NaiveProxy Manager v5.5.0: большой обзор скрипта для развёртывания и управления приватным прокси-сервером

ivan-it.net

В статье используются только демонстрационные значения: <your-domain.example>, <admin@example.invalid>, <user>, <server-ip>. Реальные домены, IP-адреса, логины, пароли, токены и ссылки намеренно не приводятся.

Введение

NaiveProxy Manager — это Bash-скрипт для быстрого развёртывания и сопровождения приватного прокси-сервиса на VPS. Его задача — убрать рутину, которая обычно сопровождает ручную настройку: установка зависимостей, сборка Caddy с нужным модулем, выпуск TLS-сертификата, создание пользователей, настройка firewall, диагностика, мониторинг, обновления и управление через Telegram.

Проект вырос из простого установщика в полноценный серверный менеджер. В версии 5.5.0 он уже закрывает не только базовую установку NaiveProxy, но и дополнительные сценарии: лимит устройств на пользователя, страницы подписки, Telegram-бот с расширенными командами, Xray Modern transports, Hysteria 2, Cloudflare WARP в proxy mode, DNS-фильтрацию рекламы и трекеров, SSH hardening и автофикс типовых проблем.

Главная идея скрипта — дать владельцу VPS понятный инструмент, который можно запустить из терминала, получить рабочую конфигурацию и дальше обслуживать сервер без постоянного ручного редактирования системных файлов. Это особенно полезно, когда сервер используется не как экспериментальная песочница, а как сервис, который должен стабильно работать, перезапускаться после сбоев, обновляться и давать понятную диагностику.

Что именно делает скрипт

NaiveProxy Manager автоматизирует полный цикл жизни сервера:

• готовит Ubuntu-систему;
• устанавливает и обновляет нужные пакеты;
• собирает Caddy 2 с модулем forwardproxy в ветке naive;
• создаёт Caddyfile;
• выпускает TLS-сертификат через Caddy;
• создаёт пользователей и клиентские URI;
• генерирует QR-коды;
• настраивает systemd-сервисы;
• включает firewall;
• добавляет защитные настройки SSH;
• ведёт логи;
• проверяет состояние системы;
• отправляет отчёты в Telegram;
• позволяет управлять пользователями из меню и через Telegram-бота;
• создаёт страницы подписки для пользователей;
• поддерживает дополнительные транспортные модули.

Вместо того чтобы держать в голове десятки команд, владелец сервера получает одно меню и набор CLI-команд. Это снижает риск человеческой ошибки: например, случайно открыть прокси без авторизации, потерять SSH-доступ после hardening, сломать Caddyfile или забыть открыть нужный порт.

Основной стек

Базовая часть проекта построена вокруг Caddy 2 и klzgrad/forwardproxy@naive.

Caddy выбран потому, что он хорошо работает с TLS, автоматически получает и продлевает сертификаты, умеет HTTP/2 и HTTP/3, а также удобно управляется через systemd. Модуль forwardproxy добавляет функциональность прокси, нужную для NaiveProxy.

Вокруг этой основы скрипт добавляет:

• systemd для управления сервисами;
• ufw для firewall;
• fail2ban для защиты SSH;
• unbound для DNS-фильтрации;
• qrencode для QR-кодов;
• Telegram Bot API для удалённого управления;
• Xray-core для VLESS, Trojan, REALITY и fallback-сценариев;
• Hysteria 2 как отдельный UDP-сервис;
• Cloudflare WARP как локальный proxy mode;
• встроенную диагностику и автоисправление.

Важно, что дополнительные модули сделаны опциональными. Базовый NaiveProxy может работать сам по себе. Если нужен Xray или Hysteria 2, владелец включает их отдельно через меню или CLI-команды.

Установка: как выглядит сценарий

Типовой сценарий установки начинается с запуска скрипта на чистой Ubuntu-системе. Пользователь указывает домен, email для TLS, логин первого пользователя и пароль. Если пароль не задан, скрипт генерирует его автоматически.

