stackli Hexo https://stackli.me/ All rights reserved 2026, stackli 上下求索 栈里 2026-06-02T00:00:58.014Z stackli 最近看了一段话,心有感悟,摘抄于此:

柏拉图在《理想国》中探讨过一个问题:一个曾经走出洞穴、见过真正太阳的人,如果再被强行拉回黑暗的洞穴里,去和那些一辈子对着墙壁上的倒影狂欢的囚徒生活在一起,他所经历的痛苦,将是未曾见过光明的人所无法想象的。

高中时代,在一位同学的介绍下,开始了解到了翻墙,打开了一个新世界的大门,原来这世上还存在另外一个很多人不知道的网络世界。学生时代没有钱,用的还是无界自由门。虽然一打开软件就会跳转的一些特别的网站,但念在免费,也能够接受。那个时候没有自己的电脑,只能把软件保存在U盘中,等到去网吧或者学校机房时,就临时安装再使用。

上了大学之后,这些免费的翻墙软件就慢慢变得不好用了,又从一位同学那里了解到了GoAgent。 时间过去了太久,已经不记得GoAgent是怎么搭建了,只记得它是部署在google云上的,并且也可以免费使用。每次要翻墙之前,就通过终端打开GoAgent,然后在浏览器中配置代理就可以畅游了。至于翻墙工具的原理,当时我是完全不清楚的,都是照着一些教程一点一点配置。

再到后来,慢慢了解了翻墙的一些原理,但也仅限于知道它是通过代理实现的。GoAgent不好用之后,就知道了可以自己搭建代理。就在搬瓦工上买了一个VPS,使用它的面板一键搭建了ShadowSocks。比较穷,还是和朋友合用的,虽然要付费,但上网的速度确实觉得这钱花得值。好景不长,有一天这个vps服务器的ip再也无法访问了,可能是没有配置混淆,但当时不知道原因。

工作之后,又陆续购买了一些翻墙服务,前后断断续续的使用。 而且我记得是用了一个chrome插件, 每次遇到无法访问的页面,需要打开控制台,找到无法访问的域名,将域名配置到插件中。虽然可以使用,但用着还挺麻烦的。

后来,在一位同事的介绍下,了解到了机场,这下又打开了新世界的大门,原来翻墙还可以随心所欲。手机上、电脑上,乃至后面在路由器上都安装上了翻墙软件,自由地访问网络世界。对于机场主,我从内心是钦佩的,虽然赚了钱,但同时也冒着法律风险。我想他们就是我们这个时代的普罗米修斯吧,给我们带来了网络自由的火种。

但是在最近一段时间,机场也越来越不好用了。习惯了自由的网络,无法访问外网时,感觉被关进了笼子了。现在我的机场还在不断更新,也购买了备用机场,但内心也充满焦虑,不知道哪天那堵墙彻底封死,再也无法翻越。

我本可以忍受黑暗,如果我不曾见过光明。

]]> https://stackli.me/posts/2026/light-to-dark 2026-05-15T09:54:23.000Z 最近看了一段话,心有感悟,摘抄于此:

柏拉图在《理想国》中探讨过一个问题:一个曾经走出洞穴、见过真正太阳的人,如果再被强行拉回黑暗的洞穴里,去和那些一辈子对着墙壁上的倒影狂欢的囚徒生活在一起,他所经历的痛苦,将是未曾见过光明的人所无法]]>

我本可以忍受黑暗,如果我不曾见过光明 -- 我的科学上网史 2026-06-02T00:00:58.014Z stackli 自从开始ai coding之后,工作时有了更多的空闲时间。正好最近也在用ai coding做一些个人项目,我就在想能不能在工作时间偶尔摸摸鱼,看看ai coding的运行情况。刚好看到opencode有web能力,可以通过浏览器访问,而家里有一台一直开机的nas。一拍即合,那就在nas上搭建一个opencode开发环境

准备工作

Dockerfile

opencode本身是直接支持通过docker安装的,但是开发时我们需要使用的git等工具,在官方的镜像中是没有包含的,因此我们需要自己创建一个Docker镜像,将需要用到的工具打包到镜像中去

1
2
FROM ghcr.io/anomalyco/opencode:latest
RUN apk add --no-cache git openssh-client

docker-compose.yaml

创建一个docker-compose文件,端口根据需要进行修改。environment中的相关环境变量,放到.env 文件中,.env文件和docker-compose.yaml文件在同一个目录中。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
services:
  opencode:
    build:
      context: .
      dockerfile: Dockerfile.opencode
    container_name: opencode
    ports:
      - "4096:4096"
    environment:
      - OPENCODE_SERVER_PASSWORD=${OPENCODE_SERVER_PASSWORD}
      - OPENCODE_SERVER_USERNAME=${OPENCODE_SERVER_USERNAME}
      - GIT_AUTHOR_NAME=${GIT_AUTHOR_NAME}
      - GIT_AUTHOR_EMAIL=${GIT_AUTHOR_EMAIL}
      - GIT_COMMITTER_NAME=${GIT_COMMITTER_NAME}
      - GIT_COMMITTER_EMAIL=${GIT_COMMITTER_EMAIL}
    volumes:
      - ./.root:/root/
      - ./workspace:/workspace
    working_dir: /workspace
    command: ["web", "--hostname", "0.0.0.0", "--port", "4096"]
    restart: unless-stopped

.env文件

环境变量配置模板如下

1
2
3
4
5
6
OPENCODE_SERVER_USERNAME=opencode
OPENCODE_SERVER_PASSWORD=xxxx
GIT_AUTHOR_NAME=<username>
GIT_AUTHOR_EMAIL=<email>
GIT_COMMITTER_NAME=<username>
GIT_COMMITTER_EMAIL=<email>

OpenCode启动与验证

在nas上完成上一步的准备工作后,启动docker, 通过 4096 端口就可以访问opencode的web服务。按照opencode官方文档进行大模型接入配置,就可以快乐开始vibe coding了。
OpenCode界面

Git配置

进行git配置前需要进入docker容器。

SSH配置

  1. 创建ssh key: ssh-keygen -t ed25519 -C "email@example.com" , 其中 passphrase 可以直接留空
  2. 将生成的公钥, 文件以.pub结尾,配置到github: Setting -> SSH and GPG keys 页面中的SSH keys. Key Type为Authentication Key
  3. 尝试通过ssh来clone一下仓库,验证配置的正确性

commit签名配置

github支持ssh签名和gpg签名,其中ssh签名配置比较简单,我也选择使用了ssh签名

  1. 创建ssh key: ssh-keygen -t ed25519 -C "email@example.com" , 其中 passphrase 可以直接留空, 注意文件名修改下,不要和ssh登录的文件名相同,否则会覆盖之前生成的key。 这里我们命名为 sign_ed25519
  2. 将生成的公钥, 文件以.pub结尾,配置到github: Setting -> SSH and GPG keys 页面中的SSH keys. Key Type为Signing Key
  3. 开启commit加签配置
    1. git config --global user.signingkey ~/.ssh/sign_ed25519.pub
    2. git config --global user.signingkey
    3. git config --global commit.gpgsign true
  4. 尝试做一个提交验证配置的正确性,在github上查看commit是否有签名

如此,再利用内网穿透,就可以在上班的时候打开浏览器,随时看下ai打工人的进度啦

]]> https://stackli.me/posts/2026/opencode-web-on-nas 2026-05-08T12:47:10.000Z 自从开始ai coding之后,工作时有了更多的空闲时间。正好最近也在用ai coding做一些个人项目,我就在想能不能在工作时间偶尔摸摸鱼,看看ai coding的运行情况。刚好看到opencode有web能力,可以通过浏览器访问,而家里有一台一直开机的nas。一拍即合,那就在nas上搭建一个opencode开发环境

