diff --git a/مشکلات-و-سوالات-رایج.md b/مشکلات-و-سوالات-رایج.md new file mode 100644 index 0000000..0b3d491 --- /dev/null +++ b/مشکلات-و-سوالات-رایج.md @@ -0,0 +1,251 @@ +
+ +# مشکلات و سوالات رایج + +قصد داریم به مسائل رایجی که ممکن است در ران کردن پنل و استفاده از xray، با آنها مواجه شوید، پرداخته و راه‌حل‌های کوتاه و مختصری ارائه دهیم. + + +## 1- آپدیت سرور + +معمولا اولین اقدام در سرور لینوکس آپدیت و آپگرید سرور است. + + آپدیت سرور با دستور یک خطی: + +
+ +``` +sh -c 'apt-get update; apt-get upgrade -y; apt-get dist-upgrade -y; apt-get autoremove -y; apt-get autoclean -y' +``` +
+الف) **حل خطاهای آپدیت سرور**: + +گاهی با تغییر لینک‌های sources می‌توانید مشکلات آپدیت را حل کنید. + +
+ +``` +nano /etc/apt/sources.list +``` + +
+ +مخزن‌ مناسب را از لینک‌های زیر دریافت کنید. + +[ubuntu 20](https://gist.github.com/ishad0w/788555191c7037e249a439542c53e170) | [ubuntu 22](https://gist.github.com/hakerdefo/9c99e140f543b5089e32176fe8721f5f) + +اگر در هنگام آپدیت دسترسی شما قطع شد، و هنگام آپدیت مجدد ارور دریافت کردید؛ دستورات زیر مشکل را حل می‌کند. + +
+ +``` +sudo rm /var/lib/apt/lists/lock +sudo rm /var/cache/apt/archives/lock +sudo rm /var/lib/dpkg/lock* + +dpkg --configure -a + +sudo dpkg --configure -a +``` +
+ +بعد از اجرای دستورات مجدد آپدیت و آپگرید را انجام دهید. + + + +## 2 - تغییر پورت پیش‌فرض SSH + +پورت پیش فرض SSH ‮22 است. تغییر آن میتواند در امنیت سرور موثر باشد. +[آموزش ویرایش تنظیمات HSS](https://github.com/rahgozar94725/freedom/tree/main/server-setup#%D8%AA%D8%BA%DB%8C%DB%8C%D8%B1-%D9%BE%D9%88%D8%B1%D8%AA-%D9%BE%DB%8C%D8%B4%D9%81%D8%B1%D8%B6-ssh) + + + +## 3 - دسترسی root به سرور + +برای برخی سرور ها لاگین با یوزر غیر روت انجام می‌شود. +که با دستور ```sudo -i``` یا ```sudo su``` یوزر را به روت تغییر می‌کند. + +همچنین می‌توانید اجازه لاگین یوزر root را با دستور زیر بدهید و مستقیم با روت وارد سرور شوید. + +
+ +``` +sudo sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config && sudo systemctl restart ssh && sudo passwd +``` +
+ +## 4 - تغییر DNS سرور + +عوض کردن DNS سرور میتواند باعث بهبود عملکرد سرور و گذر از برخی محدودها باشد. +[آموزش تغییر DNS سرور](https://github.com/hiddify/hiddify-config/wiki/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%AA%D9%86%D8%B8%DB%8C%D9%85-DNS-%D8%B3%D8%B1%D9%88%D8%B1#%D8%AA%D9%86%D8%B8%DB%8C%D9%85-dns-%D8%A7%D8%B2-%D8%B7%D8%B1%DB%8C%D9%82-ssh) + +الف) **DNS های پیشنهادی** + +
+ +``` +nameserver 8.8.8.8 +nameserver 8.8.4.4 +``` + +
+ +در سرور ایران برای نصب ابزارهای تحر‌یم شده نیاز به تغییر DNS به شکن دارید. + +
+ +``` +nameserver 178.22.122.100 +nameserver 185.51.200.2 +``` +
