使用前必读
VPS-Optimize 会修改系统服务、防火墙、内核参数、反向代理配置、Docker 配置、证书文件和 443 单入口相关服务。生产环境运行前必须先确认备份和恢复方式。
基本原则
- 建议使用
root运行。 - 修改 SSH 端口前,先在云厂商安全组放行新端口。
- 高风险操作前保留当前 SSH 会话。
- 启用 443 单入口前确认公网
443当前监听者。 - 不确定配置来源时,先备份再修改。
云安全组和系统防火墙
云厂商安全组和系统防火墙是两层规则。脚本可以管理系统内的 ufw、firewalld、iptables 或 ip6tables 相关规则,但不能替你打开云厂商控制台里的安全组。
修改 SSH、防火墙、443 单入口、证书和反向代理配置前,先确认云安全组已放行必要端口。
443 单入口注意事项
启用 443 单入口后,公网 443 同一时间只应由当前入口模式对应的单个服务监听:
| 入口模式 | 公网 443 监听者 |
|---|---|
nginx-stream | Nginx stream |
tcp-peek | tcppeek / vpso-mux |
xray-fallback | Xray 主入站 |
Caddy、Nginx 本地 Web 反代、3x-ui 面板、订阅服务和本地 Xray 入站通常应监听 127.0.0.1。
端口连接限制
端口并发连接限制按公网端口和来源 IP 生效。对公网 443 设置限制时,它限制的是整个 443 入口,不能精准到某个 SNI、入站、UUID 或用户。