代理服务器搭建完整指南 - 2026 高级详解与实战教程 | 网络工具

搭建私有代理服务器不仅能保护隐私，还能突破网络限制。本指南带您了解 2026 年主流代理协议（含最新 REALITY、Hysteria2 防封技术），并提供详细的搭建、CF CDN 中转、DNS 防泄露与客户端配置全攻略。

🌐 什么是代理服务器

代理服务器是位于客户端和目标服务器之间的中间服务器。它接收客户端的请求，转发给目标服务器，再将响应返回给客户端。通过这种方式，它可以隐藏您的真实 IP，加密您的网络流量，并绕过地理限制或防火墙封锁。

📊 代理协议全景对比（2026）

首选推荐

Xray (VLESS+REALITY)

安全性 ★★★★★

速度 ★★★★★

难度中等

主要特点:

无需购买域名
极强抗封锁(偷SNI)
全端口伪装
延迟极低

首选推荐

Hysteria2 (QUIC/UDP)

安全性 ★★★★☆

速度 ★★★★★

难度中等

主要特点:

UDP极速传输
高丢包环境适用
BBR拥塞控制
内置流量混淆

V2Ray (VMess+WS+TLS)

安全性 ★★★★☆

速度 ★★★★☆

难度中等

主要特点:

多协议支持
强大的路由功能
流量伪装
CDN 中转

Shadowsocks

安全性 ★★★☆☆

速度 ★★★★★

难度简单

主要特点:

轻量级
速度快
配置简单
广泛支持

Trojan

安全性 ★★★★☆

速度 ★★★★☆

难度中等

主要特点:

伪装 HTTPS
难以检测
稳定性高
穿透力强

TUIC v5

安全性 ★★★★☆

速度 ★★★★★

难度中等

主要特点:

基于 QUIC
0-RTT 握手
多路复用
低延迟

🔮 首选：Xray REALITY 完整部署

在 2026 年，REALITY 是目前抗封锁能力最强的代理方案。它不需要域名，直接"偷"大型网站（如 Apple、Microsoft）的 TLS 证书来伪装流量，GFW 主动探测时会连接到真实的目标网站，无法区分真假代理流量。

方式一：一键脚本（推荐新手）

mack-a 八合一脚本

# 推荐使用 mack-a 大佬的八合一脚本 (支持 VLESS+TCP+XTLS+REALITY)
wget -P /root -N --no-check-certificate   "https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh"   && chmod 700 /root/install.sh && /root/install.sh

运行脚本后，跟随全中文的交互式菜单，选择安装 VLESS+TCP+XTLS+REALITY 选项。安装完成后，脚本会输出订阅链接或分享二维码，直接导入客户端即可使用。

方式二：手动配置（了解原理）

生成密钥 + 启动 Xray

# 安装 Xray（官方脚本）
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install

# 生成 UUID
xray uuid
# 输出：xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

# 生成 x25519 密钥对（REALITY 专用）
xray x25519
# 输出：
# Private key: 你的私钥（填入 config.json 的 privateKey）
# Public key:  你的公钥（填入客户端配置）

# 启动 Xray
systemctl start xray && systemctl enable xray
systemctl status xray

REALITY 完整配置文件

/usr/local/etc/xray/config.json

// Xray 服务端配置文件：/usr/local/etc/xray/config.json
// VLESS + TCP + XTLS + REALITY 完整配置

{
  "log": { "loglevel": "warning" },
  "inbounds": [
    {
      "listen": "0.0.0.0",
      "port": 443,                         // 使用 443 端口，最难被封
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "你的UUID",               // 用 xray uuid 生成
            "flow": "xtls-rprx-vision"     // XTLS Vision 模式，最新最强
          }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "show": false,
          "dest": "www.apple.com:443",     // 目标域名（"偷" Apple 的 TLS 证书）
          "xver": 0,
          "serverNames": [
            "www.apple.com"
          ],
          "privateKey": "你的私钥",         // xray x25519 生成
          "shortIds": [""]
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls", "quic"]
      }
    }
  ],
  "outbounds": [
    { "protocol": "freedom", "tag": "direct" },
    { "protocol": "blackhole", "tag": "block" }
  ]
}