+ +## 5 - فعال کردن فایروال سرور + +فعال کردن فایروال برای امنیت سرور و مسدود نشدن آن مفید و موثر است. همچنین در برخی سرور ها فایروال بطور پیشفرض باز است و شما باید پورت‌های مورد نیاز خود را فعال کنید. + +ابتدا پورت هایی که نیاز دارید را در فایروال با دستور زیر فعال کنید، این پورت ها می تواند شامل پورت SSH، پورت پنل، پورت کانفیگ ها و ... باشد. + +
+ +``` +sudo ufw allow /tcp +``` + +
+ +سپس با دستور زیر فایروال را روشن کنید. + +
+ +``` +sudo ufw enable +``` + +
+ +با دستور ```sudo ufw status``` وضعیت فایروال خود را ببینید. + +## 6 - چه تنظیماتی برای ریالیتی پیشنهاد میدید؟ + + +با توجه به پیشنهادات [سازنده](https://github.com/XTLS/Xray-core/issues/1769#issuecomment-1464821647) xray و صاحب نظران ترکیب TCP REALITY VISION بهترین انتخاب است. البته میتوان از GRPC و H2 نیز که پینگ پایین تری دارند استفاده کرد، اما معمولا TCP در تست های سرعت موفق تر بوده است. بعلاوه در [این آموزش](https://telegra.ph/RealityTCPHeaderVless-05-29) ترکیب REALITY و HTTP Camouflage و تعدادی SNI معرفی شده است. پیشنهاد میشود با استفاده از ابزار SNI [RealiTLScanner](https://github.com/XTLS/RealiTLScanner) با مشخصه TLS 1.3 H2 پیدا کرده و از آن استفاده کنید. + +قویاً توصیه می‌شود تمامی کانفیگ ها را روی یک اینباند یا پورت بزنید. + + +## 7 - یکی می‌خواد به پنلم لاگین کنه چی کار کنم؟ + +اگر شما از طریق ربات یا لاگ‌های سرور متوجه شدید که پنلتون بروت فورس می‌شود چند راهکار دارید. + + 1- تغییر port و path پنل. + + 2- بلاک کردن آیپی اتکر. اگر فقط یک آیپی سعی دارد به پنل شما ورود کند در صورت فعال بودن فایروال با دستور زیر می‌توانید آیپی او را مسدود کنید. + +
+ +``` +sudo ufw deny from to any +``` + +
+ +3- محدود کردن ورود به پنل با آیپی خودتان. با باز نگذاشتن پورت پنل در فایروال میتوانید تنها با کانفیگ و آیپی همان سرور لاگین کنید. یا اگر آیپی دیگری دارید در صورت فعال بودن فایروال با دستور زیر می‌توانید آن را مجاز کنید. + +
+ +``` +sudo ufw allow from to any port proto tcp +``` + +
+ +## 8 - چجوری آیپی تیبل رو غیر فعال کنم؟ + +
+ +``` +sysctl net.ipv4.ip_forward=0 +``` + +
+ +ابتدا دستور بالا را اجرا کنید و سپس تمام دستوراتی که برای فعال کردن آیپی تیبل استفاده کردید بجای فلگ A- از D- استفاده کنید و دستور ها را اجرا کنید. + +## 9 - چجوری مشخص کنم پنل بکاپ ها رو فلان ساعتی یک بار ارسال کنه؟ + +[اینجا](https://github.com/MHSanaei/3x-ui#telegram-bot) توضیح داده شده و برای مشخص کردن بطور دقیق می‌توانید از [این](https://crontab.guru/examples.html) سایت استفاده کنید. + +## 10 - آیپی لیمیت کار میکنه؟ توی تونل چجوری ازش استفاده کنم؟ + +بله؛ از ورژن 1.7.0+ با نصب کردن fail2ban در منوی x-ui و مشخص کردن لیمیت برای هر کلاینت میتوان از آن استفاده کرد. در صورت وصل شدن تعداد غیرمجاز کاربر آیپی به مدت زمانی که خودتان مشخص کردید مسدود می‌شود. + +برای تانل مستقیم نمی‌توانید از آیپی لیمیت استفاده کنید، زیرا فقط آیپی سرور ایران شما به سرور خارج میرسد. راهکار ساده آن تانل [پنل به پنل](https://github.com/rahgozar94725/freedom/blob/main/domestic-server/p-to-p.md) outbound و استفاده از آیپی لیمیت در سرور ایران است. + + +## 11 - بعضی سایتا برام باز نمیشه. وارپ چیه؟ چجوری فعالش کنم؟ چجوری کل ترافیک رو از وارپ رد کنم؟ +وارپ ترافیک سرور شما را با استفاده از وایرگارد از شبکه کلودفلر رد می‌کند، از این طریق آیپی سرور شما به آیپی کلودفلر تغییر می‌کند. به دلیل اینکه آیپی های وارپ در بیشتر سرویس‌ها وایت لیست هستند، می‌توانید به سایت‌هایی که ارور forbidden یا 403 می‌دهند دسترسی داشته باشید. البته آیپی سرور شما ممکن است ثابت نباشد. + +برای فعال کردن آن می‌توانید از منوی x-ui پنل آن را نصب و در تنظیمات پنل تیک پلتفورم هایی مثل گوگل یا اسپاتیفای را بزنید، و یا سایت دلخواه خود را بصورت manual به لیست WARP Domains با ساختار زیر اضافه کنید. + +
+ +``` +[ + "google.com", + "bing.com", + "yahoo.com" +] +``` + +
+ +**برای رد کردن کل ترافیک از وارپ** میتوانید کد route وارپ به شکل زیر تغییر دهید. + +
+ +``` + { + "type": "field", + "outboundTag": "WARP", + "network": "tcp" + }, +``` + +
+ +اگر میخواهید ترافیک udp هم از وارپ عبور کند می‌توانید از کلاینت وارپ یا بصورت [وایرگارد](https://gozargah.github.io/marzban/examples/warp#%D8%B1%D9%88%D8%B4-%D8%A7%D9%88%D9%84-%D8%A8%D8%A7-%D8%A7%D8%B3%D8%AA%D9%81%D8%A7%D8%AF%D9%87-%D8%A7%D8%B2-%D9%87%D8%B3%D8%AA%D9%87-xray) به outbound اضافه کنید و نتورک را ```"network": "tcp,udp"``` مشخص کنید. + + +## 12 - با ابیوز هتزنر چی کار کنم؟ + +دریافت abuse از سمت دیتاسنتر ها مربوط به پنل سنایی نمی‌باشد. + +رد کردن کل ترافیک (udp و tcp) از وارپ می‌تواند از برخی ابیوزها جلوگیری کند. اجرا و نصب نکردن اسکریپت‌های ناشناس هم از نکات امنیتی موثر است. به تجربه یکی از کاربران دستورات دستورات زیر برای او موثر بوده است. + +
+ +``` +systemctl stop rpcbind.service +systemctl disable rpcbind.service +systemctl mask rpcbind.service +systemctl stop rpcbind.socket +systemctl disable rpcbind.socket +systemctl mask rpcbind.socket +systemctl daemon-reload +``` + +
+ +در نهایت اگر این مشکل تکرار شد کاربران خود را مانیتور کنید. + +## 13 - لینک سابسکریپشن پنل چطور کار می‌کنه؟ + +برای استفاده از این بخش ابتدا باید تیک Enable service را در تنظیمات Subscription فعال کنید. +سپس می‌توانید برای هر client هر لینک مشخص کنید. +این امکان وجود دارید که برای چند کلاینت یک لینک انتخاب کنید. + +در نسخه 1.7.1+ میزان ترافیک و زمان باقی مانده بصورت یک کانفیگ به لینک سابسکریپشن اضافه می‌شود. + +همچنین پیشنهاد می‌شود با انتخاب فایل های سرتیفیکت دامین خودتان در تنظیمات Subscription برای لینک https را فعال کنید. + +
\ No newline at end of file