simplerick-simplefun

> Try clash.meta: [DOWNLOAD](https://github.com/MetaCubeX/Clash.Meta/releases/tag/v1.14.1) | how-to guide: [MetaCubeX/Clash.Meta#330](https://github.com/MetaCubeX/Clash.Meta/pull/330) And clash.meta for android: [DOWNLOAD](https://github.com/MetaCubeX/ClashMetaForAndroid/releases/tag/Prerelease-alpha) I just tested and can comfirm it works fine on my Redmi K50 running Android 12. Thanks!!...

> SSH翻墙我现在还在用，而且半年了没有封,只不过姿势不一样，我是vps套了warp ipv6,vps主动连接openwrt的openssh server， > > openssh支持反向socks代理,虽然不支持udp也无所谓了 > > 跑了几百GB了，啥事没有，warp+ipv6+反向代理加成 > > gfw封我家宽端口号？或者ipv6?这个完全是ddns的，估计也只能运营商来封吧，gfw可能没有考虑境外主动链接国内的流量 > > 再说了他发现ssh流量掐断了，我是vps连回家，断了重连高位端口一直在变 > > 家宽的动态ipv6,vps的IPv6真要封了，也是随便换 > > 同样的套路xray反向代理也可以，因此这个看起来不是SSH流量特征问题了，是翻墙姿势以及GFW的审查,或许就是纯粹ipv6的墙不高而已 反向代理大规模使用容易导致家宽入站被封。现在的手机移动流量入站就是被封的。 注意是所有外界起始的入站流量。你自己设备起始发出然后收到的返回流量不会被封。 你换多少ip也没用。 现在家宽开放web服务的已经被封了。什么端口都没用，专门有服务来扫你全端口。 很可能将来部署家宽服务仍需要需要使用类似内网穿透的办法，先由家宽对外部中转服务器发出连接，再通过这个连接反向代理回家宽。

> @simplerick-simplefun 你厉害，能被针对到这一步,就像群里那位福建的，时不时说一开TLS他的甲骨文就被针对。被盯上了估计 这也不是我个人被针对啊。现在已经是全国的移动流量入站被封，全国家宽web服务被全端口扫描然后封禁。 家宽入站被封我觉得并不遥远。

> @simplerick-simplefun 我家宽Web服务还在用呢，而且还自定义路径搞了个doh。还有一堆服务器呢，如果是443那不可能的了，都是非标端口号。我还有一个宽带有v4公网，也还是好的呀 也可能是不同地区情况不一样吧。。。

> 居然被@了，确实连接是UDP，当年没有注意到这方面 因为google play不能下载，我看了下，应该也缺少ipv6的转发。我测试ip111.cn，第三个连接显示的ip是我原始ipv6的地址，而不是代理的ip地址。

> > 2024.6.3 更新： 也遇到了相同的问题，网站随机出现err_ssl_bad_record_mac_alert，哪怕在PC端Chrome也是相同现象。 nginx端口使用proxy_half_close on;配置依旧无法解决问题，在使用此跳转去除proxy_protocol后问题消失，同时xray内也无需开启acceptProxyProtocol. > > 在此更新一下我个人的解决方案，希望对后来者有所帮助。 PS:另外不知道这个是不是bug，不过总之这样可以解决，缺点是xray因为没有代理协议从而无法得到客户端ip，不过这个对有nginx前置的情况下并不是很重要。 > > 你的解决方案是可以的，但是Xray无法获取到使用者的IP，虽然不影响使用。 后来我又测试，proxy_half_close on确实不行。 再之后没办法，我就暂时放弃Nginx前置SNI分流了，改成Xray前置。这个Bug到现在还没有修复。 开发者们应该是在忙着开发新协议，Nginx前置这种玩法好像不被重视（ 同样希望开发者能再review一下这个问题，我这边也可以再尝试复现一下，提交一些更详细的日志 可以使用 https://github.com/path-network/go-mmproxy 作为中间件帮助不支持proxy protocol的程序获得分流前的原来源IP。配置略微复杂一些，但是教程很清晰，不难。

Service routing based on [req.ssl_sni](https://docs.haproxy.org/3.1/configuration.html#7-req.ssl_sni) in layer 4 [mode tcp](https://www.haproxy.com/documentation/haproxy-configuration-manual/latest/#4.2-mode) is quite legit. I don't see why this cannot be the case for QUIC. After all, QUIC is a general-purpose...

> Hashing on SNI works fine when you have many hosted domains or many host names not sharing a same cert. If most of your traffic can be covered by...

tun auto_route+strict_route 的路由规则只限定于本机发出的流量。大致是iprule: from all iff lo lookup 9000这样子。可以通过nftable解决其他网卡进来的流量，也可以通过ip rule来解决。我个人觉得ip rule来解决更好。 添加一下ip rule: from network_gate lookup 9001(nop直连) from all iff wan_interface lookup 9001(nop直连) from local_ip/range iff lan_interface lookup 9000(sing tun)...

To add more to [colans](https://github.com/colans)'s anwser: https://github.com/path-network/go-mmproxy/issues/29#issuecomment-2359609503 Load balancer example: ```` haproxy, backend: server 127.0.0.1:12345 send-proxy haproxy, backend: server 127.0.0.1:12345 send-proxy-v2 nginx, in some block: proxy_protocol on; proxy_pass 127.0.0.1:12345; ````...