教程

VMISS ，主营US/JP/HK/KR的优化线路/落地机器，带宽流量给的比较保守偏低，个人用户专属，主打平价线路，整体而言产品性价比不错，部分产品如USTRI竞争力相当强，是个非常不错的选择。工单回复速度较快，活动较多。 本次测试VMISS全系列产品，包括US/HK/JP/KR，重点测试线路情况，ip质量和机器性能只做必要测试， 选购地址 省流 ： VMISS全系带宽流量偏小，机器性能中规中矩(Milan CPU较强)，IP质量一般(部分段送中，全系不解锁MetaAI)。核心卖点是 各地区TRI系列性价比突出 ，月付起步风险小，适合入门/过渡/特定线路需求。 部分产品上游netlab/kurun ，虽在测试中未发现断流但这两家历来口碑较差需要警惕。 VMISS时不时被DDoS打崩，追求极致稳定或建站慎选 。 我觉得不错的组合： HK: DC3 (25r/月) - 电信CTGGIA低丢包，移动200-300Mbps，HK地区相当有竞争力的产品 US: TRI (25r/月) - zont上游三网150Mbps稳定，AI线路机/拉家宽首选 HK移动专属: INTL (150r/年) 单线CMI移动快乐机400-500Mbps 我觉得需要注意的： HK的CMI系列(DC1/DC2/INTL)电信联通晚高峰QoS严重，DC2电信丢包17%，联通频繁断流 JP的IIJ系列(TKY/OSA)晚高峰断流严重，TKY联通丢包可达50%，我只能说IIJ就这个样 JP.TKY.BGP定位迷惑，Netflix/Amazon送中 KR速度仅50Mbps且IP质量差(MetaAI/Netflix/Disney+/Reddit全掉)，可能只适合游戏 US的netlab三兄弟(CN2/9929/CMIN2)全面被TRI系列吊打 测试中用的是原价，他家常有活动，搭配7折/8折/9折码性价比进一步提升，常驻九折码10%OFF，其他等活动 我个人使用下来，挺推荐US.LA.TRI.Basic DC1的，真是很不错啊，当时吃了一个8折还是6折码，十几块的三网优化给我爽完了，就是有段时间他家被ddos打到失联有点难受，最近稳定多了 HK HK地区VMISS产品多样，三台直连的DC1/DC2/DC3+一台纯粹落地INTL产品，4台都是移动快乐机，DC1/DC2三网CMI，DC1三网都还凑合，DC2电信完全玩不了，不过DC2比DC1多100GB流量，DC3是netlab的CTGGAI+CMI线路(netlab可能有断流，测试中未测出)，电信表现相当不错，性价比最高的产品；纯移动用户直接INTL即可，性价比最高。 CN.HK.BGP.Basic 三网CMI线路 ，产品标明只有100Mbps，实测中应该是100Mbps的上行，300Mbps的下行，电信上下行跑到90Mbps，链路质量不错，联通上行100Mbps左右，下行有300Mbps，但是上行伴随频繁且明显的断流，不推荐联通用户购买，移动相当快乐，下行能跑到200~300Mbps的速度，妥妥 移动快乐机 ，当然，必须提醒 CMI的晚高峰质量较为糟糕，qos严重 ； ip质量一般 ，部分IP段 送中 ； 机器性能中规中矩 。 配置为 1 2 3 4 5 6 7 8 9 10 11 CN.HK.BGP.Basic Starting from $5.00 CAD Monthly 1 Core 1024 MB 10GB SSD 100Mbps Port 300GB Bandwidth 1 IPv4 Included 复制 网络质量 ...