]]> 上班摸鱼之在NAS上使用OpenCode搭建AI Coding环境 2026-06-02T00:00:58.014Z stackli 购买VPS之后,为了便于日常访问,服务器的22端口通常是针对公网开放的。如果你只设置了密码登录,那你的VPS就处于被爆破的风险之中。使用密钥登录虽然能提升安全性,但是密钥保存在某一台设备中,我们更换设备会比较麻烦。因此本文就介绍了一种使用TOTP进行2FA的登录验证方式,即保证了安全性,也不丢失便捷性。

这种方式登录流程为:
先输入系统账号密码 → 再输入手机 Google Authenticator 显示的 6 位验证码 → 登录成功。

准备工作:

  • 一台VPS服务器
  • 在手机上安装Google Authenticator软件
重要提醒:

配置过程中不要关闭当前的 SSH 窗口,以防配置错误把自己锁在外面。建议先在测试服务器上验证。

Authenticator PAM 模块安装

Ubuntu / Debian:

1
2
sudo apt update
sudo apt install libpam-google-authenticator -y

CentOS / RHEL / Rocky / AlmaLinux / Fedora:

1
2
sudo dnf install epel-release -y
sudo dnf install google-authenticator -y

为用户生成 TOTP 密钥

必须以要登录的用户身份执行

切换到需要启用 2FA 的普通用户(强烈建议不要对 root 用户做此操作):

1
2
su - yourusername
google-authenticator

按以下流程进行:

  1. Do you want authentication tokens to be time-based (y/n) → 输入: y
  2. 屏幕上会出现一个二维码,用手机 Google Authenticator App 扫描添加账户
  3. 输入Google Authenticator中的验证码
  4. 会生成5 个紧急恢复码(scratch codes) —— 立即复制保存到安全地方(手机丢失时使用),也会保存在用户家目录:~/.google_authenticator

后续问答推荐按下面进行

  • Update the .google_authenticator file? → y
  • Disallow multiple uses of the same authentication token? → y
  • Increase the time skew window? → n(或根据需要)
  • Do you want to enable rate-limiting? → y

配置 PAM 模块

编辑 SSH 的 PAM 配置文件:

1
sudo vim /etc/pam.d/sshd

在文件最顶部添加以下一行(推荐放在最前面):

1
2
auth required pam_unix.so nullok try_first_pass
auth required pam_google_authenticator.so nullok
  • nullok 表示:如果用户还没有生成 .google_authenticator 文件,则只用密码也能登录(初期设置时非常有用)。全部用户配置完成后,建议删除 nullok 以强制要求 2FA。
  • 注意以上两行的顺序,和登录时输入密码和TOTP的顺序有关

保存退出。

配置 SSH 服务(sshd_config)

编辑配置文件(推荐新建独立配置文件,避免覆盖系统默认):

1
sudo vim /etc/ssh/sshd_config.d/2fa.conf

(如果你的系统没有 sshd_config.d/ 目录,可直接编辑 /etc/ssh/sshd_config

添加以下内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# 启用键盘交互认证(用于输入密码和 TOTP)
KbdInteractiveAuthentication yes

# 启用 PAM
UsePAM yes

# 强制使用 keyboard-interactive(这样会先走密码,再走 TOTP)
AuthenticationMethods keyboard-interactive

# 禁用直接密码认证(防止绕过 keyboard-interactive)
PasswordAuthentication no

# 推荐禁用 root 直接登录
PermitRootLogin no

# 建议开启公钥认证(即使不强制使用,也可留作备用)
PubkeyAuthentication yes

说明

  • KbdInteractiveAuthentication yes(新版 OpenSSH 推荐,旧版可使用 ChallengeResponseAuthentication yes
  • AuthenticationMethods keyboard-interactive 是关键,确保整个认证过程走 PAM,从而依次提示密码 + TOTP。

测试配置语法是否正确:

1
sudo sshd -t

重启 SSH 服务

1
sudo systemctl restart sshd

测试登录

从另一台电脑/终端测试:

1
ssh yourusername@your-server-ip

预期登录流程:

  1. 输入 系统登录密码
  2. 提示 Verification code:(或类似),输入手机 App 当前显示的 6 位 TOTP 验证码
  3. 登录成功

常见问题处理

  • 时间不同步:服务器时间必须与手机同步。建议安装 chrony 或 ntp:

    1
    2
    3
    4
    sudo apt install chrony -y   # Ubuntu
    # 或
    sudo dnf install chrony -y   # RHEL系
    sudo systemctl enable --now chronyd

  • 登录失败(Permission denied):检查 sshd -t 是否报错,查看 /var/log/auth.log/var/log/secure 日志。

  • 想临时允许未设置 2FA 的用户:保留 nullok

  • 强制所有用户必须用 2FA:把 PAM 行改为 auth required pam_google_authenticator.so(去掉 nullok)。

  • 同时支持公钥 + 密码 + 2FA(更灵活,但安全性稍低):把 AuthenticationMethods 改成:

    1
    AuthenticationMethods publickey,password publickey,keyboard-interactive keyboard-interactive

    并把 PasswordAuthentication yes

配置完成后,建议:

  • 保存好紧急恢复码
  • 测试多次成功后,再从其他地方尝试登录
  • 定期备份 ~/.google_authenticator 文件
]]> https://stackli.me/posts/2026/ssh-2fa-config 2026-04-10T11:40:22.000Z 购买VPS之后,为了便于日常访问,服务器的22端口通常是针对公网开放的。如果你只设置了密码登录,那你的VPS就处于被爆破的风险之中。使用密钥登录虽然能提升安全性,但是密钥保存在某一台设备中,我们更换设备会比较麻烦。因此本文就介绍了一种使用TOTP进行2FA的登录验证方式,即保证了安全性,也不丢失便捷性。

这种方式登录流程为:
先输入系统账号密码 → 再输入手机 Google Authenticator 显示的 6 位验证码 → 登录成功。

]]> 给SSH配置2FA登录认证,和黑客说拜拜 2026-06-02T00:00:58.014Z stackli 在之前的文章Tailscale子网路由部署中介绍了如何使用子路由来访问没有安装tailscale的设备,这个功能用到了系统的流量转发能力,即把流量转发给子网的机器。tailscale除了子网路由功能,还有一种功能是出口节点功能,即把流量转发给外部。

举一个我们经常会用到的场景。在这么一个网络环境中,家里的设备希望访问google.com, 由于某些原因,网络无法直接访问。但是我们有一台处于境外的VPS,可以直接访问到google.com。这时,我们可以将这个VPS加入tailscale节点,并设置为Exit Node, 那么网络中的其他设备就可以将这个VPS节点作为Exit Node,所有的流量都会发送到这个Exit Node, 再由Exit Node转发到目标服务器。
20260325_tailnet_exit_node

除了这个场景,Exit Node还能起到隐私保护,流量安全等不敌

部署步骤

关于如何安装tailscale,请参考Headscale搭建过程实录

开启转发功能

开启转发功能,可以参考: Tailscale子网路由部署

重启tailscale服务开启Exit Node

如果你是自己部署的headscale服务,使用命令:

1
2
# 192.168.0.0/24 需要根据实际情况修改
tailscale up --advertise-exit-node --login-server=https://hs.example.com

如果是使用tailscale官方服务,使用命令:

1
2
# 192.168.0.0/24 需要根据实际情况修改
tailscale up --advertise-exit-node

在网页批准子网路由

连接成功后,进入对应节点的配置页面,点击“编辑”:
20260325_tailscale_exit_approve
然后Approve并保存,就成功开启了Exit Node~~

验证

在任意一台开启tailsale的设备中,选择对应的Exit Node并启动连接,尝试进行访问
20260325_tailscale_exit_client

]]> https://stackli.me/posts/2026/tailscale-exit-node 2026-03-25T11:56:10.000Z 在之前的文章Tailscale子网路由部署中介绍了如何使用子路由来访问没有安装tailscale的设备,这个功能用到了系统的流量转发能力,即把流量转发给子网的机器。tailscale除了子网路由功能,还有一种功能是出口节点功能,即把流量转发给外部。

