国内 DoH 解析策略。
国外域名走海外 DoH 解析策略。
fallback、direct-nameserver 和 proxy-server-nameserver 都使用 DoH。
局域网、本机和私有地址保留直连处理。
IPv6 控制
Clash 主配置中的 IPv6 开关保持关闭,DNS IPv6 也保持关闭。
IPv6 节点仍保留在手动分组里,用于测试客户端到服务器这一段的 IPv6 可达性。
IPv6 节点不进入默认或自动策略,避免在没有 IPv6 可达性的网络中破坏主链路。
IPv6 灰度配置特性
当前定位
IPv6 节点用于测试“本地网络到 DMIT”这一段是否能走 IPv6。
它不是默认出海链路。
使用方式
只在 Select 中手动选择 -v6 节点。
确认当前网络存在可用 IPv6 路由后再测试。
失败保护
如果当前网络没有 IPv6 路由,-v6 节点会失败,但不会影响 Default 和 Auto。
日志与暴露面配置特性
代理日志
服务端代理组件尽量关闭访问日志和错误日志输出。
目标是减少访问记录留存。
管理面板
没有部署 Web 管理面板。
对外不暴露面板端口、管理 API 或节点管理页面。
公开服务
对外只保留必要入口。
订阅入口通过随机路径访问,不提供公开索引。
Comments | NOTHING