在选购服务器的时候，大家往往会发现NAT服务器会比拥有独立IP的服务器便宜很多，尤其是在家宽ip服务器上表现更加明显，甚至价格不到独立ip服务器的1/10.但是对于小白来说，弄明白独立ip服务器已经够头疼了，对于NAT更是无从下手，对于NAT的玩法完全不明白，本文就是来解答NAT服务器的相关性质和具体实践玩法，让小白看完一文彻底玩明白NAT服务器。 本文所有推荐都是我的使用后的主观感受，是否适用还请自行判断 下面文章分为多个章节，每个章节回答的问题为： 什么是NAT服务器，和平时我们说的普通服务器有何区别(独立ip)？ NAT服务器的大致使用流程？ 常见NAT服务器的操作实践例子 有哪些参考资料和想法？ 本文为科普文，面向小白，所有涉及的陌生概念会详细，无需任何其他文章辅助即可食用。 不特殊说明，默认为ipv4 1.NAT服务器的概念 讲解NAT前，先来介绍一下什么是普通服务器(独立ip)？ 云服务器都对应一台物理机。物理机本身无法被互联网访问，因为网络中无法确定它的位置。 但当我们给这台物理机********分配一个公网IPv4地址********时，全世界的人都能通过这个IP访问它。互联网上的数据包都能通过这个ipv4找到这台物理服务器。 比如： 你买了一台日本机房的服务器，服务商给你分配公网IP： 11.4.51.4 ，这个IP直接绑定在服务器上，任何人在互联网上访问 11.4.51.4 ，数据包就能直达你的服务器。 但是你会发现我们光靠一个ipv4无法完成很多我们日常需要的任务，比如说你想在服务器同时运行两个服务，那其他人访问这个ipv4的时候，怎么知道访问的是哪个服务？这就涉及到另一个概念：端口。可以给不同的服务分配不同的端口用于标识不同的服务。比如 服务A用了443端口，服务B用了8080端口，这样其他人想使用A服务就可以访问 11.4.51.4:443，想使用B就访问11.4.51.4:8080. TCP/IP协议规定，每个IPv4有 * * *65536个端口** *** （0-65535）： 端口范围 名称 用途 举例 0-1023 系统保留端口 常见服务专用 80(HTTP), 443(HTTPS), 22(SSH) 1024-49151 注册端口 应用程序使用 3306(MySQL), 8080(备用HTTP) 49152-65535 动态端口 临时随机分配 浏览器访问网站时随机使用 至此，你已经可以通过公网ip:端口来访问任何一个具有公网ip的服务器上运行的服务了。 现在，你已经理解了独立IP服务器的工作原理： 服务器拥有独立的公网IP：11.4.51.4 65536个端口完全由你支配 全世界任何人都能通过 IP:端口 访问你的服务 但是！有没有办法让多台服务器共用一个公网IP呢？ 这就要引入另一个概念： 内网IP 内网IP （也叫私有IP、局域网IP），它只在局部网络内有效，就像是”内部员工编号”，外面的人看不到也访问不到。 前面提到的 11.4.51.4 则是公网IP。 公网IP = L站的办公地址”日本东京下北泽114街514号” 任何人都能通过这个地址找到公司 全球唯一，不会重复 内网IP = 员工工位号”114楼-5区-14号工位” ...