]]> Tailscale出口节点(Exit Node)配置 2026-06-02T00:00:58.014Z stackli 在之前的文章Headscale搭建过程实录中我们介绍了如何搭建一个Headscale服务,并成功将Tailscale加入到Headscale中。安装了Tailscale并成功接入的设备,可以像局域网一样互相访问。
但是在我们的家中,不是每一台设备都是可以安装Tailscale的,这时就需要用到Tailscale的子网路由功能了。

这是一张来自官网的示意图,可以帮助我们快速了解什么是子网路由:
20260322_tailscale_subnet_router
在图中,左边是加入了tailscale网络的节点,右边是另外的一个独立子网。在子网中,我们挑选一台设备安装tailscale,并开启子网路由功能。那么已经加入tailscale的其他设备(图左),就可以直接使用子网的机器ip,例如192.168.0.2,进行直接访问。

部署步骤

关于如何安装tailscale,请参考Headscale搭建过程实录

开启转发功能

1
2
3
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

如果没有/etc/sysctl.d目录,则执行:

1
2
3
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf
我用的是alpine系统,重启之后,forward可能会失效。

需要使用命令rc-update add sysctl boot启用sysctl服务

重启tailscale服务并广播子网

如果你是自己部署的headscale服务,使用命令:

1
2
# 192.168.0.0/24 需要根据实际情况修改
tailscale up --accept-routes --advertise-routes=192.168.0.0/24 --login-server=https://hs.example.com

如果是使用tailscale官方服务,使用命令:

1
2
# 192.168.0.0/24 需要根据实际情况修改
tailscale up --advertise-routes=192.168.1.0/24 --accept-routes

在网页批准子网路由

连接成功后,进入对应节点的配置页面,点击“编辑”:
20260322_plane_machine
然后Approve并保存:
20260322_plane_subnet_route_approve
就成功开启了子网路由~~

验证

在任意一台开启tailsale的设备中,直接ping子网中的机器ip,例如192.168.0.2。如果能正常受到响应,则说明子网路由成功。

]]> https://stackli.me/posts/2026/tailscale-subnet 2026-03-22T09:31:45.000Z 在之前的文章Headscale搭建过程实录中我们介绍了如何搭建一个Headscale服务,并成功将Tailscale加入到Headscale中。安装了Tailscale并成功接入的设备,可以像局域网一样互相访问。
但是在我们的家中,不是每一台设备都是可以安装Tailscale的,这时就需要用到Tailscale的子网路由功能了。

]]> Tailscale子网路由(Subnet routers)部署 2026-06-02T00:00:58.014Z stackli 如果你有一个NAS,或者有一个家庭服务器,你一定想过如果能够随时随地访问到家里的网络。也许你有一个云服务器,不希望暴露ssh端口到公网。
tailscale/headscale就能实现我们这个需求,接入的设备可以像内网一样,轻松实现互相访问。其中tailscale需要依赖tailscale官方提供的元数据服务,负责协调和管理网络。而headscale则是其开源实现,我们使用headscale来实现完全自主的私有内容。
本文就介绍了使用headscale搭建一个完全自主的私有内网,并使用Caddy作为反向代理,实现域名解析和端口转发。

部署架构

目录结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
/opt/
├── caddy/
│   ├── docker-compose.yml
│   ├── Caddyfile
│   ├── data/                  # 证书等持久数据(自动生成)
│   └── config/                # Caddy 运行时配置(自动生成)

└── headscale/
    ├── docker-compose.yml
    ├── headscale/
    │   ├── config/
    │   │   └── config.yaml
    │   └── data/              # db、私钥等持久数据
    └── headplane/
        └── config/
            └── config.yaml

网络架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
                        Internet

               ┌────────────┼────────────┐
           TCP 80/443    UDP 3478    UDP 41641
               │             │            │
               ▼             │            │
            Caddy            │            │
               │             │            │
       ┌───────┴───────┐     │            │
       │               │     │            │
  hs.example.com  hp.example.com          │
       │               │                  │
       ▼               ▼                  │
  headscale:8080  headplane:3000          │
       │                                  │
       └──────── headscale:3478 ◄─────────┘
                 headscale:41641◄─────────┘

Docker 网络:
  caddy-net     : caddy ↔ headscale ↔ headplane
  headscale-net : headscale ↔ headplane 内部通信

域名

域名用途
hs.example.comHeadscale 主服务 + 内置 DERP
hp.example.comHeadplane 管理面板

服务器防火墙端口

端口协议用途对外开放
80TCPHTTP / ACME 证书验证
443TCPHTTPS 入口
443UDPHTTP/3
3478UDPDERP STUN
41641UDPDERP 直连备用

初始化

初始化目录

1
2
3
mkdir -p /opt/caddy/{data,config}
mkdir -p /opt/headscale/headscale/{config,data}
mkdir -p /opt/headscale/headplane/config

初始化网络

1
docker network create caddy-net

配置文件

headscale配置文件

docker-compose
headscale配置
headplane配置

路径: /opt/headscale/docker-compose.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
networks:
  headscale-net:
    name: headscale-net
    driver: bridge
  caddy-net:
    external: true

services:
  headscale:
    image: ghcr.io/juanfont/headscale:latest
    container_name: headscale
    restart: unless-stopped
    command: serve
    volumes:
      - ./headscale/config:/etc/headscale:ro
      - ./headscale/data:/var/lib/headscale
    ports:
      - "3478:3478/udp"
      - "41641:41641/udp"
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv6.conf.all.forwarding=1
    networks:
      - headscale-net
      - caddy-net
    healthcheck:
      test: ["CMD", "headscale", "health"]
      interval: 30s
      timeout: 10s
      retries: 3
      start_period: 10s

  headplane:
    image: ghcr.io/tale/headplane:latest
    container_name: headplane
    restart: unless-stopped
    depends_on:
      headscale:
        condition: service_healthy
    volumes:
      - ./headplane/config:/etc/headplane:ro
      - ./headscale/config/config.yaml:/etc/headscale/config.yaml:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
    environment:
      - HEADSCALE_URL=http://headscale:8080
      - HEADSCALE_INTEGRATION=docker
      - HEADSCALE_CONTAINER=headscale
    networks:
      - headscale-net
      - caddy-net

路径: /opt/headscale/headscale/config/config.yaml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
server_url: https://hs.example.com

listen_addr: 0.0.0.0:8080
metrics_listen_addr: 0.0.0.0:9090
grpc_listen_addr: 0.0.0.0:50443
grpc_allow_insecure: true

tls_cert_path: ""
tls_key_path: ""

noise:
  private_key_path: /var/lib/headscale/noise_private_key

prefixes:
  v4: 100.64.0.0/10
  v6: fd7a:115c:a1e0::/48
  allocation: sequential

derp:
  server:
    enabled: true
    region_id: 999
    region_code: "custom"
    region_name: "Custom DERP"
    stun_listen_addr: "0.0.0.0:3478"
    private_key_path: /var/lib/headscale/derp_server_private_key
  urls: []
  paths: []
  auto_update_enabled: false
  update_frequency: 24h

database:
  type: sqlite
  sqlite:
    path: /var/lib/headscale/db.sqlite

dns:
  magic_dns: true
  base_domain: ts.example.com
  nameservers:
    global:
      - 1.1.1.1
      - 8.8.8.8

policy:
  mode: database

log:
  level: info
  format: text

disable_check_updates: true
ephemeral_node_inactivity_timeout: 30m
node_update_check_interval: 10s

路径: /opt/headscale/headplane/config/config.yaml

1
2
3
4
5
6
7
8
9
10
11
server:
  host: 0.0.0.0
  port: 3000
  # 随机生成一个 64 位字符串
  cookie_secret: "your-random-secret-string-at-least-32-chars!!"

headscale:
  url: https://hs.example.com
  grpc_url: http://headscale:50443
  config_strict: false