⚡ 新兴：Hysteria2 高速 UDP 代理

Hysteria2 是 2024-2026 年快速崛起的新一代代理协议，基于 QUIC（UDP）。在 TCP 遭受严重 QoS 限速的晚高峰，Hysteria2 的 UDP 通道往往能绕过拥塞，取得远优于 TCP 代理的速度。适合对速度极度敏感的用户作为备用/补充方案。

🚀

QUIC 协议底层

基于 UDP，绕过 TCP 拥塞控制，晚高峰速度优势明显

🔒

TLS 1.3 加密

全程 TLS 加密 + 内置伪装，连接被识别概率低

⚡

多路复用

单个连接承载多个请求流，减少握手开销

安装 Hysteria2

Hysteria2 一键安装

# ── 安装 Hysteria2 ───────────────────────────────────────────────────────────
bash <(curl -fsSL https://get.hy2.sh/)

# 安装完成后，配置文件路径：/etc/hysteria/config.yaml
# 启动命令：systemctl start hysteria-server.service

服务端配置文件

/etc/hysteria/config.yaml

# 文件路径：/etc/hysteria/config.yaml
# Hysteria2 服务端完整配置

listen: :443          # 监听端口（UDP，443 端口抗封效果最好）

# TLS 证书配置（两种方式选一）
# 方式一：使用 Let's Encrypt 自动申请（需要域名）
acme:
  domains:
    - hy2.yourdomain.com
  email: your@email.com

# 方式二：使用现有证书文件
# tls:
#   cert: /path/to/cert.pem
#   key: /path/to/key.pem

# 认证配置
auth:
  type: password
  password: "你的强密码"         # 建议 16 位以上随机密码

# 伪装配置（访问时返回正常网站内容，防主动探测）
masquerade:
  type: proxy
  proxy:
    url: https://www.bing.com   # 伪装成 Bing，被探测时返回 Bing 内容
    rewriteHost: true

# 带宽限制（可选，防止滥用）
# bandwidth:
#   up: 1 gbps
#   down: 1 gbps

# QUIC 参数优化
quic:
  initStreamReceiveWindow: 26843545
  maxStreamReceiveWindow: 26843545
  initConnReceiveWindow: 67108864
  maxConnReceiveWindow: 67108864

服务管理与防火墙

# Hysteria2 服务管理
systemctl start hysteria-server.service    # 启动
systemctl enable hysteria-server.service   # 开机自启
systemctl status hysteria-server.service   # 查看状态
journalctl -u hysteria-server.service -f   # 查看实时日志

# 更新 Hysteria2
bash <(curl -fsSL https://get.hy2.sh/)

# 防火墙开放 UDP 443 端口（重要！Hysteria2 使用 UDP）
ufw allow 443/udp
# 注意：443/tcp 不受影响，可以继续运行其他 TCP 服务

⚠️ Hysteria2 的局限性： UDP 协议在某些网络环境下（部分企业网/学校网/运营商）会被 QoS 或完全封锁，此时 Hysteria2 无法使用。推荐策略：REALITY（TCP）作为主节点，Hysteria2（UDP）作为备用，客户端配置自动故障切换。

☁️ 进阶：VLESS + WS + TLS + CF CDN 中转

当 VPS 的 IP 被 GFW 封锁时，可以通过 Cloudflare CDN 中转来"救活"节点。流量走 客户端 → Cloudflare（未被封）→ 你的 VPS，VPS 的 IP 不直接暴露给客户端，即使 VPS IP 被封也能正常使用。

Nginx 反代配置

/etc/nginx/conf.d/vless-ws.conf

# 文件路径：/etc/nginx/conf.d/vless-ws.conf
# VLESS + WebSocket + TLS + Nginx 反代（配合 Cloudflare CDN 使用）

server {
    listen 443 ssl;
    http2 on;
    server_name proxy.yourdomain.com;    # 你的代理域名（需在 CF 上解析）

    ssl_certificate     /etc/letsencrypt/live/proxy.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/proxy.yourdomain.com/privkey.pem;

    # SSL 安全配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305;
    ssl_prefer_server_ciphers off;

    # 默认返回正常网站（防探测）
    location / {
        root /var/www/html;
        index index.html;
    }

    # 代理路径（只有客户端知道这个路径）
    location /你的随机路径/ {                      # 如 /ws-xray/
        proxy_redirect off;
        proxy_pass http://127.0.0.1:10086;         # Xray 监听本地端口
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_read_timeout 86400s;
        proxy_send_timeout 86400s;
    }
}

server {
    listen 80;
    server_name proxy.yourdomain.com;
    return 301 https://$host$request_uri;
}