谈到VPS离不开的一个话题就是VPS的ip质量问题，这是一个相当玄学且让人头大的话题。 什么是ip质量？ 怎么判断ip质量？ 什么网站是准的，什么是不准的？ 我需要什么样的ip？ 这都是相当复杂的话题，今天就结合目前已有的常见方法和我个人的使用体验来给小白/MJJ们总结一下这方面的问题，希望能对大家有所帮助。 本文所有推荐都是我的使用后的主观感受，是否适用还请自行判断。 下面文章分为多个章节，每个章节回答的问题为： 什么是ip质量，ip质量的影响有哪些？ 我需要什么的样子的ip？ 有哪些常见的ip检测手段(无需获取ip使用权限) 有哪些常见的ip检测手段(已经获取ip使用权限) 有哪些参考资料和想法？ 本文为科普文，面向小白，所有涉及的陌生概念会详细，无需任何其他文章辅助即可食用。 1.定义ip质量 ip质量其实就是指用户使用这个ip在访问网站时受到风控的强度。 同样的一个网站，有些ip进去就是畅通无阻，随意的注册账号/验证银行卡/过学生验证/薅羊毛，而有些ip进去上来就是一个cloudflare(下文中简称为cf)盾骑脸，选择完红绿灯就是斑马线就是公交车，然后失败再来一次，进去之后注册失败银行卡验证失败，明明是同一张卡，别人成功而你失败，亦或是你的地区不支持这个服务。 其实这本质上就是ip质量在影响你的服务体验情况。 对于网站方而言，针对爬虫/正常用户/敏感用户 采用不同的风控手段是很有必要的，因为资源是有限的，当然优先供应给目标用户/正常用户，其次才是敏感用户，针对可疑用户当然是用验证码来确认情况。而网站确认一个用户的正常与否，很大一部分占比就是你的ip地址，这串简单的数字 例如 IPv4：8.8.8.8 IPv6：2001:4860:4860::8888 通过这串数字，网站可以知道地理位置/ISP和网络类型/IP类型和质量/行为模式等信息进而决定采取不同风控策略。 ISP：向用户提供互联网接入服务的公司或组织。例如中国电信、中国联通、AT&T、HKT等 例如 gemini方发现你是来自CN的用户 chatgpt发现你是滥用用户甚至爬虫导致的降智现象 cf发现你是机房而且机器人流量占比达90% 以及各种薅羊毛验证学生验证银行卡等场合，尤其是涉及金融时这种现象更加明显，甚至会导致银行卡被风控拉黑。 这不完全是因为ip质量，但ip是风控占比最大的原因。 那么，网站方到底是怎么知道我们的ip情况呢？地理位置/ISP/网络类型 是可以确认的，ip的滥用和行为模式是怎么确认的呢？(假设我是第一次出现在这个网站，那它应该没有任何我的信息) 这一切信息实际上是使用了 IP数据库 ：一个用于存储IP地址对应的地理位置、ISP、网络类型、威胁情报等信息的数据库，用于IP地址查询和分析的数据库。 简单说就是： 给你一个IP，告诉你这个IP的”身份证信息” 。 这些专业数据库通过蜜罐/数据共享/主动扫描探测/abuse行为主动上报/地理位置定位等方式来记录一个ip的行为。比如说你的ip昨天去爬了别人网站100万次，前天又在线上金融欺诈，上周发了1000万封垃圾邮件被举报等情况。这些情况被详细的记录下来，形成完整的数据库，这样网站方一查询就知道你的来龙去脉，并根据信息给你不同的风控等级。 蜜罐: 部署大量”诱饵”服务器,假装是脆弱的网站、邮件服务器,记录所有访问这些”陷阱”的IP,因为正常用户不会访问，只有扫描器/攻击者会中招 数据共享：各个安全公司互相交换威胁情报 主动扫描探测： 探测开放端口、服务类型，识别tor出口、检测网络响应特征 地理位置定位： 通过网络延迟推算距离，结合GPS、WiFi等定位 除了专业的公开数据库，网站通常也会维护一个私人数据库，这个数据库一般是不公开的，无法查询，专门记录你的ip在网站上的行为。比如你的ip是正常的，但是昨天在这里注册了10个号，前天又申请了很多退款，而且一天居然24小时都在高强度请求资料，这很不合理，很有可能会风控。 至此，网站方在看到你访问网站时只要在公开数据库和私有数据库中一查询你的ip就知道你到底有没有干坏事，是什么样ip。如果你是家庭ip，之前从来没干过坏事，那你大概率是真的在家里，一定是正常用户，那就尽量不要风控，避免影响用户体验；如果你是爬虫，就会触发严格的风控机制。 实际上除了ip之外，实际上网站很多时候还会检测 TCP/WebSocket延迟差异：TCP延迟 ？ WebSocket延迟 DNS解析异常：测试访问不存在域名的响应时间和方式 地理距离矛盾：IP显示美国但延迟像亚洲用户 WebRTC：UDP流量暴露真实IP DNS泄漏：DNS请求走本地而非节点 多IP不一致：同一会话中检测到多个不同IP地址 TCP/IP指纹不一：检测TTL值、窗口大小、TCP选项 浏览器声称Windows，但TCP指纹显示Linux 时区不匹配：IP归属US但系统时区是HK 浏览器指纹异常：分辨率、字体、插件等与地理位置不符 网络拓扑探测：Traceroute路径分析 流量时序分析：请求间隔和频率模式 等信息来综合判断你的风控强度，所以这就是为什么有些佬友即使用的是真的美国朋友的家里网络还是被风控。 ip质量占比很大，但ip不是所有一切 。所以即使ip真的完美无懈可击，你也有破绽存在，比如握手延时这一块是你无论如何也绕不过去的。 ...

