1. 前言
S-UI面板是和X-UI面板一样的节点搭建面板,不同之处在于S-UI面板以Sing-Box为核心、X-UI面板以Xray为核心。因为核心的不同,其节点也应当在不同客户端上使用。比如S-UI面板搭建的Hysteria2节点建议在Nekobox和Nekoray以及HIddify和最新的Clash内核平台上使用。X-UI搭建的vless节点最好是在V2ray系列平台使用。
使用本文方案搭建的节点不能在Windows端的V2rayn使用,可以在Clash客户端使用。
注意:本内容仅提供方向参考和具体的配置信息,完成整个流程则需要读者有一定的Linux操作经验(会使用基本的命令)。因协议限制,该方案不能添加CDN。优势是搭建节点不需要使用域名。
1.1 原理
Hysteria2(简称Hy2)是一个新一代网络代理传输协议,它基于QUIC协议构建,旨在实现高速、安全和抗封锁的网络连接。它被广泛应用于科学上网和高速网络优化,兼具良好的易用性与性能表现。
以下内容将全面介绍Hysteria2的背景、特点以及技术细节,帮助读者彻底理解这一协议。
它使用QUIC协议(基于UDP),相较传统基于TCP的协议降低了连接延迟,提升了抗丢包和网络不稳定环境下的表现。
协议设计重点在于伪装流量,使其难以被防火墙和流量检测工具识别和屏蔽,特别是伪装成HTTP/3流量。
速度快与性能稳定:Hysteria2内置了“Brutal”拥塞控制算法,能充分利用带宽,在拥堵环境中保持较高吞吐。
抗封锁能力强:协议设计为像HTTP/3流量一样,难以被中间人设备检测与识别,能有效避开主动和被动探测。
易用性优异:一键部署脚本支持无需提供域名即可完成服务器搭建,客户端支持包括Windows、Android等多平台,且兼容Clash等主流代理软件。
支持UDP和TCP转发,具备灵活的应用场景。
带宽控制灵活:客户端可上报下载带宽需求,服务器据此动态调整上传速率,提升适配网络环境的能力。
可选混淆层“Salamander”:使用盐值加密的方式对数据包进行混淆,增加流量分析和封锁难度。
1.2 技术解析
1.2.1 基础协议
- Hysteria2运行于标准的QUIC协议之上,利用QUIC的快速建立连接和多路复用特性。
- 传输使用UDP,兼容性好且效率高。
1.2.2 拥塞控制
- 引入Brutal拥塞控制算法,允许用户设定固定的上传/下载速率,即使网络拥堵也能最大化利用带宽。
- 支持客户端与服务器动态协商有效带宽,或自动采用TCP友好的拥塞控制算法(如BBR、Cubic)。
1.2.3 流量伪装
- 默认将所有流量伪装为HTTP/3格式,降低探测风险。
- 可启用“Salamander”混淆层,将每个QUIC数据包通过加盐的BLAKE2b-256哈希加密,增加逆向难度。
2. 协议推荐
2.1 基于S-UI面板
因为S-UI面板是基于sing-box核心打造的,且其携带的特殊协议为当前热议的Hysteria2,推荐读者使用Hysteria2 + tlS 形式的节点,经测试,该协议的节点表现最优。速度较快,足以默认支持Youtube的4K视频播放。
- 推荐协议
Hysteria2 + tls
2.2 基于X-UI面板
X-UI面板以Xray为核心,主要优势在于vless协议和tls结合,同时兼容Reality。并且在魔改版的3X-UI面板之中又加入了对warp的兼容,这使得节点可以轻易接入CDN网络。节点可以在不同运营之间选择合适的CDN,以达到适应网络状况以及针对运营商优化的优秀方案。
- 推荐协议
vless + ws + tls + CDN
3. Hysteria2节点搭建
3.1 面板安装
一键脚本
1 | bash <(curl -Ls https://raw.githubusercontent.com/alireza0/s-ui/master/install.sh) |
注意:请根据脚本提示自行设置面板端口和访问路径以及订阅的端口和路径。
默认信息:
- Panel Port: 2095
- Panel Path: /app/
- Subscription Port: 2096
- Subscription Path: /sub/
- User/Password: admin
面板启动命令: s-ui
安装完成后,使用启动命令即可看到面板的提示:
1 | S-UI Admin Management Script |