Xray WebSocket 模式配置

/usr/local/etc/xray/config.json（WebSocket 模式）

// Xray 配置（WebSocket 模式，搭配 Nginx 反代）
// 文件路径：/usr/local/etc/xray/config.json

{
  "inbounds": [
    {
      "listen": "127.0.0.1",           // 只监听本地，由 Nginx 接入
      "port": 10086,
      "protocol": "vless",
      "settings": {
        "clients": [
          { "id": "你的UUID" }
        ],
        "decryption": "none"
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
          "path": "/你的随机路径/"      // 必须与 Nginx 配置一致
        }
      }
    }
  ],
  "outbounds": [{ "protocol": "freedom" }]
}

📋 CF CDN 中转配置清单

域名在 Cloudflare 解析，A 记录指向 VPS IP，橙色云朵（代理开启）
CF SSL/TLS 模式设为 Full（非 Strict，因为 Nginx 证书自签也行）
CF 面板 Network → WebSocket 设为开启
客户端使用的端口必须是 CF 支持的端口（443/2053/2083/2087/2096/8443）
客户端配置：TLS 开启，Host 填域名，path 填 /你的随机路径/

📦 进阶：Sing-box 服务端多协议配置

Sing-box 是 2024-2026 年活跃度最高的新一代统一代理平台，单一二进制同时支持 VLESS/REALITY/Hysteria2/Trojan/SS 等所有主流协议，配置格式统一（JSON），性能优异。使用 Sing-box 服务端可以同时开启多个协议入站，让不同设备选择最适合的协议。

安装 Sing-box

Sing-box 安装

# 安装 Sing-box（官方脚本）
bash <(curl -fsSL https://sing-box.app/deb-install.sh)

# 或手动下载最新版
VERSION=$(curl -s https://api.github.com/repos/SagerNet/sing-box/releases/latest   | grep '"tag_name"' | cut -d'"' -f4)
wget "https://github.com/SagerNet/sing-box/releases/download/${VERSION}/sing-box-${VERSION#v}-linux-amd64.tar.gz"
tar xzf sing-box-*.tar.gz
mv sing-box-*/sing-box /usr/local/bin/

# 配置文件路径（创建目录）
mkdir -p /etc/sing-box

# 启动
systemctl start sing-box
systemctl enable sing-box
systemctl status sing-box

多协议服务端配置（REALITY + Hysteria2）

/etc/sing-box/config.json

# 文件路径：/etc/sing-box/config.json
# Sing-box 服务端：同时支持 VLESS+REALITY 和 Hysteria2 两种协议

{
  "log": {
    "level": "info",
    "timestamp": true
  },
  "inbounds": [
    // ── VLESS + REALITY 入站 ──────────────────────────────────────────────
    {
      "type": "vless",
      "tag": "vless-in",
      "listen": "::",
      "listen_port": 443,
      "users": [
        {
          "uuid": "你的UUID",
          "flow": "xtls-rprx-vision"
        }
      ],
      "tls": {
        "enabled": true,
        "server_name": "www.apple.com",
        "reality": {
          "enabled": true,
          "handshake": {
            "server": "www.apple.com",
            "server_port": 443
          },
          "private_key": "你的REALITY私钥",
          "short_id": [""]
        }
      }
    },
    // ── Hysteria2 入站 ────────────────────────────────────────────────────
    {
      "type": "hysteria2",
      "tag": "hy2-in",
      "listen": "::",
      "listen_port": 8443,           // 使用不同端口区分两个协议
      "up_mbps": 1000,
      "down_mbps": 1000,
      "users": [
        { "password": "你的Hysteria2密码" }
      ],
      "tls": {
        "enabled": true,
        "acme": {
          "domain": "hy2.yourdomain.com",
          "email": "your@email.com"
        }
      },
      "masquerade": "https://www.bing.com"
    }
  ],
  "outbounds": [
    { "type": "direct", "tag": "direct" },
    { "type": "block", "tag": "block" }
  ]
}

🚀 经典：V2Ray 搭建

V2Ray (VMess) 是经典的代理工具，配合 WebSocket + TLS + Nginx 反向代理（需要购买域名）依然是一种非常稳健的建站伪装方案，生态成熟、客户端支持最广。