概述 Docker 对 IPv6 的支持已经很久了，但默认仍未启用。本文记录在 Debian 13 下通过 NAT ULA，让容器获得 IPv6 出网能力。这种方式无需配置复杂的路由广播，使用体验与 IPv4 几乎完全一致。 修改配置 编辑 Docker 守护进程配置文件 1 sudo vim /etc/docker/daemon.json 写入以下配置： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 { "log-driver": "json-file", "log-opts": { "max-size": "20m", "max-file": "3" }, // 全局启用 IPv6 "ipv6": true, // 分配 ULA 地址块 "fixed-cidr-v6": "fd00:dead:beef::/64", "experimental": true, // 启用 NAT 转换 "ip6tables": true, // 私有地址池 "default-address-pools": [ { "base": "172.17.0.0/16", "size": 24 }, { "base": "fd00:dead:beef:100::/80", "size": 112 } ] } 重启 Docker 服务使配置生效： ...

前言 以前感觉 Nginx 配置起来麻烦，后来用上 Cloudflare Tunnel 尝到自动反向代理和 HTTPS 的甜头后，就更不想尝试 Nginx 了，然而 Cloudflare Tunnel 并不是万能的解，对于有些服务的支持不是很好。 最近，对于一些较为庞大的服务，我尝试采用了传统的 Nginx 反向代理结合 Cloudflare CDN 的方式来访问。得益于 Cloudflare 提供的源服务器证书，部署完全的 HTTPS 变的简单，无需配置 CertBot 或 acme.sh，Cloudflare 也会自动颁发、部署和更新边缘证书。 在本文中记录下我的简单实践，这个过程也大致熟悉了 Nginx 的使用，还是挺容易的。1 SSH 安全 SSH 是访问我们服务器的大门，可以有两种方式来保护对它的访问： 关闭 SSH 端口，使用 Cloudflare Tunnel 进行 SSH 访问 开启 SSH 端口，进行 SSH 相关的加固 对于第 1 种方式，无疑是最安全的 2，但是 SSH 质量会受到 Cloudflare 相关服务运行状态的影响：如 Cloudflare Tunnel 服务降级、服务器上的 cloudflared 进程 panic 🥹 等等。 第 2 种方式则是常规的 SSH 加固： ...

前言 AsmBB 是一款由汇编语言编写的轻量级论坛引擎，基于 SQLite 数据库，并通过 FastCGI 接口与 Web 服务器通信。 官方提供了预编译的二进制包，开箱即用，非常适合在个人 VPS 上自托管。本文记录在 Debian 13 的环境下部署 AsmBB 并配置 Nginx 访问的具体步骤。 准备环境 安装 Nginx Debian 13 下 Nginx 的安装与配置可参考 此说明 ，本文不再赘述。 安装基础依赖 1 sudo apt update && sudo apt install wget curl tar unzip vim sqlite3 -y 安装 AsmBB 获取预编译程序 创建网站目录： 1 sudo mkdir -p /var/www/asmbb && cd $_ 下载并解压官方预编译二进制软件包： 1 2 3 sudo wget https://asm32.info/fossil/repo/asmbb/doc/trunk/install/asmbb.tar.gz sudo tar -xvzf asmbb.tar.gz -C /var/www/asmbb --strip-components=1 清理冗余文件： ...

