--- tags: - openclash - vless-reality - security-audit - router - homelab --- # OpenClash 配置 Review (2026-03-19) > 审计范围:源配置、运行配置、UCI 设置、custom 文件 > 审计日期:2026-03-19 > 状态:**全部修复完成**(P3 备用节点除外) --- ## 1. 安全问题 (CRITICAL) ### 1.1 敏感信息在 Git 仓库中明文暴露 以下敏感值出现在 Knowledge vault 的笔记中: | 类型 | 值 | 出处 | |------|-----|------| | VLESS UUID | `04a7cfe3-...` | vless-reality.yaml | | REALITY public-key | `RTO_UOk5...` | vless-reality.yaml | | Dashboard Secret | `Dc7jZkmO` | Router-iStoreOS.md | | Proxy Auth | `Clash:O6IlMO6L` | 运行配置 | **结论**:仓库 remote 为自建 Gitea (`git@git.colacoder.com`),非公开,风险可接受。 ### 1.2 Dashboard 绑定 0.0.0.0 ```yaml external-controller: 0.0.0.0:9090 ``` LuCI 覆写硬编码为 `0.0.0.0`,无法通过源配置修改。 **结论**:WAN zone 默认 INPUT=REJECT,9090 端口从外网不可达,仅 LAN 可访问,风险可接受。 ### 1.3 mixed-port 绑定 0.0.0.0 `allow-lan: true` + `bind-address: "*"` 意味着代理端口对全网段开放。 **结论**:同上,WAN 防火墙已阻止外网访问。 --- ## 2. 源配置与运行配置不一致 — 已修复 源配置已清理,去掉了陈旧的 DNS 段(`redir-host`、`192.168.68.111`、`nsniffer` 等),DNS 全部交给 LuCI 覆写管理。 当前源配置只保留:proxies、proxy-groups、rules、hosts。其余由 LuCI 覆写生成。 --- ## 3. 规则问题 — 已修复 ### 3.1 规则精简为仅视频/音乐 之前配置了 60+ 条国内域名 + `GEOSITE,cn` + `GEOIP,CN`,导致所有国内流量走代理。 **已修复**:移除电商、社交、搜索、银行、`GEOSITE,cn`、`GEOIP,CN`,只保留: - 国内视频:B站、爱奇艺、优酷、芒果TV、搜狐、腾讯视频、抖音、西瓜、小红书 - 国内音乐:网易云、酷狗、酷我、QQ音乐 - 其余 `MATCH,DIRECT` ### 3.2 代理服务器 IP 直连规则 — 已修复 已添加 `IP-CIDR,8.138.1.192/32,DIRECT` 防止环路。 ### 3.3 腾讯视频规则细化 之前用 `DOMAIN-SUFFIX,qq.com` 会把 QQ 邮箱、QQ 空间等全部代理。 **已修复**:改为 `v.qq.com` / `video.qq.com` 只匹配腾讯视频;QQ 音乐用 `y.qq.com`。 --- ## 4. Fake-IP Filter — 已修复 ### 4.1 去重完成 删除所有 `*.xxx.com` 重复项,只保留 `+.xxx.com`(已是超集)。 ### 4.2 amazonaws 范围缩小 移除 `+.amazonaws.com`(全量 AWS),只保留 `+.ecr.aws`。 当前 fake-ip-filter 列表(16 条): ``` +.colacoder.com, +.k8s.home — 内网域名 *.lan, *.local, *.localdomain, *.home.arpa — 本地域名 +.quay.io, +.ghcr.io, +.docker.io, +.docker.com, +.gcr.io, +.k8s.io, +.registry.k8s.io — 容器仓库 +.ecr.aws — AWS ECR +.billo.life — 公司 VPN +.finance.yahoo.com — Yahoo Finance API ``` --- ## 5. Sniffer 配置 — 已修复 清空了 `force-domain` 列表(之前包含 Netflix/Disney+/amazonaws,无实际意义)。 保留 `skip-domain`:Mijia Cloud、向日葵、蒲公英、Apple Push。 --- ## 6. 其他注意事项 | 项目 | 当前值 | 说明 | |------|--------|------| | `bypass_gateway_compatible` | `0`(关闭) | 网络正常,无需开启 | | `disable_udp_quic` | `1`(禁用) | 强制走 TCP,可能降低部分网站速度 | | NTP `write-to-system` | `true` | 路由器上正常 | | 单代理节点 | 只有 CN-Proxy | 无备用,服务器挂了断国内 | | `china_ip_route` | overwrite 开启 | 国内 IP 绕过 TUN 直连 | --- ## 7. 修复记录 | 优先级 | 项目 | 状态 | |--------|------|------| | P0 | Dashboard 绑定 | 无需修复 — WAN REJECT,外网不可达 | | P0 | Knowledge 仓库隐私 | 已确认 — 自建 Gitea,非公开 | | P1 | 代理服务器 IP 加 DIRECT 规则 | 已修复 (2026-03-19) | | P1 | 清理源配置(去掉陈旧 DNS 设置) | 已修复 (2026-03-19) | | P2 | 精简规则(只保留视频/音乐) | 已修复 (2026-03-19) | | P2 | fake-ip-filter 去重 | 已修复 (2026-03-19) | | P2 | 缩小 amazonaws 范围 | 已修复 (2026-03-19) | | P3 | 清理 sniffer force-domain | 已修复 (2026-03-19) | | P3 | 添加备用代理节点 | 可选 — 用户自行决定 | --- ## 相关文档 - [[VLESS-REALITY-Router-iStoreOS]] -- 主配置文档 - [[家庭网络基础设施]] -- 网络拓扑总览 - [[VLESS-Reality 翻墙回国]] -- 项目概览