请根据自己的需求结合面板提供的功能进行选择。主要用到的功能为编号9和编号10的面板信息修改和查看。
3.2 防火墙
因服务器长期暴漏于公网,有一定被攻击的风险,所以建议读者使用防火墙来保护服务器的安全,不建议裸奔。我建议使用ufw防火墙,如有其他防火墙(比如iptables)请自行关闭,使用apt或yum等包管理工具下载ufw等防火墙使用。
在防火墙安装并开启后(允许运行和开机自启)请放行面板的访问端口和订阅端口等
- 22
- 面板端口
- 订阅端口
在后面的节点创建中每个节点的端口都要在防火墙放行,不然流量被阻断无法通信
3.3 核心配置
此处将会需要对面板的【TLS设置】、【入站管理】、【用户管理】三部分进行配置。
因为面板将整套流程划分成了三部分,与X-UI面板的配置逻辑大相径庭。【TLS设置】作为节点搭建的基础,将tls信息作为模板存储起来。【入站管理】负责添加节点,此处可以选择节点的协议(只建议使用Hysteria2),直接将【TLS设置】部分设置的tls模板作为节点加密和附加协议的可选项目。【用户管理】则是添加使用节点的账户,这里可以指定哪个账户可以使用哪些节点,每个账户拥有一个订阅链接,用于给用户划分不同的节点。同时也可以限制用户流量和系欸但的带宽。
3.3.1 TLS设置
- 随意添加一个名称
- 选择TLS
- 打开
允许不安全
- 打开
- 点击钥匙生成证书
- 展开tls选项
- 打开
SNI和ALPN
- 打开
- 打开
uTLS
- 打开
SNI处填写一个SNI回落域名,请在以下域名内选择一个填进去
2
3
4
5
6
7
8
snap.licdn.com
devblogs.microsoft.com
cdn.bizibly.com
www.apple.com
ts1.tc.mm.bing.net
fpinit.itunes.apple.com
go.microsoft.com
###填写完后点击保存即可。若要创建多个不同SNI的配置,请按以上步骤重复添加###
Reality部分这里只添加一张图,就不细说了。因为reality会明显拉低节点速度,且对于各位的便宜VPS来说网速简直等于重回2G时代。
3.3.2 入站管理
- 类型必须选择
Hysteria2
- 类型必须选择
- 节点名称随意
- 该端口为随机端口,在防火墙放行
- 限制带宽,自行添加,不要小于100
- 允许全部用户使用
- 选择之前在【TLS设置】中创建的非Reality模板,建议多添加几个节点切换使用。
注意,每一个节点都会占用一个端口,在添加节点时都必须在防火墙放行该节点占用的端口
3.3.3 用户管理
随意添加一个用户,在入站标签中为该用户勾选所有的节点,勾选哪个节点该用户就能用哪些节点,未勾选的节点该用户是不可以使用的。添加多个用户的作用是为不同的账户分配不同的节点以及节点的到期时间和流量。
每个账户都可以有一个订阅链接,用户可以根据订阅链接添加该用户可使用的所有节点,也可以使用扫码的方式添加该节点。
点击用户对应的二维码即可查看订阅链接和单个节点的二维码(前提是你的订阅链接端口已经打开)
注意:要想成功订阅就必须在防火墙放行订阅服务所在的端口
最后,假如担心服务器会被攻击,可以在节点搭建完成且导入成功后使用防火墙关闭订阅端口和面板端口。
4. 进阶–WARP分流
经测试,S-UI也是可以通过warp进行分流的,分流的对象包括域名和IP和关键字匹配等方式,本节以精准域名匹配做测试。
前提是你已经安装好warp并配置其模式为proxy,开启4000端口的socks服务,具体配置方法参加博客的其它内容。
4.1 出站管理
出站管理部分按图示填入:
- 协议选择
SOCKS - 服务器地址填
127.0.0.1 - 标签填
warp - 服务器端口填
40000
4.2 路由列表
首先点击添加规则,将【逻辑】打开,根据提示操作
- 操作改为Route
- 出站选择前一步设置的warp
- 规则选项可以选择命中形式,这里选择域名和IP
- 第5步选择domain
- 绿色框内填入你想被warp代理的网站,只保留网站的后半部分,比如google你就填
google.com,chatgpt你就填chatgpt.com,多个域名的话请注意使用英文逗号将其隔开 
- 随后点击路由列表上面显示的【保存】即可生效
后面如有需要,可以手动添加走warp的网站或ip等
4.3 检验
