3xui搭建节点,并使用CF优选域名

By zfadmin 未分类

3xui搭建节点,并使用CF优选域名

1. 准备

①、准备一个域名(如果没有。买个小姨子的数字域名,几块钱一年),并托管到cloudflare
②、准备一台vps,如果没有,在站内或去IDC,搜vps测评,根据需求选购

2. 安装&配置1panel面板

①、安装

在服务器上执行命令,傻瓜式安装,回车一路到底,保存面板信息

bash -c "$(curl -sSL https://resource.fit2cloud.com/1panel/package/v2/quick_start.sh)"

image1192×477 80.8 KB

②、配置1panel

a、修改账号密码

image1266×862 85.1 KB

b、下载OpenResty(用于反代)

image1908×706 66.5 KB

③、配置反代(下面设置域名反代的步骤基本相同,不在赘述)

a、新建网站

image1919×933 113 KB

b、cloudflare添加CDN解析

先关闭小黄云,否则在1panel面板申请不了证书

image1901×711 115 KB

c、创建证书

image1920×936 105 KB

d、开启https

网站->域名->配置->https

image1881×1347 283 KB

e、开启cloudflare代理

image1297×597 47.9 KB

f、SSL/TLS加密模式选择:完全/完全(严格)

  1. 关闭(不安全):即关闭HTTPS
  2. 灵活:回源走http80端口 如果您开启这个并开启源站强制https则会无限301
  3. 完全:回源走https443端口 但是不校验证书 你可以在源站使用任意证书哪怕自签、过期证书
  4. 完全(严格):回源走https443端口 校验源站证书是否合规 可以使用CF签发的源服务器证书
  5. 严格(仅 SSL 源服务器拉取):与完全(严格)似乎是一样的,可能不支持CF源服务器证书

3. 安装3x-ui面板

3x-ui面板安装文档

①、进入终端,执行docker命令

docker run -itd \
 -e XRAY_VMESS_AEAD_FORCED=false \
 -e XUI_ENABLE_FAIL2BAN=true \
 -v $PWD/db/:/etc/x-ui/ \
 -v $PWD/cert/:/root/cert/ \
 --network=host \
 --restart=unless-stopped \
 --name 3x-ui \
 ghcr.io/mhsanaei/3x-ui:latest

image1919×936 133 KB

②、配置3xui

a、修改面板端口

直接从1panel面板,进入3x-ui容器,执行下面的命令
修改面板端口

/app/x-ui setting -port 端口

修改用户名和密码

/app/x-ui setting -username 用户名 -password 密码

image3010×1538 426 KB

CleanShot 2025-12-04 at 10.44.00@2×3012×1548 232 KB

开启BBR
x-ui回车

CleanShot 2025-12-04 at 11.48.07@2×1424×1562 207 KB

选择23,回车

CleanShot 2025-12-04 at 11.49.05@2×1200×200 16.8 KB

选择1,回车

CleanShot 2025-12-04 at 11.49.37@2×1236×316 24.8 KB

b、域名配置

配置3xui的域名+申请ssl证书,同上
:pushpin: 域名需添加至 Cloudflare 并启用“代理(小黄云)”模式,确保能通过 443 端口访问

浏览器访问(3xui域名),用修改后的账号密码登录,默认账号密码:admin

c、修改配置

修改订阅的端口号,修改完成后,保存,并重启面板,防火墙开放修改后的端口

如果有订阅需求,建议使用域名,在面板域名反向代理配置中,添加一个/sub的代理

4. 创建节点

创建vless+ws+tls协议,通过cf代理,并设置cf优选域名:cf优选域名1cf优选域名2,提高访问速度

  1. 备注:随便填写
  2. 协议:选择 VLESS
  3. 端口:使用CF支持的回源端口(如果不使用CF支持的回源端口,参考第5条)
  4. 传输协议:修改为 WebSocket
  5. 域名(主机):填写面板域名(推荐)/新域名(添加至 Cloudflare 并启用“代理(小黄云)”模式,确保能通过 443 端口访问)
  6. Path(路径):自定义,例如 /ws,客户端需一致
  7. External Proxy:开启
  8. Force TLS: 选择相同
  9. host:使用优选域名:cf优选域名1cf优选域名2
  10. 端口:使用“3”设置的
    端口(如果使用自定义回源端口,必须填写443)
  11. 安全:TLS
  12. SNI:同上所填域名
  13. 证书配置:如果在服务器上传了cf的证书文件/使用acme脚本申请的证书,选择文件路径,否则选择文件内容
  • 如果在服务器上传了cf的证书文件/使用acme脚本申请的证书,选择文件路径,并且填入公钥、私钥的文件地址
  • 如果没有上传文件,选择文件内容,填入公钥、私钥内容
  1. 根据13步的选项,填入相应的内容
  2. 根据13步的选项,填入相应的内容
  3. 生成ECH密钥

开放防火墙端口

sudo ufw allow <端口号>/tcp

可以通过执行以下命令来验证ufw的状态

sudo ufw status

:warning: 注意事项:节点使用的是“https://域名:端口”, Cloudflare的免费套餐,除了常用的 80 和 443 两个标准端口,Cloudflare还支持11个其它端口。Cloudflare总共支持HTTP端口7个,HTTPS端口6个, 分别是:

类型常见回源端口
HTTP80,8080,8880,2052,2082,2086,2095
HTTPS (TLS)443,8443,2053, 2083, 2087, 2096

5. Cloudflare设置任意回源端口

如果不想使用CF的标准端口,通过Origin Rules,设置任意端口转发
节点使用任意回源端口+优选域名,节点不可用 有大佬配置成功的,请踢我一下 :face_blowing_a_kiss:

①、添加cdn解析

用于访问非标准端口服务,并开启小黄云,后面会用到

②、创建Origin Rules,配置的域名请求,转发到自定义的端口

  1. 规则名称 (必需):随便填,最好标识回源端口对应哪个服务
  2. 如果传入请求匹配:选择“自定义筛选表达式”
  3. 当传入请求匹配时-字段:选择“主机名”
  4. 运算符:选择“等于”
  5. 值:填写“①”中添加的域名
  6. 目标端口:选择“重写到…”,端口:输入要转发的端口
  7. 点击Deploy
  8. 浏览器访问yc.example.com,会代理到相关的服务

Leave a Reply