前言 Cloudflare 提供的安全保护，让所有网站管理员都能享受到平等且强大的网站安全防护。在本文中，我们将探讨利用 Cloudflare WAF（Web Application Firewall）规则来保护网站和服务的几个实用方法，希望能为你带来一些启发。如果想了解更深入的实践，建议你仔细阅读 Cloudflare 的官方文档，那里有最详细且最新的信息。 更新提示 2025年3月17日 ：Cloudflare 不再支持威胁分数 cf.threat_score 规则字段。现在，Cloudflare 已经通过自动化的安全升级来保护你的域名免受恶意流量的攻击。想要了解更多，可以阅读这篇官方博客文章： Enhanced Security and Simplified Controls with Automated Botnet Protection 。 WAF 简介 Web 应用程序防火墙 （Web Application Firewall）是一种防护网络攻击的技术，通过检查和过滤 HTTP 流量中的恶意请求和攻击，保护 Web 应用程序的安全。 Cloudflare WAF 是一种安全防护服务，能够帮助保护您的网站免受常见的网络攻击，如 SQL 注入、跨站脚本攻击、恶意文件上传等。Cloudflare 的免费计划用户可以使用基础的 WAF 功能，并且托管在 Cloudflare 上的每个域名都可以单独配置最多五个 WAF 规则。 Cloudflare WAF 的 基本策略 1 有五种：Allow（允许）、Bypass（绕过）、Managed Challenge（托管质询）、JS Challenge（JavaScript 质询）和 Block（阻止），每种策略都有不同的用途和优先级条件： Allow （允许）策略是最宽松的一种，满足条件的流量都直接通过，不进行任何检查，它是额外的「白名单」； Bypass （绕过）策略用于绕过某些规则的检查和阻止，可以用来放行某些特定的流量； Managed Challenge （托管质询） 策略会让访问者在访问您的网站之前需要通过一个托管的验证码来验证其身份。如果用户通过验证，则可以继续访问您的网站，否则将被阻止； JS Challenge （JavaScript 质询）策略与 Managed Challenge 类似，不同的是它要求访问者在访问您的网站之前进行 JavaScript 质询来验证其身份。如果用户通过验证，则可以继续访问您的网站，反之则被阻止； Block （阻止）策略会完全阻止匹配规则的请求，这种策略通常用于防御已知的攻击或威胁，对于 Block 策略，我们使用需要非常谨慎。将正常的访问者阻拦在外与我们的目的是相悖的。 各种策略的优先级并不是绝对的，我们可以手动控制 优先级 顺序，对于 Cloudflare 免费计划，我们每个域名最多只有 5 个规则，上下拖拽规则模块即可控制优先级顺序。 ...

