Skip to content

使用前必读

VPS-Optimize 会修改系统服务、防火墙、内核参数、反向代理配置、Docker 配置、证书文件和 443 单入口相关服务。生产环境运行前必须先确认备份和恢复方式。

基本原则

  1. 建议使用 root 运行。
  2. 修改 SSH 端口前,先在云厂商安全组放行新端口。
  3. 高风险操作前保留当前 SSH 会话。
  4. 启用 443 单入口前确认公网 443 当前监听者。
  5. 不确定配置来源时,先备份再修改。

云安全组和系统防火墙

云厂商安全组和系统防火墙是两层规则。脚本可以管理系统内的 ufwfirewalldiptablesip6tables 相关规则,但不能替你打开云厂商控制台里的安全组。

修改 SSH、防火墙、443 单入口、证书和反向代理配置前,先确认云安全组已放行必要端口。

443 单入口注意事项

启用 443 单入口后,公网 443 同一时间只应由当前入口模式对应的单个服务监听:

入口模式公网 443 监听者
nginx-streamNginx stream
tcp-peektcppeek / vpso-mux
xray-fallbackXray 主入站

Caddy、Nginx 本地 Web 反代、3x-ui 面板、订阅服务和本地 Xray 入站通常应监听 127.0.0.1

端口连接限制

端口并发连接限制按公网端口和来源 IP 生效。对公网 443 设置限制时,它限制的是整个 443 入口,不能精准到某个 SNI、入站、UUID 或用户。