1. 安装 V2Ray

bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

2. 配置文件

编辑 /usr/local/etc/v2ray/config.json：

{
  "inbounds": [{
    "port": 10086,
    "protocol": "vmess",
    "settings": {
      "clients": [{ "id": "YOUR_UUID", "alterId": 0 }]
    }
  }],
  "outbounds": [{ "protocol": "freedom" }]
}

3. 启动服务

systemctl start v2ray && systemctl enable v2ray

🔐 经典：Shadowsocks 部署

安装 Shadowsocks-libev

apt update && apt install shadowsocks-libev -y

配置

编辑 /etc/shadowsocks-libev/config.json：

{
    "server":"0.0.0.0",
    "server_port":8388,
    "password":"your_password",
    "timeout":300,
    "method":"aes-256-gcm"
}

🛡️ 经典：Trojan 配置

Trojan 将流量伪装成正常的 HTTPS 流量，抗干扰能力极强。前提是您需要一个真实的域名并申请 SSL 证书。

一键安装脚本

source <(curl -sL https://git.io/trojan-install)

⚡ 一键安装脚本

对于新手，以下是 2026 年最实用的一键脚本，复制粘贴即可运行：

Sing-box 全家桶 — 支持 REALITY / Hysteria2 / TUIC，2026 首选

⭐ 推荐

bash <(wget -qO- https://raw.githubusercontent.com/fscarmen/sing-box/main/sing-box.sh)

3X-UI 面板 — Web 可视化管理，多用户流量统计，Xray 内核

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Hysteria2 官方脚本 — QUIC/UDP 协议，自动申请证书，5 分钟完成

bash <(curl -fsSL https://get.hy2.sh/)

mack-a 八合一脚本 — VLESS + REALITY / WS+TLS 多方案交互选择

wget -P /root -N --no-check-certificate https://raw.githubusercontent.com/mack-a/v2ray-agent/master/install.sh && chmod 700 /root/install.sh && /root/install.sh

🔍 必读：DNS 防泄露配置

这是代理使用中最容易被忽略的安全盲点：即使代理连接成功，如果 DNS 查询没有走代理，您的 ISP 仍然能看到您访问了哪些域名（通过 DNS 请求），这叫 DNS 泄露。在某些防火墙环境下，DNS 泄露会导致特定域名被 DNS 污染而无法访问。

DNS 防泄露检测与配置

# ── 检测 DNS 泄露（访问这些网站查看你的 DNS 服务器）────────────────────────
# https://dnsleaktest.com
# https://browserleaks.com/dns
# 如果 DNS 服务器显示的是你的 ISP（国内电信/联通/移动），说明存在 DNS 泄露

# ── 方法一：在 Clash/Sing-box 客户端配置 DNS ─────────────────────────────────
# Clash 配置（config.yaml）：
# dns:
#   enable: true
#   enhanced-mode: fake-ip            # 或 redir-host
#   nameserver:
#     - https://1.1.1.1/dns-query    # 通过代理请求 Cloudflare DoH
#     - https://8.8.8.8/dns-query    # 通过代理请求 Google DoH
#   nameserver-policy:
#     "+.cn": [223.5.5.5, 119.29.29.29]  # 国内域名走国内 DNS

# ── 方法二：服务端启用 FakeDNS（Xray 配置）──────────────────────────────────
# 在 Xray config.json 的 inbounds 中开启 sniffing：
# "sniffing": {
#   "enabled": true,
#   "destOverride": ["http", "tls", "quic"],
#   "routeOnly": false
# }

# ── 方法三：在 VPS 上部署 AdGuard Home（见第26篇）────────────────────────────
# 最彻底的方案：将 DNS 解析完全交给自己服务器的 AdGuard Home
# 客户端 DNS 指向 Tailscale 内网的 AdGuard Home IP（100.64.x.x）
# 所有 DNS 查询走加密隧道，完全不泄露

# ── 验证 DNS 不泄露的客户端配置（以 Clash 为例）────────────────────────────
# 确保以下设置：
# 1. clash-tun 模式开启（接管系统所有流量，包括 UDP DNS）
# 2. DNS 模式设为 fake-ip
# 3. nameserver 只使用走代理的 DoH 地址（非国内 DNS 地址）
# 4. 关闭系统 IPv6（有时 IPv6 DNS 会绕过代理）