前言 一直琢磨着弄一张国外 SIM 卡，用来接收各种服务的验证码。Google Voice 很香，零成本就能保号，但毕竟是 VoIP 号码，不少网站看见它就直接把我拒之门外了。 于是把目光转向了 GiffGaff，它是英国一家挂在 O2 / Virgin Media O2 网络上的 MVNO（虚拟移动网络运营商），申请实体卡或 eSIM 免费，Pay as you go（PAYG）在中国大陆保号成本非常低。 使用流程 获取卡片 几年前我在官网申请过几次，但是从来没收到平邮信件，丢件率无限接近于 100%。9 月份又申请了一张，依然没收到，应该是又丢了。前段时间在澳洲读书的同学放假回国，我就托他带了两张回来，今天激活了一张，本文记录一些细节和注意事项。 最近 GiffGaff 已经暂时停止了向一些国家或地区寄送 SIM 卡，其中也包括中国大陆。对于实体卡片，国内电商平台可以买，一般价格为 10~30 元/张，一些主机论坛、Telegram 上也有人免费送卡。无论如何，请注意保护个人隐私和防止被骗。 如果你有支持 eSIM 的手机，可以直接下载 GiffGaff 的 App 获取非实体卡。后期我们也可以将实体 SIM 卡转为 eSIM 卡。 激活卡片 登录 GiffGaff 官网，点击 Active your SIM 进入激活流程 输入 SIM 包装框上的激活码，点击激活按钮即可。 充值余额 准备一张 Visa / 万事达等外币卡，我使用的中国银行长城跨境通万事达卡（中行莫奈卡）。 一些借记卡对于非美元交易，冻结额度会不一样。比如这里使用的中行莫奈卡对于英镑交易冻结率为 102%，因此我最低需要购汇 10.20 英镑，否则充值会失败，首次充值后，后续也可以使用 PayPal 充值。 ...

前言 Komari 是一款轻量服务器状态监控工具，也就是常说的「探针」。主要优点有： 极低的系统资源占用 极简的部署与维护体验 直观美观的 Web 界面 本文主要记录我在 Debian 和 Alpine 系统下使用二进制安装与配置 Komari 的流程，作为日常的速查手册。 部署服务端 Komari 服务端即负责接收与存储所有被控节点上报的数据，为保证主控服务的稳定性与网络兼容性，建议部署在运行稳定且原生支持双栈网络 (IPv4 + IPv6) 的服务器上 1 。 本文以 Netcup RS Piccolo ARMore 实例作为服务端部署的机器，它小巧强大、物美价廉、罕见珍奇，是我的心头之好~ 环境准备 出于安全考量，Komari 服务端无需特权用户运行，为其创建一个无登录权限的用户： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 # 更新系统软件包 sudo apt update && sudo apt upgrade -y # 创建专属的无登录权限用户 sudo useradd -r -s /usr/sbin/nologin komari # 创建工作与数据存储目录 sudo mkdir -p /opt/komari/server # 配置文件与目录权限 sudo chown -R komari:komari /opt/komari/server sudo chmod 750 /opt/komari/server 下载安装服务端 根据服务器硬件架构，下载对应的最新可执行二进制文件： ...

前言 印度孟买某公司开发的 Virtualizor 面板，让不少 VPS 服务商都栽了跟头。从去年的 ColorCrossing 到最近的 CloudCone，黑客利用漏洞入侵服务器并进行勒索，导致大量用户数据全灭。 面对此类「黑天鹅事件」，谁也没法独善其身，是时候完善一下我的数据自动化备份方案了。 选择备份工具 几年前我一直使用 Duplicacy CLI，甚至还写过两篇又臭又长的教程。但它的开源许可证不够清晰，且已停更近一年，我开始寻找更好的替代品。我找到了： BorgBackup Restic Bareos Kopia 最终的选择是 Kopia ，它支持增量快照、自带端到端 加密、且上手极其简单。 选择存储服务 Kopia 支持几乎所有主流的存储服务和协议： S3 及 S3 兼容存储 本机或网络附加存储 Azure Blob 存储 Backblaze B2 存储 Google Cloud 存储 Google 云端硬盘 WebDAV/SFTP/Rclone …… 对象存储我选择了 Backblaze B2 ， 按量计费计划 仅需 41.21 元/TB。A 类操作免费且每天赠送一定额度的 B/C 类操作次数，免费出口流量是 3 倍存储量。对于增量备份，成本几乎可以忽略不计了。 假设我每月存储 100GB，费用大约为 4.12 元/月左右，实际根本用不了这么多。 创建访问机密 在 B2 创建存储桶，在 Application Keys 里生成访问机密，记下 keyID 和 applicationKey 即可开始配置。 ...