今年4月,国内又大规模运动式封杀了一波翻墙工具,很多运行了几年的老牌机场都倒下了。
但这一刻本该在意料之中:这两年大家似乎也太跳脸了,国外流传的信息、黑料、梗,在内网以黑话和谐音的形式几乎不要钱似的出现在评论区和弹幕里,就跟墙不存在一样。各路机场随便微信支付宝就能买,还都有独立App。三四年前流行自己买VPS“一键部署”,搞出无数安全性为0的肉鸡,现在连一键都省了,真正是毫无门槛也能上外网。
我可不是觉得自己能翻墙就高人一等,相反,我忧虑的是拉低门槛这件事会让小白在欢乐轻松的氛围中忽略墙以及整个管制体系的狠辣无情,最后头顶的铡刀莫名其妙掉了下来。
鲁迅先生说过:
打起来的时候,我是正在所谓火线里面,亲遇见捉去许多中国青年。捉去了就不见回来,是生是死也没人知道,也没人打听,这种情形是由来已久了,在中国被捉去的青年素来是不知下落的。东北事起,上海有许多抗日团体,有一种团体就有一种徽章。这种徽章,如被日军发现死是很难免的。然而中国青年的记性确是不好,如抗日十人团,一团十人,每人有一个徽章,可是并不一定抗日,不过把它放在袋里。但被捉去后这就是死的证据。还有学生军们,以前是天天练操,不久就无形中不练了,只有军装的照片存在,并且把操衣放在家中,自己也忘却了。然而一被日军查出时是又必定要送命的。像这一般青年被杀,大家大为不平,以为日人太残酷。其实这完全是因为脾气不同的缘故,日人太认真,而中国人却太不认真。中国的事情往往是招牌一挂就算成功了。日本则不然。他们不像中国这样只是作戏似的。日本人一看见有徽章,有操衣的,便以为他们一定是真在抗日的人,当然要认为是劲敌。这样不认真的同认真的碰在一起,倒霉是必然的。
《今春的两种感想》一九三二年十一月三十日
题外话说多了,还是讲讲我的库房里放了多少梯子吧。
从五六年前开始,也发了几篇自己翻墙的经验和笔记,但这始终是个道高一尺魔高一丈的领域。从访问记录来看,旧笔记居然还始终有人经常访问,可能是各种搜索引擎甚至AI检索,不禁有些汗颜了,怕过时知识坑了一些新人。
那么,至少把我现在本人最新在用的、真实的工具库列举一下。当然不可能有拿走就用的一键配置,但很多思路还是要分享的。
首先,最重要的,就是代理本身的入口了。
从国内直连原始IP是十分不智的行为,哪怕你有多少加密,在AI武装加持的墙面前都只会更加可疑,时间积累之下出问题是早晚的事。到时候频繁更换IP,连服务商都会烦你。
国内服务器中转倒是不难,可近期打击最狠的就是这一块,而且国内服务器无论如何都容易实名查到你(商家、支付、聊天)。
用Cloudflare CDN自然是最佳选择,它代理websocket或grpc都无压力。
那么最大的问题其实就是,如何获取Cloudflare的优选IP而不是原始解析的IP了。
网上至少有十几个不停测试、IP列表自动更新的聚合网站,还有几十个优选域名。
而我会定时抓取,然后用本地网络(自己的一台小服务器)逐个测速,优选出属于自己网络的一批IP,然后解析到自己的域名上。
当然,抓取和优选的脚本让AI来写就好,这种级别的coding甚至可能都用不上token,网页聊天都能帮你写好。
另:尽可能用IPv6,v4只当备选。很多人分享经验时,为了尽可能考虑到各种人网络环境,IPv4当然是兼容性最好的,但哪怕在最近的大清洗中,IPv6的阻断情况也比v4宽松得多。工信部前几年强推v6反而把基础设施都做好了,大部分人只是差一个路由器的配置。
其次,是安装在自有VPS上的代理内核。经历了传统shadowsocks→v2ray之后,目前我改用了xray,虽然没有apt源但可以一键脚本安装。
至于为什么明明只是普通的vless也不用v2ray而是换成xray,是因为它内置了一个wireguard出口。确切地说,最大的作用就是使用Cloudflare Warp隐藏源站IP。
在v2ray的时候,需要单独安装运行一个Cloudflare Warp客户端开socks代理。如果服务器配置低,这玩意凭空多占一倍资源。
同一个服务可以开两组出入口,一组直接对外,另一组走warp,互不干扰。
第三,就是外层隐蔽了。
确切地说,是让你的代理入口不轻易被扫描到。
之前的文章里也介绍了,用nginx运行一个真实的网站(现在用AI做就行),只有两个隐蔽入口,自己起名,分别反向代理到两个vless端口。虽然网站请求SNI对墙透明,但路径是加密的,神仙都抓不到。
此外,还有更多安全细节,多做一条,就安全一点。
- nginx用certbot或acme.sh自动配置证书,全链路加密;
- 主机防火墙443只允许cloudflareIP通过,如果不希望这么严,那就通过自定义header或Cloudflare的client证书在nginx端控制;
- 本地客户端通过规则分流,尽可能让国内网站和IP不走代理,防止代理信息在国内留太多。这也是我使用warp出口的原因,至少不暴露原始IP。
作为火力不足恐惧症患者,我尝试过的非主流方法数不胜数。
例如cloudflare worker部署代理,虽然官方极其讨厌这种做法并进行了严格封杀,但我在公开js上使用ai做大规模代码清洗重构并替换了所有关键字,至今运行一年多仍然很稳定,甚至看Youtube视频开4K完全没问题。
又例如担心cloudflare作为一个单点不够安全,还开启了AWS Cloudfront的几个CDN域名。它目前免费的每月1T流量和不错的速度,哪怕临时完全替代一段时间也没问题。
一个更夸张的冷门备用:我把前面的xray那全套打包到了一个Docker镜像,然后在Azure的容器中运行。Azure的免费方案比较坑,但我创建了很多不同国家的部署,并且弹性伸缩最小数字降为0。这样只需要访问一下,十几秒的冷启动时间就拥有一个国家的临时代理,几分钟不用会自动关闭而不计费。 算是一个十分邪修的临时方案吧。
本文并没有提供任何代码和真实配置细节。因为这本来也只是我许久更新的一篇自我备忘用笔记,记录在这个时间段我搞了哪些技术。
至于读者,请善用AI,它可能给不出什么创新的方案,但已有方案的情况下,让它一步步帮你搭建还是没问题的。
世事如此,自求多福。