Caddy配置

docker-compose
Caddyfile

路径: /opt/caddy/docker-compose.yml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
networks:
  caddy-net:
    external: true

services:
  caddy:
    image: caddy:latest
    container_name: caddy
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
      - "443:443/udp"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile:ro
      - ./data:/data
      - ./config:/config
    networks:
      - caddy-net

路径: /opt/caddy/Caddyfile

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
{
    email mail@example.com
    log {
        level INFO
    }
}

hs.example.com {
    log {
        output file /data/logs/headscale.log {
            roll_size 50mb
            roll_keep 5
        }
    }

    reverse_proxy headscale:8080 {
        header_up Host {host}
        header_up X-Real-IP {remote_host}
        header_up X-Forwarded-For {remote_host}
        header_up X-Forwarded-Proto {scheme}
        transport http {
            keepalive 30s
            keepalive_idle_conns 10
        }
    }
}

hp.example.com {
    log {
        output file /data/logs/headplane.log {
            roll_size 20mb
            roll_keep 5
        }
    }

    reverse_proxy headplane:3000 {
        header_up Host {host}
        header_up X-Real-IP {remote_host}
        header_up X-Forwarded-For {remote_host}
        header_up X-Forwarded-Proto {scheme}
    }
}

部署步骤

Step 1:配置域名解析

1
2
hs.example.com  →  A  →  <服务器公网IP>
hp.example.com  →  A  →  <服务器公网IP>

Step 2:开放防火墙端口

如果你的服务器部署在云上,则需要到对应的功能页面开启,无需执行下列命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# Ubuntu/Debian (ufw)
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 443/udp
ufw allow 3478/udp
ufw allow 41641/udp
ufw reload

# CentOS/Rocky (firewalld)
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=443/udp
firewall-cmd --permanent --add-port=3478/udp
firewall-cmd --permanent --add-port=41641/udp
firewall-cmd --reload

Step 3:启动 Headscale 服务

1
2
3
4
5
6
7
cd /opt/headscale
docker compose up -d

# 查看启动日志
docker compose logs -f headscale
# 等待 healthy 后查看 headplane
docker compose logs -f headplane

Step 4:启动 Caddy

1
2
3
4
5
6
7
8
9
# 创建日志目录
mkdir -p /opt/caddy/data/logs

cd /opt/caddy
docker compose up -d

# 验证
docker compose ps
docker network ls | grep caddy-net

也可通过页面进行验证,访问: https://hs.example.com/health

Step 5:生成 API Key 并配置 Headplane

1
2
# 生成 API Key
docker exec headscale headscale apikeys create --expiration 9999d

得到一个apiKey

访问https://hp.example.com/admin, 可以看到下面的页面
20260320_headplane_login

输入刚刚生成的apiKey,就可以进入页面
20260320_headplane_admin

Step 6:创建用户

1
docker exec headscale headscale users create myuser

这一步也可以在headplane页面的页面上创建
20260321_headplane_user

客户端接入

客户端安装

MacOs:

1
2
brew install  tailscale
sudo tailscaled

Linux:

1
curl -fsSL https://tailscale.com/install.sh | sh

节点接入

接入方式一:预授权方式接入

  1. 服务端生成预授权key
1
2
3
4
docker exec headscale headscale preauthkeys create \
    --user myuser_id \
    --reusable \
    --expiration 90d

注意这里的myuser_id, 是之前创建的用户的id, 可以通过命令docker exec headscale headscale nodes list查看

也可以在页面生成
20260321_headplane_auth_key

  1. 在客户端执行以下命令
1
2
3
sudo tailscale up \
    --login-server=https://hs.example.com \
    --authkey=<预授权key>

方式二:交互式登录

1
2
sudo tailscale up --login-server=https://hs.example.com
# 按提示在浏览器完成授权

日常运维

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# 查看所有节点
docker exec headscale headscale nodes list

# 查看所有用户
docker exec headscale headscale users list

# 查看路由
docker exec headscale headscale routes list

# 更新镜像
cd /opt/caddy && docker compose pull && docker compose up -d
cd /opt/headscale && docker compose pull && docker compose up -d

# 查看实时日志
docker compose logs -f headscale
docker compose logs -f headplane
docker logs caddy -f
]]> https://stackli.me/posts/2026/headscale-deploy 2026-03-19T14:40:51.000Z 如果你有一个NAS,或者有一个家庭服务器,你一定想过如果能够随时随地访问到家里的网络。也许你有一个云服务器,不希望暴露ssh端口到公网。
tailscale/headscale就能实现我们这个需求,接入的设备可以像内网一样,轻松实现互相访问。其中tailscale需要依赖tailscale官方提供的元数据服务,负责协调和管理网络。而headscale则是其开源实现,我们使用headscale来实现完全自主的私有内容。
本文就介绍了使用headscale搭建一个完全自主的私有内网,并使用Caddy作为反向代理,实现域名解析和端口转发。

]]> Headscale搭建过程实录 2026-06-02T00:00:58.014Z stackli 自从采用hexo写博客之后,遇到需要保存截图的地方,就比较繁琐。按照正常的流程,需要

  1. 使用截图软件的快捷键进行截图,这一步挺快
  2. 保存截图到指定的目录,选目录就比较麻烦
  3. 修改文件名,这一步也挺麻烦
  4. 将图片路径插入到markdown中去,这一步最麻烦,需要组装完整的访问路径。

之前买了Alfred Powerpack,支持自定义工作流,我在想能不能使用Alfre,自定义一个工作流,来实现我的需求。
花了不到半个小时,在AI的加持下,就实现了一个自定义截图工作流:

  1. 使用截图软件截图,图片会保存到剪贴板中
  2. 输入Alfred命令,将剪贴板中的图片保存到指定目录中,并在剪切板中保存markdown的图片路径格式,类似![20260315_dog0](/static/image/2026/20260315_dog0.png)
  3. 将图片路径粘贴到markdown对应的位置,搞定

我把这个工作流命名为blmg(blog image),有以下功能:

  • 可以自定义图片名,如果不输入图片名,则使用 yyyyMMdd_<随机4位字符串> 作为文件名
  • 文件父路径为 yyyyMMdd,这样按年归档,便于管理
  • 图片会进行压缩,减少上传体积

如果后期需要扩展,还可以添加其他功能,比如自动上传图片到图床等。

工作流:
20260315_alfred_clip_workflow

其中的脚本如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
#!/bin/bash

input="$1"

# 博客静态目录
base_dir="/Users/liqiao/Devlopment/blog/source/static/image"
year=$(date +%Y)
date_str=$(date +%Y%m%d)

target_dir="$base_dir/$year"
markdown_path="/static/image/$year"

mkdir -p "$target_dir"

# 文件名前缀
if [ -z "$input" ]; then
    rand=$(LC_ALL=C tr -dc a-z0-9 </dev/urandom | head -c 4)
    filename="${date_str}_${rand}"
else
    filename="${date_str}_$input"
fi

file_path="$target_dir/$filename.png"

# ---- 保存剪贴板图片 ----
tmp_file=$(mktemp /tmp/clip_XXXX.png)
osascript -e 'try
    set theImage to the clipboard as «class PNGf»
    set thePath to POSIX file "'"$tmp_file"'" as text
    set theFile to open for access file thePath with write permission
    set eof of theFile to 0
    write theImage to theFile
    close access theFile
on error errMsg
    error errMsg
end try'

if [ ! -f "$tmp_file" ]; then
    echo "Clipboard image save failed"
    exit 1
fi

mv "$tmp_file" "$file_path"

# PNG 压缩(可选)
if command -v pngquant >/dev/null 2>&1; then
    pngquant --force --output "$file_path" "$file_path"
fi

# 文件大小
filesize=$(du -h "$file_path" | awk '{print $1}')

# 生成 Markdown 并复制
markdown="![$filename]($markdown_path/$filename.png)"
echo "$markdown" | pbcopy
echo "$markdown"

# ---- 输出通知内容(Post Notification 使用) ----
# 单行,显示文件名 + 文件大小
echo "$filename ($filesize)"
]]> https://stackli.me/posts/2026/alfred-clip-flow 2026-03-15T10:48:30.000Z 自从采用hexo写博客之后,遇到需要保存截图的地方,就比较繁琐。按照正常的流程,需要