Пример демонстрационного ввода:

Домен: <your-domain.example>
Email для TLS: <admin@example.invalid>
Логин первого пользователя: <user>
Пароль: Enter для случайного

После этого скрипт:

1. Проверяет DNS-запись домена.
2. Устанавливает зависимости.
3. Проверяет версию Go и при нужде ставит свежую.
4. Собирает Caddy с нужным модулем.
5. Создаёт камуфляжную web-страницу.
6. Генерирует Caddyfile.
7. Создаёт systemd service для Caddy.
8. Настраивает firewall.
9. Запускает Caddy.
10. Показывает клиентскую конфигурацию.

На выходе владелец получает URI вида:

naive+https://<user>:<password>@<your-domain.example>:443

И JSON для naive-client:

{
"listen": "socks://127.0.0.1:1080",
"proxy": "https://<user>:<password>@<your-domain.example>:443"
}

Все реальные значения в рабочем окружении хранятся на сервере, а в статье заменены placeholders.

Архитектура после установки

После установки сервер получает понятную структуру:

/usr/local/bin/naiveproxy.sh основной скрипт
/usr/local/bin/caddy Caddy с forwardproxy
/etc/caddy/Caddyfile конфигурация Caddy
/etc/systemd/system/caddy.service systemd service
/etc/naiveproxy/naive.conf настройки менеджера
/etc/naiveproxy/users.conf пользователи NaiveProxy
/var/log/caddy/naive.log access log прокси
/var/www/html/index.html публичная камуфляжная страница

Если включены дополнительные модули, появляются и другие файлы:

/etc/xray/config.json Xray config
/etc/naiveproxy/xray-users.conf Xray пользователи
/etc/naiveproxy/subscriptions/ токены страниц подписки
/var/www/html/s/<token>/ страницы подписки
/var/www/html/p/<token>/ личная фейковая страница
/etc/naiveproxy/hysteria.yaml Hysteria 2 config
/etc/unbound/unbound.conf.d/ DNS config

Скрипт не пытается спрятать логику в неизвестных местах. Все ключевые файлы находятся в стандартных системных директориях, а команды диагностики показывают, что именно настроено.

Пользователи и клиентские конфигурации

Управление пользователями — одна из центральных функций. Пользователей можно добавлять, удалять, менять пароль и получать их конфиг.

Примеры команд:

sudo bash naiveproxy.sh users
sudo bash naiveproxy.sh config <user>

В интерактивном меню есть отдельный раздел управления пользователями. Через Telegram-бота доступны команды:

/users
/adduser <login> <password>
/deluser <login>
/qr <login>

Скрипт валидирует логины и пароли. Это важно для безопасности и стабильности Caddyfile: логин не должен содержать неожиданные спецсимволы, а пароль должен быть достаточно длинным и безопасным для вставки в конфигурацию.

Для защиты от случайного открытия сервиса без авторизации Caddyfile не перегенерируется, если активных пользователей нет. Это простая, но важная предохранительная мера.

Страницы подписки в версии 5.5.0

Одна из главных новых функций версии 5.5.0 — страница подписки для каждого пользователя.

Команда:

sudo bash naiveproxy.sh subscription <user>

создаёт URL вида:

https://<your-domain.example>/s/<secret-token>/

Это не путь по логину. Имя пользователя не используется как адрес страницы. Вместо этого генерируется случайный токен, который хранится в:

/etc/naiveproxy/subscriptions/<user>.token

На странице подписки можно разместить:

• NaiveProxy URI;
• JSON для naive-client;
• ссылки Xray/VLESS/Trojan, если Xray включён;
• links.txt для импорта в клиенты;
• подсказки для Windows, Android, iOS/macOS и Linux.

Отдельный raw-файл:

https://<your-domain.example>/s/<secret-token>/links.txt

удобен для клиентов, которые умеют импортировать набор ссылок.

Если ссылка утекла, токен можно перевыпустить:

sudo bash naiveproxy.sh subscription-reset <user>

Старый каталог страницы удаляется, создаётся новый токен и новая страница.

