4.5 KiB
tags
| tags | |||||
|---|---|---|---|---|---|
|
OpenClash 配置 Review (2026-03-19)
审计范围:源配置、运行配置、UCI 设置、custom 文件 审计日期:2026-03-19 状态:全部修复完成(P3 备用节点除外)
1. 安全问题 (CRITICAL)
1.1 敏感信息在 Git 仓库中明文暴露
以下敏感值出现在 Knowledge vault 的笔记中:
| 类型 | 值 | 出处 |
|---|---|---|
| VLESS UUID | 04a7cfe3-... |
vless-reality.yaml |
| REALITY public-key | RTO_UOk5... |
vless-reality.yaml |
| Dashboard Secret | Dc7jZkmO |
Router-iStoreOS.md |
| Proxy Auth | Clash:O6IlMO6L |
运行配置 |
结论:仓库 remote 为自建 Gitea (git@git.colacoder.com),非公开,风险可接受。
1.2 Dashboard 绑定 0.0.0.0
external-controller: 0.0.0.0:9090
LuCI 覆写硬编码为 0.0.0.0,无法通过源配置修改。
结论:WAN zone 默认 INPUT=REJECT,9090 端口从外网不可达,仅 LAN 可访问,风险可接受。
1.3 mixed-port 绑定 0.0.0.0
allow-lan: true + bind-address: "*" 意味着代理端口对全网段开放。
结论:同上,WAN 防火墙已阻止外网访问。
2. 源配置与运行配置不一致 — 已修复
源配置已清理,去掉了陈旧的 DNS 段(redir-host、192.168.68.111、nsniffer 等),DNS 全部交给 LuCI 覆写管理。
当前源配置只保留:proxies、proxy-groups、rules、hosts。其余由 LuCI 覆写生成。
3. 规则问题 — 已修复
3.1 规则精简为仅视频/音乐
之前配置了 60+ 条国内域名 + GEOSITE,cn + GEOIP,CN,导致所有国内流量走代理。
已修复:移除电商、社交、搜索、银行、GEOSITE,cn、GEOIP,CN,只保留:
- 国内视频:B站、爱奇艺、优酷、芒果TV、搜狐、腾讯视频、抖音、西瓜、小红书
- 国内音乐:网易云、酷狗、酷我、QQ音乐
- 其余
MATCH,DIRECT
3.2 代理服务器 IP 直连规则 — 已修复
已添加 IP-CIDR,8.138.1.192/32,DIRECT 防止环路。
3.3 腾讯视频规则细化
之前用 DOMAIN-SUFFIX,qq.com 会把 QQ 邮箱、QQ 空间等全部代理。
已修复:改为 v.qq.com / video.qq.com 只匹配腾讯视频;QQ 音乐用 y.qq.com。
4. Fake-IP Filter — 已修复
4.1 去重完成
删除所有 *.xxx.com 重复项,只保留 +.xxx.com(已是超集)。
4.2 amazonaws 范围缩小
移除 +.amazonaws.com(全量 AWS),只保留 +.ecr.aws。
当前 fake-ip-filter 列表(16 条):
+.colacoder.com, +.k8s.home — 内网域名
*.lan, *.local, *.localdomain, *.home.arpa — 本地域名
+.quay.io, +.ghcr.io, +.docker.io,
+.docker.com, +.gcr.io, +.k8s.io,
+.registry.k8s.io — 容器仓库
+.ecr.aws — AWS ECR
+.billo.life — 公司 VPN
+.finance.yahoo.com — Yahoo Finance API
5. Sniffer 配置 — 已修复
清空了 force-domain 列表(之前包含 Netflix/Disney+/amazonaws,无实际意义)。
保留 skip-domain:Mijia Cloud、向日葵、蒲公英、Apple Push。
6. 其他注意事项
| 项目 | 当前值 | 说明 |
|---|---|---|
bypass_gateway_compatible |
0(关闭) |
网络正常,无需开启 |
disable_udp_quic |
1(禁用) |
强制走 TCP,可能降低部分网站速度 |
NTP write-to-system |
true |
路由器上正常 |
| 单代理节点 | 只有 CN-Proxy | 无备用,服务器挂了断国内 |
china_ip_route |
overwrite 开启 | 国内 IP 绕过 TUN 直连 |
7. 修复记录
| 优先级 | 项目 | 状态 |
|---|---|---|
| P0 | Dashboard 绑定 | 无需修复 — WAN REJECT,外网不可达 |
| P0 | Knowledge 仓库隐私 | 已确认 — 自建 Gitea,非公开 |
| P1 | 代理服务器 IP 加 DIRECT 规则 | 已修复 (2026-03-19) |
| P1 | 清理源配置(去掉陈旧 DNS 设置) | 已修复 (2026-03-19) |
| P2 | 精简规则(只保留视频/音乐) | 已修复 (2026-03-19) |
| P2 | fake-ip-filter 去重 | 已修复 (2026-03-19) |
| P2 | 缩小 amazonaws 范围 | 已修复 (2026-03-19) |
| P3 | 清理 sniffer force-domain | 已修复 (2026-03-19) |
| P3 | 添加备用代理节点 | 可选 — 用户自行决定 |
相关文档
- VLESS-REALITY-Router-iStoreOS -- 主配置文档
- 家庭网络基础设施 -- 网络拓扑总览
- VLESS-Reality 翻墙回国 -- 项目概览