  1. 使用截图软件的快捷键进行截图,这一步挺快
  2. 保存截图到指定的目录,选目录就比较麻烦
  3. 修改文件名,这一步也挺麻烦
 自定义Alfred截图工作流 2026-06-02T00:00:58.014Z stackli

本文摘录于知乎: https://www.zhihu.com/question/1976120753834443272/answer/1999158496474707591

阅读的绝大部分意义,恰恰就在于把你读过的东西忘掉。

如果你读完一本书,能把里面的情节、人物、金句记得只字不差,那你不是在阅读,你是在把自己的大脑当成一个低级的移动硬盘。

在2026年的今天,任何一个植入了本地大模型的手机都能比你记得更清楚、更准确。如果人类还要和硅基生物比拼记忆力,那不仅是愚蠢,更是进化的倒退。

很多人对阅读的理解,至今还停留在科举时代的记诵之学。觉得我背下来了,这就是我的知识。这完全是农耕文明的思维惯性。在信息匮乏的年代,占有信息本身就是一种权力。但在今天,信息是过载的,记忆是廉价的。

真正的阅读,是一场对大脑皮层的暴力重塑。

当你读一本关于宏观经济的书,你忘记了具体的GDP数据,忘记了某个年份的通胀率,但你留下了一种思维定式:你会开始关注周期,你会理解供需关系如何决定价格,你会在看到新闻里的政策调整时,下意识推演它对资产价格的影响。这种下意识的推演,就是所谓的直觉。

这种直觉从何而来?

它来自于你读过的书在你的大脑里经过咀嚼、消化、吸收,最后剩下来的残渣。这些残渣不再是文字,而是变成了你的神经突触,变成了你的认知结构,变成了你思考问题的默认路径。

你忘记了书的内容,是因为内容已经被拆解成了构建你认知大厦的砖瓦。你见过谁盖好了房子,还把当初的砖头编号记得清清楚楚吗?

从脑科学的底层逻辑来看,人类的大脑本质上是一个极其吝啬的能量管理者。它无时无刻不在试图节能。记忆复杂的非生存必要信息,对原始大脑来说是一种浪费。所以,

遗忘是生物进化的自我保护机制,是极其高级的功能。

如果一个人什么都忘不掉,他的大脑会迅速崩溃。

阅读的过程,就是你利用前额叶皮层去强行压制原始大脑的懒惰。你在阅读复杂文本时,大脑必须进行高强度逻辑运算、抽象思维和情景模拟。这是一场高强度的思维体操。

哪怕你读完就忘,在阅读的那几个小时里,你的大脑神经元进行了数以亿计的连接重组。你的逻辑推演能力变强了,你的专注时长拉长了,你对复杂信息的耐受度提高了。

这就是为什么长期阅读的人,在处理突发危机时往往更冷静。因为他们的思维带宽已经被撑大了,他们习惯处理高维复杂信息。

现在社会上充斥着一种反智论调,说读书无用,不如去搞钱。

说这种话的人,往往利用“幸存者偏差”,用个别辍学发财的案例,否定人类几千年积累的智慧传承。

未来社会只有两种人:

  • 给算法提供数据的耗材
  • 利用算法做决策的人

你以为你忘了那些书?不,那些书让你拥有识别胡说八道的能力。

这种判断力与洞察力,需要大量深度阅读,去不断打磨你的认知颗粒度。

很多人说读不下去,读了就困。

这很正常。因为优质内容往往反人性。人性喜欢简单、确定、即时满足;好书往往复杂、模糊、需要延迟满足。

当你强迫自己读一本困难的哲学或社科书时,你在对抗本能。这种对抗,本身就是成长。

阅读还能拓展生命体验的边界。

如果不读书,你只能活一辈子;通过阅读,你可以体验一百种人生。

你读历史,看见帝国兴衰;
你读文学,看见人性幽暗;
你读哲学,看见思想边界。

这些不会立刻变成银行卡数字,但它决定你在人生重大抉择时,是随波逐流,还是走出自己的路。

我甚至认为,忘记是阅读的一部分。

如果一本书你读完细节都记得,那可能只是复习已知内容。真正的好书会打碎旧认知,让你短暂茫然。

这种茫然,就是成长的阵痛。

那些能穿越周期、在危机中屹立不倒的人,几乎都有长期深度阅读的习惯。

他们读历史、哲学、生物学、物理学——
因为他们掌握了更底层的思维模型。

所谓:

你读过的书,最后都会化作你的气质、谈吐与决策逻辑。

当然,不是什么都值得读。

垃圾食品吃多了坏肚子,垃圾书读多了坏脑子。信息污染比空气污染更可怕。

一定要读经典——经受时间筛选仍然成立的思想。

读硬书——挑战你认知舒适区的书。

不要追求数量,而要追求深度。

阅读不是打卡,而是你与伟大灵魂的肉搏。

意义在于:

它让你在浮躁世界里,拥有一个真正属于自己的精神避难所。

当所有人被算法裹挟狂奔时,你能停下来;
当所有人为热点争吵时,你能看到荒诞;
当生活击倒你时,你能在文字中找到共鸣。

这种内心秩序,是阅读构建的。

未来的竞争,是认知的竞争。

AI可以替代技能,但无法替代:

  • 价值观
  • 审美
  • 对复杂人性的理解

这些,恰恰是人类最后的堡垒。

如果因为怕忘记而不读书,那就是主动放弃在人工智能时代最重要的竞争壁垒。

在注意力即货币的时代,能控制注意力的人,就是超级富豪。

而阅读一本长书,是对碎片化生活的反抗。

当你读到这里,无论记住多少,这个过程本身,就是一次专注力的修复。

你夺回了对自己注意力的控制权。

]]> https://stackli.me/posts/2026/meaning-of-reading 2026-03-01T09:21:03.000Z 读过很多书,但后来大部分都被我忘记了,那阅读的意义是什么? 摘录了一篇来自知乎的回答,得到了很多启发,也希望对屏幕前的你有所启发 阅读的意义 2026-06-02T00:00:58.014Z stackli 大多数公链进行转账时需要消耗原生代币作为gas,在波场转账时需要消耗的是能量。如果能量不足,则会燃烧TRX。
使用波场能量租赁,可以节约大量gas费用

快速能量租用

  • 租赁地址:
  • 租赁费用: 65000能量/3TRX
  • 租赁时长: 1小时

向地址 TUEV6FNqgk1FLXv6S8CUbJsMtREARZofMM 转账 3TRX, 即可以获得转账一笔USDT的能量。 如果收款方方地址无USDT,需要消耗两笔能量,即需要转账 6TRX

备注留空,能量自动分配到转账地址;备注填写对方地址:为他人买能量!

[!TIP]
为了便于后续能量快速和安全租用,你可以将地址保存到钱包的地址薄。

为什么要进行能量租用

大多数公链进行转账时需要消耗原生代币作为gas,在波场转账时需要消耗的是能量。如果能量不足,则会燃烧TRX。

在波场进行USDT转账时,不同的方式消耗的资源如下表格:

GAS费用类型燃烧TRX使用能量能量租赁费用
对方地址有USDT7650003TRX
对方地址无USDT141310006TRX

使用能量进行USDT转账可以大幅减少TRX消耗。如果你没有足够的TRX质押获取能量,那么你可以通过能量租用的方式快速获得能量. 使用能量租赁方式进行USDT转账,可以节省约 70% 的转账费用

]]> https://stackli.me/blockchain/trx-energy-rent/ 2026-02-06T12:08:36.000Z 大多数公链进行转账时需要消耗原生代币作为gas,在波场转账时需要消耗的是能量。如果能量不足,则会燃烧TRX。
使用波场能量租赁,可以节约大量gas费用

]]> 波场能量租用 2026-06-02T00:00:58.014Z stackli 交易所注册推荐

使用以下推荐的链接或推荐码开户,可以获得对应的返佣奖励

]]> https://stackli.me/blockchain/exchange-invite/ 2026-02-06T11:50:36.000Z 使用推荐的链接或推荐码开户,可以获得对应的返佣奖励 加密货币交易所返佣推荐 2026-06-02T00:00:58.014Z stackli 长期波场能量/带宽收购

通过代理方式,长期收购波场带宽和能量

由于市场波动,最新的能量收购地址和年化收益,会不定时波动。
目前的最新年华收益为: 16%

以上收益均是按日结算。除了以上收益,质押TRX后获得投票权,还可以对超级代表投票,获得投票收益,年化3.5%.

