让你的小机xui更安全

针对 XUI 的安全建议

昨天看了个视频，发现这个问题比较严重：人们对 X-UI 的使用方式通常是 http://IP ，HTTP 是不加密的，传输内容一览无余，中间人可以直接看到你的对称密码（可用来离线解密）、非对称私钥（可用来中间人攻击）等。

所以对于配置，各个 X-UI 面板应默认关闭外网访问，并引导用户使用 SSH 转发端口。

例如，所有的xui

LINK (https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=25&virtual_hosts=EXCLUDE&q=services.banner_hex%3D%22485454502f312e3120323030204f4b0d0a436f6e74656e742d456e636f64696e673a20677a69700d0a436f6e74656e742d547970653a20746578742f68746d6c3b20636861727365743d7574662d380d0a566172793a204163636570742d456e636f64696e670d0a446174653a20203c52454441435445443e0d0a5472616e736665722d456e636f64696e673a206368756e6b65640d0a%22)

例如，所有的Marzban节点

LINK (https://search.censys.io/search?q=services.tls.certificates.leaf_data.subject_dn%3D%22CN%3DGozargah%22&resource=hosts)

例如，所有在特定主机上使用Marzban面板基础配置的Reality服务器

LINK (https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=25&virtual_hosts=EXCLUDE&q=services.tls.certificate.names%3Ddiscordapp.com+and+autonomous_system.name%3D%60AEZA-AS%60)

这难道不是一个次要特征，可以让人识别出该IP地址被用作代理服务器吗？

这完全可以直接进行过滤。

这只是一些简单的例子，如果稍微努力一下，我还能找到成千上万个IP地址，它们被用作机场。

下面是解决方案，先连接上你的SSH

1、将本地XX端口转发到你的xui端口，并输入SSH密码完成转发

 ssh -fNT -L 0.0.0.0:转发端口:localhost:xui端口 -p ssh端口 localhost

2、用iptables禁用外网访问你的xui端口，并放行转发端口

# 允许外网访问 转发端口
sudo iptables -A INPUT -p tcp --dport 转发端口 -j ACCEPT
# 禁止外网访问 xui端口
sudo iptables -A INPUT -p tcp --dport xui端口 -j DROP
# 允许本地访问 xui端口
sudo iptables -I INPUT -p tcp -s 127.0.0.1 --dport xui端口 -j ACCEPT

3、保存规则（永久生效）

# Ubuntu/Debian 
sudo iptables-save | sudo tee /etc/iptables/rules.v4 

# CentOS/RHEL 
sudo iptables-save | sudo tee /etc/sysconfig/iptables

4、验证规则

sudo iptables -L INPUT -v -n

5、使用你的转发端口访问面板