Вниманию пользователей 3X-UI

c5sa · October 25, 2024, 10:18pm

Если он на случайном порту, с достаточно беспалевным сертификатом и путём, то не хуже по идее

kencarson · October 25, 2024, 10:44pm

а какой сертификат можно считать беспалевным в данном контексте?

s.v.d · October 27, 2024, 12:35am

Честно говоря - вообще не очень понимаю смысла делать такую вот панель веб сервисом. Вся её задача - собрать валидную конфигу xray без теребления километрового жсона врукопашку. С тем же успехом это могло быть приложение на дотнете, хуже бы вот вообще не стало(разве что в плане кроссплатформенности). По сути, панель можно вообще развернуть в докере и запускать только при необходимости отредактировать конфигу.

mayopumpum · October 28, 2024, 4:50pm

Я правильно понимаю, что если ставим в настройках прямой домен .ru, то трафик не должен проксироваться и пойдет напрямую? Блокировка доменов работает норм, а вот прямые домены не хочет что-то. 2ip.ru показывает ip зарубежный.

lucretia · October 29, 2024, 8:00am

В самой панели на сервере работает толкько блокировка.

По каким-то причинам, если вы хотите поставить bypass для зоны ру или другой то это надо делать не через панели эти, а в клиенте(nekobox etc)

DBT081 · October 29, 2024, 3:05pm

по вполне очевидным причинам, если уж трафик пришёл на сервер, то он ничего не может кроме как пустить трафик через себя, другой сервер, или заблокировать. Решение, отправить трафик с клиента на сервер или напрямую, принимается клиентом

anonimnyj72 · November 2, 2024, 11:27pm

Подскажите плз по данной теме:
я остановился на самоподписанном TLS для 3x-ui, но для того, чтобы указать путь к SSH ключам, нужно хотябы единожды зайти в в веб панель и там их прописать, т.е. один раз http я спалю. С учетом вышеупомянутого тут “random path for web panel”, насколько небезепосен такой сценарий против active probing?
Может быть, стоит вручную прописать эти пути через консоль? Как это грамотно сделать, я пока нигде не нашел

us3r · November 3, 2024, 1:55am

Немного выше есть хороший список пунктов порядка действий.

На ваш вопрос ответ в 3м пункте (не смотря на подключение по http, соединение будет зашифровано ssh).
После ввода данной команды и нажатия enter, в браузере заходите в панель по ip 127.0.0.1, трафик будет перенаправлен через ssh на 127.0.0.1 на vps.

Подключаемся к панели через SSH туннель:
ssh -L 45000:127.0.0.1:2053 имя_пользователя@ip_сервера [-p <ssh_port>] - вводим в командной строке Windows, не закрываем окно командной строки.
-p <ssh_port> - вводим если только на сервере перевесили ssh порт на другой.
45000 - это порт на компе, можно указать любой другой. Главное, чтобы повыше цифра т.к. с 1 по 1023 порты системные
2053 - это порт панели, если при установке через скрипт, установили другой порт для панели, то тогда пишем этот другой порт.
имя_пользователя - если на сервер доступ через учетку админа, то пишите root вместо имя_пользователя

anonimnyj72 · November 3, 2024, 5:51am

Всё получилось, спасибо большое. Пришлось, правда, немного ещё chatgpt подушить, потому что у меня доступ к серверу уже был только по SSH ключу, и нужно было добавить в команду путь к нему

Mayday · November 3, 2024, 6:35pm

Самоподписанный сертификат может быть инжектирован в панель 3x-ui не входя в интерфейс при помощи скрипта:

bash <(curl -Ls https://raw.githubusercontent.com/cyb3rm4gus/3x-ui-auto_add_ssl/main/3x-ui-autossl.sh)

Информация взята из блога zerodaily – Telegram: Contact @zerodaily_ru - проверена на практике.
GitHub - cyb3rm4gus/3x-ui-auto_add_ssl: Bash script to execute after 3x-ui installation to automatically add self-signed SSL cert for the admin panel

anonimnyj72 · November 3, 2024, 10:51pm

Очень итересный у него гайд. С точки зрения запар, лучше некуда. Но у меня уже почти всё что он предлагает настроено. По итогу сама логика его решения именно по моему вопросу, это заход в панель через SSH и дальше уже по скрипту, но, по большому счёту, зайти в веб панель по SSH туннелю, это то же самое)

Basques · April 30, 2025, 8:05am

Я вообще не понимаю тех, кто использует всевозможные “панели”, вроде ж не бабушки-пенсионерки. Настроить всё самому вручную — дело 30 минут первый раз и 5 минут все последующие разы. Зато будет проще, надёжнее и с меньшим числом зависимостей от непонятно кем написанного кода.

notcvnt · April 30, 2025, 8:18pm

А ты что используешь? Linux дистибутив с оболочкой рабочего стола по типу KDE, GNOME, …? А зачем зависить от них, пользуйся коммандной строкой без интерфейса. А роутер ты тоже через telnet настраивал и после использовал? Нет? Надеюсь ты понял мысль

В чём проще? Обычному пользователю будет проще использовать панели вместо консоли. Надежность тоже сомнительно звучит, по факту панели это просто генератора конфига для xray, в чём надежность в генерируемым и написанным руками конфигом непонятно. Панель сделана для того чтобы пользователь без знания в сис администрировании мог обойти блокировку и получить доступ к “запрещенной” информации. Усложняя процесс ты играешь на руку блокиратору.

Код разрабатывается сообществом, и очень много кто смотрит его. Если было бы видно, что тут оставлен бэкдор то было бы два варианта, или случайно или специально. Случайно - PR примут, специально - PR отклонят.
Да и HTTP для панели это не катострофа, лишь неудобство, что потом придёться в ручную настраивать.

И да, спасибо за некропост

shiel · April 30, 2025, 11:47pm

Тут нет мысли, но есть полемический прием. Зачем было писать - непонятно.

Панель отстает от апстрима, панель может быть установлена нерепродуцируемым образом, панель добавляет стеку сложности.

Априорная безопасность опенсорса - конечно же миф, и в действительности никто не смотрит в 1000 и 1 версию панелей пристально. Я удивлюсь, если хоть кто-то следит за SBOM.

notcvnt · April 30, 2025, 11:57pm

Я про то что если ты научился конфигурировать xray через файл конфига, то это не значет что все так умеют и все должны отказаться от панелей. Ровно можно ситуацию наоборот развернуть, если я умею gentoo с нуля собрать это не значит что новичок в Linux установивший Ubuntu или Mint должен делать так же. Я не понял для чег оавтор изначального сообщения сагитировал всех делать как ЕМУ удобнее.

Не сильно, но да

Понятно что за цепочкой поставкой каждого опенсурс решения никто не следит, уже тем более за цепочкой поставок зависимостей, но тут была конфликтная ситуация с rprx, где был резон всё это проверить дабы не наговаривать просто так.

shiel · May 1, 2025, 12:11am

Никто не спорит с тем, что инвалидам нужны Accessibility features. Вопрос, как я его понимаю, в том, какие технические преимущества предоставляют панели, и стоят ли они того. Насколько я понимаю, единственное нетривиальное новшество - это облегчение васянам менеджмента кластеров. На этом преимущества кончаются, и начинается серьёзный разговор о безопасности. Я не считаю, что софт обязан быть эгалитарным, и уж тем более в ущерб безопасности. Я не хулю веб разработку как таковую, но лишь отмечаю, что панели написаны не лучшим образом, не лучшими людьми, и опасны, и по-хорошему их лучше не использовать.