以上收益均是按日结算收益,因此是复利收益,换算成单例更高。

能量/宽带代理是否有风险?

无任何风险,质押与代理操作均由您在钱包中独立完成,代理宽带、能量资源后,你持有的TRX仍旧在你的地址中,你可以随时撤销代理。

波场质押收益示意


质押TRX首选钱包:TronLink

  • 质押流程:钱包内进入【质押】功能,选择质押为【能量】或者【带宽】,输入需要质押的TRX数量,确认完成质押
  • 代理流程:钱包内进入【能量】或者【带宽】页面,可以查看到目前已代理数量和可代理的数量。点击【代理】,输入代理地址完成代理操作;点击【回收】,可以收回已经代理的资源
  • 投票流程:钱包内进入【投票】功能,可以查看投票相关信息。点击【投票】,将投票权给收益最高的超级代理;点击【提取收益】,可以获取投票收益到钱包中,每天可以获取一次。

TRX价格风险对冲

如果是使用USDT等其他稳定币购买TRX后进行质押,则可能面对TRX价格下跌带来的风险。此时可以选择在币安等交易所,开一个相同仓位的空单永续合约,用于对冲TRX价格下跌带来的风险。购买空单合约之后,如果TRX下跌,虽然持有的TRX价格下降,但合约价格上升,刚好抵消。

持有空单合约的另外一个好处时,我们大概率可以获取0.01%的资金费率,如果使用1倍杠杆转换成年化就是10.95%, 使用2倍杠杆就可以获得21.9%的收益, 以此类推,可以用于增强TRX质押收益。

建议使用HTX交易所进行做空合约,可以获得稳定的0.01%的资金费率,开户推荐可以点击这里, 通过推荐链接开户可以获得返佣奖励。

]]> https://stackli.me/blockchain/trx-earn/ 2026-02-06T11:24:36.000Z 持有TRX获得稳定收益 2026-06-02T00:00:58.014Z stackli 在大部分的区块链网络中进行交易,通常消耗的GAS都是消耗原生代币。但在波场中的交易,却是消耗能量带宽。阅读完本文之后,你将了解什么是能量和带宽,能量和带宽分别的使用场景,如何获得能量和带宽

在大部分的区块链网络中进行交易,通常消耗的GAS都是消耗原生代币。但在波场中的交易,却是消耗能量带宽。阅读完本文之后,你将了解:

  • 什么是能量和带宽
  • 能量和带宽分别的使用场景
  • 如何获得能量和带宽

带宽

任何交易都会消耗宽带。宽带顾名思义,其实就是对网络资源的占用。一笔交易消耗的宽带=交易的字节数*宽带费率,当前的宽带费率为1. 因此如果一笔交易的字节数为250,则会消耗250单位的宽带。

宽带有三种获取方式:

在宽带消耗后,会在24小时之内逐步恢复

能量

任何交易都会消耗带宽,但执行智能合约除了消耗带宽,还需要消耗能量。能量代表执行智能合约时,对系统资源的消耗。
目前在进行USDT转账时,如果收款方地址有USDT,则需要消耗65,000能量;如果收款方地址无USDT,则需要消耗130,000能量。

能量获得有2中方式:

和宽带不一样的点是,能量并不存在免费的额度。在能量消耗后,会在24小时之内逐步恢复

]]> https://stackli.me/blockchain/trx-resource/ 2026-01-25T12:24:36.000Z 在大部分的区块链网络中进行交易,通常消耗的GAS都是消耗原生代币。但在波场中的交易,却是消耗能量带宽。阅读完本文之后,你将了解什么是能量和带宽,能量和带宽分别的使用场景,如何获得能量和带宽

]]> 波场的资源模型-能量和带宽 2026-06-02T00:00:58.014Z stackli 两年之前就搭建好了这个博客,但是一直没更新,最近又想更新一下,就想记录一下博客搭建的过程以及发布新博客的步骤,做一个备忘。

我的博客使用的主题是stellar.

博客初始化

搭建博客

  1. 安装hexo: npm install hexo-cli -g
  2. 创建博客: hexo init blog
  3. 进入博客文件夹: npm i hexo-theme-stellar
  4. 在 blog/_config.yml 文件中找到并修改: theme: stellar

部署博客

  1. 创建一个 github 仓库,将生成的静态文件push到gh-pages分支
  2. 在Cloudflare中 Workders&Pages创建一个Application, 关联到github仓库
  3. 配置应用时,deploy命令为: npx wrangler deploy --assets=./ --compatibility-date 2026-01-31

添加新博客

创建新博客文件: hexo new [layout] <title>, 其中layout是可选的
预览新博客: hexo s
动态刷新预览: hexo clean && hexo s -w
生成静态文件: hexo g
发布新博客: hexo d

更新日志

2026-05-15

新加博客后,需要通过将文件添加到git仓库,并push到远程分支,这个过程还挺麻烦,就搞了个脚本,运行之后自动提交并push

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#!/usr/bin/env bash
# Stage changes under source/, commit with timestamp message, push.
set -euo pipefail
cd "$(dirname "$0")/.."

git add -- source/

if git diff --cached --quiet; then
  echo "Nothing to commit under source/"
  exit 0
fi

git commit -m "$(date '+%Y-%m-%d %H:%M:%S')"
git push

]]> https://stackli.me/posts/2026/blog-note 2026-01-24T06:07:05.000Z 两年之前就搭建好了这个博客,但是一直没更新,最近又想更新一下,就想记录一下博客搭建的过程以及发布新博客的步骤,做一个备忘。

我的博客使用的主题是

博客搭建备忘 2026-06-02T00:00:58.014Z stackli 在上一篇博客中,我们了解了几种常见的网络代理。本文将通过python代码来实现网络代理。代码仅做学习研究使用,不进行性能考虑。

HTTP代理

在上一篇博客中我们了解到,http代理分为普通代理和隧道代理。如果目标服务器是http服务,则使用普通代理;如果目标服务器是https服务,则使用隧道代理。

以下是一个简单的http代理实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
#!/usr/bin/env python3
# -*- coding: utf-8 -*-

import socket
import select
import logging
import shutil
from http.server import ThreadingHTTPServer, BaseHTTPRequestHandler
from urllib.parse import urlparse

# 配置日志
logging.basicConfig(
    level=logging.INFO,
    format='%(asctime)s - %(levelname)s - %(message)s'
)
logger = logging.getLogger(__name__)

class ProxyHandler(BaseHTTPRequestHandler):
    def do_GET(self):
        """处理 GET 请求"""
        self._handle_request('GET')

    def do_POST(self):
        """处理 POST 请求"""
        self._handle_request('POST')

    def do_PUT(self):
        """处理 PUT 请求"""
        self._handle_request('PUT')

    def do_DELETE(self):
        """处理 DELETE 请求"""
        self._handle_request('DELETE')

    def do_HEAD(self):
        """处理 HEAD 请求"""
        self._handle_request('HEAD')

    def do_OPTIONS(self):
        """处理 OPTIONS 请求"""
        self._handle_request('OPTIONS')

    def do_PATCH(self):
        """处理 PATCH 请求"""
        self._handle_request('PATCH')

    def _handle_request(self, method):
        """通用请求处理方法"""
        try:
            # 解析目标URL
            url = urlparse(self.path)
            if not url.netloc:
                self.send_error(400, "Bad Request")
                return

