我国智慧勤劳的劳动人民前段时间搞出来一个很新的科学上网方式——伪造 SNI。实现方法十分令人震惊：只需要给浏览器启动时加上一段参数，就可以免服务器访问谷歌、X、维基百科等等站点。例如： 1 google-chrome-stable --host-rules="MAP *google* google.cn,MAP *youtube.com google.cn,MAP *.ggpht.com google.cn,MAP i.ytimg.com google.cn," --host-resolver-rules="MAP google.cn 82.118.16.109," --test-type --ignore-certificate-errors 用这段命令行启动 Chrome，就可以直接访问 google.com 和 youtube.com，速度还挺快（虽然 YouTube 不能播放视频）。 要知道，上一次我们能做到这一点，大概是 10 年前；GFW 还只使用 DNS 污染的时候，可以通过设置一个加密 DNS，实现自由访问。大规模的 IP 封禁现在已经成了 GFW 封禁手段的主流，特别是 HTTPS 普及、无法过滤页面上的内容之后，无需一部境外服务器的方法就基本绝种了。 当然，部分站点（例如 GitHub、LINUX DO）依然可以通过 DNS 设置解决访问问题，因为它们都没有被完全封禁，仅仅使用了 DNS 污染和封禁部分 Anycast IP 的方式阻碍连接。 那这到底是怎么回事？和 1 月 1 日发生的小规模“漏风”事件是否有关？词元也来看看。 🙅‍♂️ 免责申明 本文采用了一些来自网络的资料，因为范围实在太广，词元又没有记录来源的好习惯，无法一一列出，若您感觉某一段内容很熟悉，不必怀疑，大概就是您读或写过它。如果您比较介意词元的行为，敬请邮件告知，词元将添加对您的内容的引用。 本文所有内容与突破中华人民共和国国家防火长城无关，只适用于突破类似 OpenGFW 等第三方防火长城实现，也请读者承担自己的责任，勿以 GFW 作为实验对象，谢谢。 🔧 实现方法 首先我们先来试一试效果。如果您是 Linux 用户，可以直接使用上文所述的那个命令启动 Chrome，然后看看是不是可以正常访问 Google 了；如果您是 Windows 用户，请修改 Chrome 快捷方式，将那段参数添加在原本的命令之后。 ...

词元家里有一部香橙派 Zero 3 一直在吃灰。 最近期末复习，大量打印试卷，只有主卧的台式机连着一台 HP LaserJet 打印机，不得不断断续续打扰我爸玩游戏去打印。他说，唉，要么买一台带 Wi-Fi 打印功能的新打印机吧！一看价格，动辄 2000 多。 于是词元在网上搜了搜，发现 HP 对 Linux 的驱动支持很好。在提出将打印机挪到词元的房间的要求并被拒绝之后，猛地想起来这部吃灰的香橙派，插电看看，更新一下包，还能用。遂记录一下操作方法供您参考 😁 🛜 Wi-Fi 上网 之前这部单板机一直都是直接插网线上网的，但由于房间里唯一的网线接口被我爸的台式机占据，不得不使用无线网络。 Armbian 竟然不自带 network-manager，先自己装一个。 1 2 3 sudo apt update && sudo apt upgrade sudo apt install network-manager sudo systemctl enable --now NetworkManager # 大小写敏感 然后用 nmtui 连接一下无线网。 1 sudo nmtui 然后选择你的 Wi-Fi 连接即可。 使用 ip addr 验证一下： 可以发现已经 DHCP 了一个 Wi-Fi IP 段的 IP。 词元家的路由器似乎不按照递增的顺序添加 IP，因此还需要设置一下静态 IP，以防失联： ...

最近词元发现之前搭建的代理，访问部分国内网站的时候不光速度很慢，而且有时候会报 PR_END_OF_FILE_ERROR（无法确定内容完整性），就是远程，特别是 CSDN，全站都无法访问。 😮‍💨 唉：后来发现其实是服务端 WARP 的问题，跟 v2rayA 一毛钱关系都没有。 词元现在使用的 v2rayA 虽然安装起来很方便（Arch Linux CN 有打包），但是对于规则的支持并不算好，并且开启、关闭、切换节点的速度也不尽人意。在网上搜索一通，似乎眼下最完善的内核是 Clash 系列的后继者 Mihomo，因此词元就用它来学习一下如何书写 Clash 配置文件。 💻 客户端选择 Clash 系的客户端在 AUR 上基本全部都有打包。根据词元的测试，似乎还在开发且可用性比较高的，只有 Clash Verge Rev 和 FlClash，而后者的 UI 设计词元看着非常舒服，因此本文就以 FlClash 作为测试客户端。 首先对 FlClash 的软件设置进行调整。虽然诸多 Clash 系客户端使用同一个内核，但是其 UI 设计却千差万别。FlClash 的界面大概是这样的。 在 Tools 栏目中，主要是软件本身和覆写配置文件的选项，前者是主题、日志、自动启动等本地定义的选项，不出现在配置文件中，因此我们首先来完成对其的设置。覆写配置文件的设置主要针对使用远程配置文件（例如机场）的用户，方便修改配置文件。 选项大部分您都应该能理解，说几个比较迷惑的： Logcat：就是日志功能，记录您使用代理访问的网站，关闭之后不会记录，但是似乎需要手动删除之前的记录（位于您的主目录下）。 Auto lost connections：在切换节点之后切断当前存在的连接，开启之后换区域会更加彻底，但是您的下载会被终端。 Only statistics proxy：只对通过的流量进行记录，这时候 FlClash 就变成了一个网络监测工具。 当然这个栏目还有其他功能，比如设置语言、主题、备份之类的，就请您自己探索了。 ⚙️ 配置文件 这当然就是本文的重点了！通过 Clash 配置文件，您可以方便地修改 DNS、分流、（基础）去广告等，至于节点链接，倒成了配置文件中不太重要的一部分了。下面词元参考了一些链接和项目，为行文流畅就不一一列出角标了，一并在文末引用。 ...

