148 lines
4.5 KiB
Markdown
148 lines
4.5 KiB
Markdown
---
|
||
tags:
|
||
- openclash
|
||
- vless-reality
|
||
- security-audit
|
||
- router
|
||
- homelab
|
||
---
|
||
|
||
# OpenClash 配置 Review (2026-03-19)
|
||
|
||
> 审计范围:源配置、运行配置、UCI 设置、custom 文件
|
||
> 审计日期:2026-03-19
|
||
> 状态:**全部修复完成**(P3 备用节点除外)
|
||
|
||
---
|
||
|
||
## 1. 安全问题 (CRITICAL)
|
||
|
||
### 1.1 敏感信息在 Git 仓库中明文暴露
|
||
|
||
以下敏感值出现在 Knowledge vault 的笔记中:
|
||
|
||
| 类型 | 值 | 出处 |
|
||
|------|-----|------|
|
||
| VLESS UUID | `04a7cfe3-...` | vless-reality.yaml |
|
||
| REALITY public-key | `RTO_UOk5...` | vless-reality.yaml |
|
||
| Dashboard Secret | `Dc7jZkmO` | Router-iStoreOS.md |
|
||
| Proxy Auth | `Clash:O6IlMO6L` | 运行配置 |
|
||
|
||
**结论**:仓库 remote 为自建 Gitea (`git@git.colacoder.com`),非公开,风险可接受。
|
||
|
||
### 1.2 Dashboard 绑定 0.0.0.0
|
||
|
||
```yaml
|
||
external-controller: 0.0.0.0:9090
|
||
```
|
||
|
||
LuCI 覆写硬编码为 `0.0.0.0`,无法通过源配置修改。
|
||
|
||
**结论**:WAN zone 默认 INPUT=REJECT,9090 端口从外网不可达,仅 LAN 可访问,风险可接受。
|
||
|
||
### 1.3 mixed-port 绑定 0.0.0.0
|
||
|
||
`allow-lan: true` + `bind-address: "*"` 意味着代理端口对全网段开放。
|
||
|
||
**结论**:同上,WAN 防火墙已阻止外网访问。
|
||
|
||
---
|
||
|
||
## 2. 源配置与运行配置不一致 — 已修复
|
||
|
||
源配置已清理,去掉了陈旧的 DNS 段(`redir-host`、`192.168.68.111`、`nsniffer` 等),DNS 全部交给 LuCI 覆写管理。
|
||
|
||
当前源配置只保留:proxies、proxy-groups、rules、hosts。其余由 LuCI 覆写生成。
|
||
|
||
---
|
||
|
||
## 3. 规则问题 — 已修复
|
||
|
||
### 3.1 规则精简为仅视频/音乐
|
||
|
||
之前配置了 60+ 条国内域名 + `GEOSITE,cn` + `GEOIP,CN`,导致所有国内流量走代理。
|
||
|
||
**已修复**:移除电商、社交、搜索、银行、`GEOSITE,cn`、`GEOIP,CN`,只保留:
|
||
- 国内视频:B站、爱奇艺、优酷、芒果TV、搜狐、腾讯视频、抖音、西瓜、小红书
|
||
- 国内音乐:网易云、酷狗、酷我、QQ音乐
|
||
- 其余 `MATCH,DIRECT`
|
||
|
||
### 3.2 代理服务器 IP 直连规则 — 已修复
|
||
|
||
已添加 `IP-CIDR,8.138.1.192/32,DIRECT` 防止环路。
|
||
|
||
### 3.3 腾讯视频规则细化
|
||
|
||
之前用 `DOMAIN-SUFFIX,qq.com` 会把 QQ 邮箱、QQ 空间等全部代理。
|
||
|
||
**已修复**:改为 `v.qq.com` / `video.qq.com` 只匹配腾讯视频;QQ 音乐用 `y.qq.com`。
|
||
|
||
---
|
||
|
||
## 4. Fake-IP Filter — 已修复
|
||
|
||
### 4.1 去重完成
|
||
|
||
删除所有 `*.xxx.com` 重复项,只保留 `+.xxx.com`(已是超集)。
|
||
|
||
### 4.2 amazonaws 范围缩小
|
||
|
||
移除 `+.amazonaws.com`(全量 AWS),只保留 `+.ecr.aws`。
|
||
|
||
当前 fake-ip-filter 列表(16 条):
|
||
|
||
```
|
||
+.colacoder.com, +.k8s.home — 内网域名
|
||
*.lan, *.local, *.localdomain, *.home.arpa — 本地域名
|
||
+.quay.io, +.ghcr.io, +.docker.io,
|
||
+.docker.com, +.gcr.io, +.k8s.io,
|
||
+.registry.k8s.io — 容器仓库
|
||
+.ecr.aws — AWS ECR
|
||
+.billo.life — 公司 VPN
|
||
+.finance.yahoo.com — Yahoo Finance API
|
||
```
|
||
|
||
---
|
||
|
||
## 5. Sniffer 配置 — 已修复
|
||
|
||
清空了 `force-domain` 列表(之前包含 Netflix/Disney+/amazonaws,无实际意义)。
|
||
|
||
保留 `skip-domain`:Mijia Cloud、向日葵、蒲公英、Apple Push。
|
||
|
||
---
|
||
|
||
## 6. 其他注意事项
|
||
|
||
| 项目 | 当前值 | 说明 |
|
||
|------|--------|------|
|
||
| `bypass_gateway_compatible` | `0`(关闭) | 网络正常,无需开启 |
|
||
| `disable_udp_quic` | `1`(禁用) | 强制走 TCP,可能降低部分网站速度 |
|
||
| NTP `write-to-system` | `true` | 路由器上正常 |
|
||
| 单代理节点 | 只有 CN-Proxy | 无备用,服务器挂了断国内 |
|
||
| `china_ip_route` | overwrite 开启 | 国内 IP 绕过 TUN 直连 |
|
||
|
||
---
|
||
|
||
## 7. 修复记录
|
||
|
||
| 优先级 | 项目 | 状态 |
|
||
|--------|------|------|
|
||
| P0 | Dashboard 绑定 | 无需修复 — WAN REJECT,外网不可达 |
|
||
| P0 | Knowledge 仓库隐私 | 已确认 — 自建 Gitea,非公开 |
|
||
| P1 | 代理服务器 IP 加 DIRECT 规则 | 已修复 (2026-03-19) |
|
||
| P1 | 清理源配置(去掉陈旧 DNS 设置) | 已修复 (2026-03-19) |
|
||
| P2 | 精简规则(只保留视频/音乐) | 已修复 (2026-03-19) |
|
||
| P2 | fake-ip-filter 去重 | 已修复 (2026-03-19) |
|
||
| P2 | 缩小 amazonaws 范围 | 已修复 (2026-03-19) |
|
||
| P3 | 清理 sniffer force-domain | 已修复 (2026-03-19) |
|
||
| P3 | 添加备用代理节点 | 可选 — 用户自行决定 |
|
||
|
||
---
|
||
|
||
## 相关文档
|
||
|
||
- [[VLESS-REALITY-Router-iStoreOS]] -- 主配置文档
|
||
- [[家庭网络基础设施]] -- 网络拓扑总览
|
||
- [[VLESS-Reality 翻墙回国]] -- 项目概览
|