            # 创建到目标服务器的连接
            target_host = url.netloc
            target_port = 80
            if ':' in target_host:
                target_host, target_port = target_host.split(':')
                target_port = int(target_port)

            # 建立连接
            target_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            target_sock.connect((target_host, target_port))

            # 读取请求体
            content_length = int(self.headers.get('Content-Length', 0))
            body = self.rfile.read(content_length) if content_length > 0 else b''

            # 构建请求头
            request_headers = []
            for header, value in self.headers.items():
                if header.lower() not in ('proxy-connection', 'connection', 'host'):
                    request_headers.append(f"{header}: {value}")

            # 发送请求到目标服务器
            request = f"{method} {self.path} HTTP/1.1\r\n"
            request += f"Host: {target_host}\r\n"
            request += "Connection: close\r\n"
            request += "\r\n".join(request_headers)
            request += "\r\n"
            if body:
                request += f"Content-Length: {len(body)}\r\n"
            request += "\r\n"
            
            # 发送请求头和请求体
            target_sock.send(request.encode())
            if body:
                target_sock.send(body)

            # 使用shutil.copyfileobj进行数据传输
            target_file = target_sock.makefile('rb')
            shutil.copyfileobj(target_file, self.wfile, length=8192)
            target_file.close()
            target_sock.close()

        except Exception as e:
            logger.error(f"处理 {method} 请求时发生错误: {e}")
            self.send_error(500, f"服务器内部错误: {str(e)}")

    def do_CONNECT(self):
        """处理 CONNECT 请求(隧道代理)"""
        try:
            # 解析目标地址
            target_host, target_port = self.path.split(':')
            target_port = int(target_port)

            # 创建到目标服务器的连接
            target_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            target_sock.connect((target_host, target_port))

            # 发送连接成功响应
            self.send_response(200, 'Connection Established')
            self.send_header('Proxy-Agent', 'Python-Proxy')
            self.end_headers()

            # 获取客户端socket
            client_sock = self.connection

            # 设置非阻塞模式
            client_sock.setblocking(False)
            target_sock.setblocking(False)

            # 使用select进行双向转发
            while True:
                # 使用select监控两个socket
                readable, _, exceptional = select.select(
                    [client_sock, target_sock],
                    [],
                    [client_sock, target_sock],
                    1
                )

                # 检查是否有异常
                if exceptional:
                    break

                # 处理可读的socket
                for sock in readable:
                    try:
                        # 确定源和目标socket
                        if sock is client_sock:
                            source = client_sock
                            target = target_sock
                        else:
                            source = target_sock
                            target = client_sock

                        # 读取数据
                        data = source.recv(8192)
                        if not data:
                            return

                        # 发送数据
                        target.send(data)

                    except Exception as e:
                        logger.error(f"隧道连接发生错误: {e}")
                        return

        except Exception as e:
            logger.error(f"处理 CONNECT 请求时发生错误: {e}")
            self.send_error(500, f"服务器内部错误: {str(e)}")
        finally:
            # 确保连接被关闭
            try:
                client_sock.close()
            except:
                pass
            try:
                target_sock.close()
            except:
                pass

    def log_message(self, format, *args):
        """自定义日志格式"""
        logger.info(f"{self.address_string()} - {format % args}")

def run_proxy(host='0.0.0.0', port=9000):
    """运行代理服务器"""
    server_address = (host, port)
    httpd = ThreadingHTTPServer(server_address, ProxyHandler)
    logger.info(f"代理服务器启动于 {host}:{port}")
    try:
        httpd.serve_forever()
    except KeyboardInterrupt:
        logger.info("正在关闭代理服务器")
        httpd.server_close()

if __name__ == '__main__':
    run_proxy()

SCOKS代理

以下是一个简单的socks代理实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
import socket
import select
import logging
import struct
from socketserver import ThreadingTCPServer, StreamRequestHandler

# 配置日志
logging.basicConfig(
    level=logging.INFO,
    format='%(asctime)s - %(levelname)s - %(message)s'
)
logger = logging.getLogger(__name__)

# SOCKS5 协议常量
SOCKS_VERSION = 5
CONNECT = 1
BIND = 2
UDP_ASSOCIATE = 3

# 地址类型
ATYP_IPV4 = 1
ATYP_DOMAINNAME = 3
ATYP_IPV6 = 4

class SocksProxy(StreamRequestHandler):
    def handle(self):
        """处理SOCKS5连接请求"""
        # 处理握手
        if not self.handle_handshake():
            return
        
        # 处理连接请求
        if not self.handle_connect():
            return

    def handle_handshake(self):
        """处理SOCKS5握手"""
        try:
            # 读取客户端支持的认证方法
            version = self.connection.recv(1)

            if not version or ord(version) != SOCKS_VERSION:
                logger.error(f"不支持的SOCKS版本: {version}")
                return False

            # 读取认证方法数量
            nmethods = self.connection.recv(1)
            if not nmethods:
                return False
            
            # 读取所有支持的认证方法
            methods = self.connection.recv(ord(nmethods))
            if not methods:
                return False

            # 目前我们不需要认证,直接返回 NO AUTHENTICATION REQUIRED (0x00)
            self.connection.sendall(struct.pack('!BB', SOCKS_VERSION, 0))
            return True

        except Exception as e:
            logger.error(f"握手阶段错误: {e}")
            return False

    def handle_connect(self):
        """处理SOCKS5连接请求"""
        remote = None
        try:
            # 读取版本和命令
            version, cmd, _, address_type = struct.unpack('!BBBB', self.connection.recv(4))
            
            if version != SOCKS_VERSION:
                logger.error(f"不支持的SOCKS版本: {version}")
                return False

            # 目前只支持CONNECT命令
            if cmd != CONNECT:
                logger.error(f"不支持的命令: {cmd}")
                self.send_reply(7)  # Command not supported
                return False

            # 解析目标地址
            if address_type == ATYP_IPV4:
                # IPv4
                target_addr = socket.inet_ntoa(self.connection.recv(4))
            elif address_type == ATYP_DOMAINNAME:
                # 域名
                domain_length = ord(self.connection.recv(1))
                target_addr = self.connection.recv(domain_length).decode()
            elif address_type == ATYP_IPV6:
                # IPv6
                target_addr = socket.inet_ntop(socket.AF_INET6, self.connection.recv(16))
            else:
                logger.error(f"不支持的地址类型: {address_type}")
                self.send_reply(8)  # Address type not supported
                return False

            # 读取端口号
            target_port = struct.unpack('!H', self.connection.recv(2))[0]

            # 尝试连接到目标服务器
            try:
                if address_type == ATYP_DOMAINNAME:
                    remote = socket.create_connection((target_addr, target_port), timeout=10)
                else:
                    remote = socket.socket(socket.AF_INET if address_type == ATYP_IPV4 else socket.AF_INET6)
                    remote.settimeout(10)
                    remote.connect((target_addr, target_port))

                bind_address = remote.getsockname()
                logger.info(f"已连接到 {target_addr}:{target_port}")
                
                # 发送成功响应
                self.send_reply(0, bind_address[0], bind_address[1])

            except Exception as e:
                logger.error(f"连接目标服务器失败: {e}")
                self.send_reply(4)  # Host unreachable
                return False