😠 太长不读：生成 SSH密钥，上传到服务器，然后禁用密码登录。（好像是废话） 🔒 生成 SSH 密钥 以下使用 $ 符号代表本机执行，> 符号代表服务器执行。 $ ssh-keygen # 旧版本需要添加 `-t ed25519` 参数 Generating public/private ed25519 key pair. Enter file in which to save the key (/home/YOUR_USER_NAME/.ssh/id_ed25519): # 可以自定义位置，也可以直接回车 Enter passphrase for "example" (empty for no passphrase): # 输入密码（不显示），不建议空密码 Enter same passphrase again: # 再输一遍 Your identification has been saved in id_ed25519 Your public key has been saved in id_ed25519.pub # 带有 .pub 的是公钥 The key fingerprint is: SHA256:SOME_STRANGE_STRING YOUR_USER_NAME@YOUR_HOST_NAME # 你的公钥指纹 The key's randomart image is: # 根据公钥生成的随机图像 +--[ED25519 256]--+ | SOME | | STRANGE | | IMAGE | | | | | | | | | | | | | +----[SHA256]-----+ $ ls .ssh id_ed25519 id_ed25519 # 可能还有其他文件 ⬆️ 上传到服务器 首先确保你当前可以使用密码登录一个非 root 的账号。 ...

😡 太长不读版：使用 VLESS + WebSocket + TLS 方案、Cloudflare CDN 保护、Cloudflare WARP 解锁服务，在 RackNerd 的 10.99/yr 起廉价服务器上搭建一个安全、隐私、不易封的代理服务器。无广告，很详细。 本文如未特殊提及，货币单位均为美元。好吧，其实是会被 KaTeX 识别成数学公式…… 各位想必都已经混迹互联网十余载，对于这门技术有所耳闻，甚至自己购买过机场的订阅，在外面的世界已经遨游过一番了。今天词元就讲一个老生常谈的问题：老是觉得那些机场主都不可靠，我能不能自己搭一个？ 首先在文章开始之前，国际惯例，对于几个常见误解进行声明： 词元没有收一分钱；相反，还因为购买服务器和域名花了 30 多，本文请放心食用； 搭建代理服务器是一个比较复杂的过程，您应当有最基本的 Linux 使用能力，对网络相关知识有一定了解； 无论是自建的代理还是机场，总有被封或跑路的一天，您的钱若打了水漂，词元不负责。 12 月 28 日更新：删去了大段大段没啥用的安全性分析。 👌 我知道了，开始吧 准备好了？让我们先看看大概要做什么。 购买 RackNerd 服务器； 购买 Namesilo 域名并用 Cloudflare 托管； 服务器初步设置，对于建站比较通用； 搭建代理服务器，此时您已经可以使用代理了； （可选）使用 Cloudflare 的 CDN 和 WARP 服务，对服务器前后流量进行优化； （可选）安全性和速度提升（0x06 节）。 词元趁着双十一购买了服务器和域名，总价 27.86（¥200.87，按照支付宝和 Stripe 的汇率），如果您不幸地在没什么活动的时候看到这篇文章，也可以选择到 RackNerd 社区去找找优惠，下面会说到。如果没有什么意外（不可能），搭建时间会在 30 到 40 分钟。 💵 花钱 其实词元一直都想哪次出国旅游，把台式机带着，找个角落连上网线和电源，就这么免费享受家宽加上超高性能。当然是瞎想了。 首先我们来到 RackNerd。活动期间会有首页横幅，点击进入即可。RackNerd 的老板据说是华人，除了北美常见节日有活动，双十一、春节等等国内节日也有，并且优点是续费可以原价。如果有可能的话，就在双十一前后买，这样到期之后重新购买，相当于免费换一个 IP。 ...