🔄 订阅转换与分流规则

服务端搭建好后，通常会生成一个节点链接或订阅链接。但不同客户端（Clash/Sing-box/Shadowrocket）需要不同格式，且默认节点不含分流规则。subconverter 订阅转换解决这两个问题——一键转换格式 + 自动注入分流规则。

subconverter 部署与分流规则配置

# ── subconverter：将单节点/订阅链接转换为各客户端格式 ──────────────────────
# GitHub: https://github.com/tindy2013/subconverter
# 在线转换（无需自建）：https://sub.xeton.dev

# ── 自建 subconverter（Docker）────────────────────────────────────────────────
docker run -d   --name subconverter   --restart always   -p 25500:25500   tindy2013/subconverter:latest

# 使用方法（将原始订阅链接转换为 Clash 格式 + 带分流规则）：
# http://你的VPS:25500/sub?target=clash&url=<原始订阅URL编码>&config=<规则集URL>

# ── 推荐分流规则集 ────────────────────────────────────────────────────────────
# 1. blackmatrix7/ios_rule_script（GitHub 上维护最积极的规则集）
#    https://github.com/blackmatrix7/ios_rule_script
#    包含：流媒体分流/广告过滤/App专属规则/国内直连

# 2. MetaCubeX/meta-rules-dat（Mihomo/Clash Meta 规则数据库）
#    https://github.com/MetaCubeX/meta-rules-dat

# ── 示例：Clash 配置中使用规则集 ─────────────────────────────────────────────
# rule-providers:
#   netflix:
#     type: http
#     behavior: classical
#     url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Netflix/Netflix.yaml"
#     interval: 86400
#   direct:
#     type: http
#     behavior: domain
#     url: "https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/China/China_Domain.yaml"
#     interval: 86400

# rules:
#   - RULE-SET,netflix,🎬 Netflix
#   - RULE-SET,direct,DIRECT
#   - GEOIP,CN,DIRECT
#   - MATCH,🚀 节点选择

🚀 进阶：BBR 速度优化

搭建好服务端后，如果在晚高峰发现速度不理想，一定要检查是否开启了 BBR 拥塞控制算法。开启 BBR 后，跨国传输的速度通常可以提升 30% 到 200% 不等。

# 开启 Linux 内核自带的 BBR 加速算法
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

# 验证是否开启成功 (有输出说明成功)
lsmod | grep bbr

📱 附录：全平台客户端推荐（2026）

服务端搭建好后，您需要在设备上安装客户端并导入配置。2026 年客户端生态已发生较大变化，以下是各平台最新推荐：

🪟 Windows

Clash Verge Rev ⭐： 2024-2026 首选，Mihomo 内核，支持所有新协议，UI 极美，持续更新
Hiddify Next：新兴客户端，Sing-box 内核，界面简洁，支持 REALITY+Hysteria2
v2rayN：老牌经典，Xray 内核，操作简单，占用极小，适合轻量用户

🍎 macOS

Clash Verge Rev ⭐：同 Windows，跨平台支持，是目前 macOS 最活跃的免费客户端
Surge Mac：终极神器，功能无敌，但价格极高（$49.99+），专业用户首选
Stash： Clash 生态，界面精致，年费订阅制

📱 iOS（需非国区 ID）

Shadowrocket ⭐： "小火箭"，$2.99，性价比最高，万能兼容，几乎支持所有协议
Quantumult X：高端玩家首选，MitM/重写能力最强，$7.99
Sing-box（官方）：免费开源，Sing-box 核心，支持最新协议，但界面较朴素

🤖 Android

Karing ⭐： 2024新兴，Sing-box 内核，界面现代，开源免费，快速迭代
Hiddify：跨平台，Sing-box 内核，支持 REALITY/Hysteria2，界面简洁
v2rayNG：老牌稳定，Xray 内核，操作简单，适合轻量需求
NekoBox for Android： Sing-box 内核，功能强大，类 PC 端操作体验

🐧 Linux

Clash Verge Rev：跨平台支持 Linux，图形界面，开箱即用
sing-box（CLI）：命令行模式，资源极省，配合 systemd 后台运行，服务器端理想
Mihomo（Clash Meta）： Clash Meta 内核直接运行，搭配 yacd-meta Web 面板管理

📺 路由器/软路由

OpenClash（OpenWRT）：路由器级全局代理，家庭网络设备无需各自安装客户端
PassWall / SSR Plus+： OpenWRT 插件，支持多种内核，适合玩 OpenWRT 路由器的用户
Mihomo（iStoreOS）：软路由友好，配合 OpenWRT 使用，家庭全屋透明代理首选

