Спасибо, разобрался
Во-первых, нужно установить libnginx-mod-stream или целиком nginx-extras
Во-вторых, деды всё-таки завещали nginx.conf не трогать, т.к. этот файл обновляется мейнтейнерами при обновлении до следующей версии дистрибутива, поэтому создал /etc/nginx/modules-enabled/90-stream.conf
stream {
map $ssl_preread_server_name $name {
<ваш SNI> xray;
}
upstream xray {
server 127.0.0.1:10000;
}
server {
listen 443;
proxy_pass $name;
proxy_ssl_server_name on;
ssl_preread on;
}
}
А в /etc/nginx/sites-enabled/default написал для лучшей маскировки:
server {
if ($host = <ваш SNI>) {
return 301 https://$host$request_uri;
}
server_name <ваш SNI>;
listen 80;
return 404;
}
Ну и 80й порт конечно теперь нужно открыть.
А теперь по идее можно ещё и fail2ban донастроить (nginx-botsearch включить) и ботов всяких банить на основании ошибок в логах 