            # 开始转发数据
            self.exchange_loop(self.connection, remote)
            return True

        except Exception as e:
            logger.error(f"处理连接请求时发生错误: {e}")
            return False
        finally:
            if remote:
                try:
                    remote.close()
                except:
                    pass

    def send_reply(self, reply_code, bind_addr='0.0.0.0', bind_port=0):
        """发送SOCKS5响应"""
        try:
            # 将IP地址转换为网络字节序
            if ':' in bind_addr:  # IPv6
                addr_bytes = socket.inet_pton(socket.AF_INET6, bind_addr)
                addr_type = ATYP_IPV6
            else:  # IPv4
                addr_bytes = socket.inet_aton(bind_addr)
                addr_type = ATYP_IPV4

            reply = struct.pack('!BBBB', SOCKS_VERSION, reply_code, 0, addr_type)
            reply += addr_bytes + struct.pack('!H', bind_port)
            self.connection.sendall(reply)
        except Exception as e:
            logger.error(f"发送响应时发生错误: {e}")

    def exchange_loop(self, client, remote):
        """数据交换循环"""
        try:
            client.setblocking(False)
            remote.setblocking(False)

            while True:
                try:
                    r, w, e = select.select([client, remote], [], [], 0.5)
                except:
                    break

                if e:
                    break

                for sock in r:
                    try:
                        data = sock.recv(32768)
                        if not data:
                            return

                        if sock is client:
                            remote.setblocking(True)
                            try:
                                remote.sendall(data)
                            finally:
                                remote.setblocking(False)
                        else:
                            client.setblocking(True)
                            try:
                                client.sendall(data)
                            finally:
                                client.setblocking(False)
                    except:
                        return
        finally:
            for sock in [client, remote]:
                try:
                    sock.close()
                except:
                    pass

class ThreadingSocksServer(ThreadingTCPServer):
    allow_reuse_address = True
    daemon_threads = True  # 设置为守护线程,这样主线程退出时它们会自动退出
    
    def server_close(self):
        """确保服务器正确关闭"""
        try:
            self.socket.shutdown(socket.SHUT_RDWR)
        except:
            pass
        self.socket.close()

def run_proxy(host='0.0.0.0', port=9001):
    """运行SOCKS5代理服务器"""
    server = None

    def shutdown_server(signum=None, frame=None):
        nonlocal server
        if server:
            logger.info("正在关闭SOCKS5代理服务器...")
            try:
                server.server_close()  # 关闭服务器和所有连接
            except:
                pass
            logger.info("服务器已关闭")
            import sys
            sys.exit(0)  # 强制退出程序

    try:
        server = ThreadingSocksServer((host, port), SocksProxy)
        logger.info(f"SOCKS5代理服务器启动在 {host}:{port}")
        server.serve_forever()
    except KeyboardInterrupt:
        logger.info("收到KeyboardInterrupt信号")
        shutdown_server()
    except Exception as e:
        logger.error(f"服务器运行时发生错误: {e}")
        shutdown_server()

if __name__ == '__main__':
    run_proxy()
]]> https://stackli.me/posts/2025/net-proxy-demo 2025-05-19T16:04:38.000Z 在上一篇博客中,我们了解了几种常见的网络代理。本文将通过python代码来实现网络代理。代码仅做学习研究使用,不进行性能考虑。

 一文搞清楚常见网络代理-代码实战 2026-06-02T00:00:58.014Z stackli 在日常使用电脑的过程中,我们经常会遇到需要使用代理的情况。但每次在电脑上进行电脑配置时,都会很疑惑。这么多代理方式,我究竟应该选哪一种?

例如这个是MAC电脑上的代理配置。什么是网页代理,和安全网页代理有什么区别?什么是SOCKS代理?什么又是自动发现代理?
mac代理配置

本文就将以MAC系统的代理配置为基础,同时鉴于我们常常使用的是HTTP/HTTPS服务,来谈谈通过代理访问HTTP/HTTPS服务的一些实现方式。

HTTP代理

HTTP代理即由一台HTTP服务器实现代理功能,包含两种实现方式:普通代理和隧道代理。

普通代理

HTTP普通代理在 XXXX 定义。以访问URL http://abc.xyz/index.html 为例

  1. 浏览器在识别到需要使用代理进行访问后,会向代理服务器发起请求,请求头为 GET http://abc.xyz/index.html 常规的http请求只会传递host之后的路径,由于代理服务器需要知道目标服务器的信息,所以这里请求路径为完整的目标url。
  2. 代理服务器收到请求之后,会向正常的客户端一样,向目标服务器发起请求 GET /index.html
  3. 代理服务器在获取到目标服务器的响应之后,再将响应返回给客户端。

在这个过程中,对于客户端来说,代理服务器扮演的是客户端的角色;对于目标服务器来说,代理服务器扮演的是客户端的角色。代理服务器在整个过程中,扮演“中间人”的角色。代理服务器需要能够识别HTTP请求的内容,因此这种形式的代理又可以认为是四层代理。

隧道代理

上面谈到的普通代理,代理服务器需要识别HTTP请求的内容,才能对报文进行转发。但目前越来越多的网站采用的是HTTPS服务,HTTP报文都进行了端到端的加密,“中间人”方式的普通代理对加密数据就完全无能为力了。因此要对HTTPS服务进行代理,我们需要另外一种代理协议——隧道代理。
隧道代理的整个流程如下图:

浏览器先向代理服务器发送一个CONNECT请求, 让代理服务器创建一个到目标服务器的连接。 一旦连接创建好之后,浏览器就可以直接通过这个连接进行数据的发送,代理完全不用关心数据的内容,直接透传即可。理论上,隧道道理可以代理任何一种基于TCP的应用层协议,因此HTTP隧道代理又可称为三层代理。

如果代理的是HTTPS协议,那么连接建立以后,浏览器就可以像直接访问目标服务器一样,通过这个连接与目标服务器进行TLS的握手,以及握手成功之后的数据发送。使用HTTP这种不安全的协议代理HTTPS,能保证通信的安全吗? 当然是可以的。我们可以看到在整个过程中,除了CONNEECT请求是明文的,其他的数据都要等到TLS握手成功后才会进行,而HTTPS本身就是中间人的天然克星,代理服务器无法获取密钥,也就无法对经过的数据进行解密。而对于CONNECT请求,除了域名和端口之外,不包括url、cookie等其他任何敏感信息。即使是CONNECT请求暴露的域名和端口,在正常不经代理的HTTPS请求中,也可以通过IP信息轻易得到。因此隧道代理并没有影响HTTPS协议的安全性。

正如前面所说,隧道代理可以代理任意一种基于TCP的应用层协议,因此也是可以代理HTTP协议的。然而在各个浏览器的实现都是:如果目标服务器是HTTP服务,那么浏览器会采用普通代理;如果目标服务器是HTTPS服务,则使用隧道代理。

SOCKS代理

和HTTP代理协议是基于HTTP协议的一种扩展相比,SOCKS5协议则是一种直接为了代理而设计的一套协议。SOCK5协议和HTTP隧道代理有一些相似,都是先由客户端请求代理服务器创建到目标服务器的连接,连接创建完成之后,直接透传客户端与目标服务器之间的流量。但相比于HTTP的隧道代理,SOCKS5协议除了支持TCP协议之外,还支持UDP协议的透传。

SOCKS协议的详细细节可以参考: https://www.mojidong.com/post/2015-03-07-socket5-1/

MAC中的配置

在回到前面说的MAC中的配置,经过验证之后发现:

  1. 网页代理(HTTP)只有在访问HTTP服务时才会使用,且使用简单代理协议
  2. 安全网页代理(HTTPS)只有在访问HTTPS服务时才会使用,切使用隧道代理协议
  3. 如果配置了SOCKS代理,无论是否配置了网页代理和安全网页代理,都会优先采用SOCKS代理
]]> https://stackli.me/posts/2022/net-proxy 2022-03-20T09:53:51.000Z 在日常使用电脑的过程中,我们经常会遇到需要使用代理的情况。但每次在电脑上进行电脑配置时,都会很疑惑。这么多代理方式,我究竟应该选哪一种?

例如这个是MAC电脑上的代理配置。什么是网页代理,和安全网页代理有什么区别?什么是SOCKS代理?什么又是自动发现代理?<]]>

一文搞清楚常见网络代理-原理学习 2026-06-02T00:00:58.014Z