❓ 常见问题解答

REALITY、Trojan、VMess 三者怎么选？各有什么适用场景？

2026 年的现实选择：① REALITY（首选）：无需域名，直接用 IP 即可部署，"偷"大型网站的 TLS 指纹来伪装，GFW 主动探测会连到真实的目标网站（如 Apple CDN），无法区分真假——这是目前抗封锁能力最强的方案，新部署首选；② Hysteria2：UDP 协议，晚高峰 TCP 拥塞时速度优势明显，与 REALITY 互为补充；③ Trojan / VLESS+WS+TLS：需要域名 + SSL 证书，将流量完全伪装成 HTTPS，适合已有域名或需要搭配 Cloudflare CDN 使用（CDN 中转可拯救被墙 IP）的场景；④ VMess：历史经典，生态最成熟，客户端支持最广，但流量特征相对容易被识别，适合需要兼容老客户端的场景；⑤ Shadowsocks：最简单最快，但抗封锁能力最弱，适合对速度极度敏感、封锁环境宽松的场景。

节点配置好后连接成功但访问速度很慢，怎么排查？

按层次排查：① 服务器本身网络是否正常：SSH 登录 VPS，用 speedtest 测试服务端出口速度；② BBR 是否开启：sysctl net.ipv4.tcp_congestion_control，未开启时尤其影响高延迟跨国链路；③ 回程路由是否拥堵：用 NextTrace 检查回程路由，是否走了 163 骨干网在晚高峰限速——这是物理问题，只能换线路（见第22篇）；④ 服务器负载：top 查看 CPU/内存；⑤ 客户端问题：测试不同客户端是否有差异；⑥ 协议切换：TCP 慢时尝试切换 Hysteria2（UDP），绕过 TCP QoS 拥塞。

节点搭好没多久就被封了，有没有防封建议？

IP 被封的常见原因和对策：① IP 质量差：购机前用 scamalytics.com 检测 IP 纯净度，高风险 IP 更容易被盯上；② 协议特征明显：2026 年 VMess、SS 在 DPI 检测下特征明显，迁移到 REALITY 或 Trojan（HTTPS 伪装）；③ 公共 IP 泄露：不要在 Telegram/论坛公开分享节点，被大量扫描器检测后会触发封锁；④ Cloudflare CDN 中转：VLESS+WS+TLS 配合 CF CDN，用 CF 的 IP 作为前置（见本文 CF CDN 章节）；⑤ 端口选择：避免 1080/8080/10086 等知名代理端口，换用 443/8443；⑥ 流量混淆：REALITY 的 uTLS 指纹设置为 chrome/firefox，让流量更像真实浏览器。

3X-UI 面板和直接用命令行配置相比有什么优劣？

3X-UI 优势：图形界面管理入站规则，可视化查看流量统计和在线用户；多用户管理（每人独立 UUID 和流量限额）；订阅链接一键生成，分享给他人方便；支持 Telegram 机器人通知流量到期。3X-UI 劣势：面板本身是一个 Web 服务，增加了攻击面（需要修改默认端口和账号）；历史上出现过安全漏洞，需要及时更新；占用额外的端口和内存；面板密码泄露可能导致配置被篡改。命令行方案优势：零额外攻击面，配置直接写在 JSON 文件里；一次配置、长期稳定，无需登录维护；资源占用极小。建议：个人自用选命令行（更简洁安全）；需要多用户管理或经常分享节点选 3X-UI（便捷性碾压）。

Sing-box 和 Xray 有什么区别？为什么说 Sing-box 是"新一代"？

两者都是代理核心（执行引擎），区别在设计理念：Xray：Project X 出品，是 V2Ray 的分支，功能经典稳定，VLESS + REALITY 协议的原创出处，拥有最广泛的生态和文档；Sing-box：新一代统一代理平台，单一二进制文件同时支持几乎所有协议（VLESS/Trojan/SS/Hysteria2/NaïveProxy/TUIC 等），客户端和服务端通用，配置文件格式更一致，性能更优（Go 语言重写，内存占用更低），是目前活跃度最高的新项目。如何选择：服务端两者均可，功能基本对等；客户端推荐使用基于 Sing-box 内核的客户端（如 Clash Verge Rev、Karing、Hiddify），因为 Sing-box 客户端支持 REALITY + Hysteria2 等最新协议，而老 V2Ray 内核客户端对新协议支持滞后。

代理服务器搭建后，如何配置分流规则（国内直连，国外走代理）？

分流规则（Rule-Based）在客户端配置，而非服务端。主要在 Clash/Sing-box 客户端的配置文件中定义规则集：① Clash（YAML 格式）：在 rules 段落添加 GEOIP、DOMAIN-SUFFIX、IP-CIDR 等规则，匹配中国 IP 和域名直连，其他流量走代理；常用规则集：blackmatrix7/ios_rule_script（GitHub 上有完整维护的规则集）；② Sing-box（JSON 格式）：在 route.rules 中定义，逻辑相同；③ 推荐预设订阅：使用 subconverter（见本文订阅转换章节）配合支持"白名单模式"的转换服务，自动生成带分流规则的配置文件，无需手动编写。

服务端端口被封了（无法连接），但 SSH 还能用，怎么快速恢复？

端口被封但 SSH 正常说明 IP 未被封（只是特定端口被 GFW 阻断），处理方案：① 换端口：最快的方法——修改配置文件将监听端口改为 443 或其他随机高位端口，重启服务；② 多端口监听：3X-UI 面板可以同时开多个入站，不同端口监听相同配置，某端口被封后客户端切换另一个端口；③ 套 CDN 中转：配置 VLESS+WS+TLS 并通过 Cloudflare CDN 中转（参见本文 CF CDN 章节），之后流量走 CF IP 的 443 端口，即使 VPS 端口被封也不受影响；④ 切换 Hysteria2（UDP）：如果只有 TCP 端口被封，切换 UDP 的 Hysteria2 可以继续使用；⑤ 如果只是临时被封（有时 24-48 小时后自动解封），可以等待观察，同时准备备用方案。

Hysteria2 是什么？和 REALITY 相比有什么区别？

Hysteria2 是基于 QUIC（UDP）协议的新一代代理工具，特别适合高丢包、高延迟的恶劣网络环境（如移动网络、拥塞时段）。核心区别：Hysteria2 使用 UDP，在 TCP 拥塞时能绕过拥塞控制取得更高速度，但 UDP 更容易被 QoS 限速或 ISP 封锁，且在某些网络环境下不稳定；REALITY 基于 TCP，更稳定，普适性更强，但在极端拥塞环境下速度不如 Hysteria2。实用建议：日常使用以 REALITY（TCP）为主，在某些特定时段（晚高峰 TCP 严重拥堵）可以切换到 Hysteria2（UDP）获得更好速度。Sing-box 同时支持两种协议，可以在客户端配置备用节点自动切换。

iOS 没有非国区 Apple ID，有没有其他方法安装代理客户端？

几种替代方案：① 注册一个美区/港区 Apple ID（推荐）：国外信用卡或礼品卡充值，买一次 Shadowrocket（$2.99）终身使用，是最干净的方案；② AltStore / SideStore：通过 PC 侧载方式在国区账号下安装未上架 App Store 的 IPA 文件，每 7 天需要重新签名（免费开发者证书限制）；③ 苹果企业证书签名版（不推荐）：不稳定，容易证书被吊销失效，且存在安全风险；④ 路由器级代理：在家庭路由器（OpenWRT）或软路由上部署代理，iPhone 连接 WiFi 时自动走代理，无需在 iPhone 上安装任何 App——这是最优雅的家庭网络方案；⑤ Sing-box 官方 iOS App：已于 2024 年上架 App Store（需非国区），免费开源，是目前国区外最好的免费选择。

搭建代理服务器后，下一步应该做什么来完善网络工具体系？

代理解决了出站流量，按 30 篇路径继续完善网络基础设施：① DNS 服务器搭建（第26篇）：在 VPS 上部署 AdGuard Home，接管 DNS 解析——去广告、防污染、DoH 加密，并为代理客户端提供干净的 DNS（防止 DNS 泄露暴露真实访问记录），参见DNS 服务器搭建；② 端口转发与内网穿透（第27篇）：将代理服务器与 frp 内网穿透结合，把家庭内网服务安全发布到公网，并通过代理节点中转实现全球访问，参见端口转发与内网穿透；③ 与异地组网结合：在 Tailscale 组网内的设备上，将代理服务配置为只允许内网 IP 访问（Tailscale 100.x.x.x 网段），既保证安全又方便组网内所有设备共用一个出口节点。