Для снижения риска индексации и кэширования скрипт добавляет:

• robots.txt с запретом для /s/;
• HTML meta noindex;
• Caddy headers X-Robots-Tag;
• Cache-Control: no-store.

Это не заменяет полноценную авторизацию, но делает страницу подписки приватной по секретному URL. Для персонального сервера это удобный баланс между простотой и безопасностью.

Личная фейковая страница

Кроме публичной камуфляжной страницы на /, скрипт умеет создавать личную страницу по секретному адресу:

sudo bash naiveproxy.sh private-page

Она создаётся по адресу:

https://<your-domain.example>/p/<secret-token>/

Эта страница выглядит как нейтральный private technical notebook: заметки по инфраструктуре, статус рабочих задач, технические записи. Она не содержит реальных ключей, доменов или чувствительных данных.

Токен можно перевыпустить:

sudo bash naiveproxy.sh private-page reset

Как и для страниц подписки, старый токеновый каталог удаляется.

Telegram-бот

Telegram-бот превращает сервер в управляемый сервис, не требующий постоянного SSH-доступа для базовых операций.

В версии 5.5.0 бот получил расширенный набор команд:

/status
/stats
/diagnose
/diagfix
/logs
/users
/adduser <login> <password>
/deluser <login>
/qr <login>
/sub <login>
/subreset <login>
/devices
/lockuser <login>
/unlockuser <login>
/xray <login>
/xraystatus
/cert
/restart
/update
/selfupdate
/privatepage
/admins
/addadmin <id>
/deladmin <id>
/donate

Команды разделены по смыслу:

• информационные: статус, статистика, диагностика, логи;
• пользовательские: список, добавление, удаление, QR, подписка;
• административные: restart, update, self-update;
• безопасность: lock/unlock, device report, TLS status;
• Xray: ссылки и статус;
• доступы: список администраторов и управление ими.

Бот проверяет ID администратора. Дополнительных администраторов можно добавить через /addadmin. Это удобно, если сервер обслуживает не один человек.

Важная деталь: внутри обработчика команд отключается строгий режим Bash для отдельных ошибок. Иначе одна неудачная команда могла бы завершить весь бот. При этом ввод очищается от управляющих символов и потенциально опасных спецсимволов.

Диагностика и автофикс

Команда:

sudo bash naiveproxy.sh diagnose

проверяет сервер по нескольким блокам:

1. Caddy и модули.
2. Конфигурация.
3. TLS и сеть.
4. Firewall.
5. Ресурсы системы.
6. Анализ логов.
7. Версия и обновления.

Диагностика показывает не только ошибки, но и предупреждения. Например:

• Caddy не запущен;
• Caddyfile невалиден;
• порт 443 не слушается;
• DNS домена не совпадает с IP сервера;
• TLS-сертификат скоро истекает;
• UFW выключен;
• Fail2Ban не запущен;
• RAM или диск близки к пределу;
• Xray config не проходит проверку;
• WARP proxy mode не отвечает;
• лимит устройств обнаружил превышение.

Для типовых проблем есть команда:

sudo bash naiveproxy.sh diagnose --fix

Она пытается:

• восстановить права конфигов;
• перегенерировать Caddyfile;
• проверить Caddy validate;
• перезапустить или reload Caddy;
• обновить UFW rules;
• восстановить cron для лимита устройств;
• перезапустить Xray, если config валиден;
• восстановить privacy-файлы для /s/ и /p/;
• включить WARP service, если он настроен.

Это не магическая кнопка на все случаи, но хороший способ быстро вернуть систему в рабочее состояние после типовых сбоев.

Лимит устройств и анти-шаринг

Скрипт умеет анализировать access logs и считать уникальные IP на пользователя за заданный период.

Идея простая: если один пользователь внезапно появляется с большого количества адресов, администратор получает сигнал. Настройка по умолчанию ориентирована на лимит до 5 уникальных IP за заданное окно времени.

Команды:

sudo bash naiveproxy.sh devices
sudo bash naiveproxy.sh devices-scan

Режимы:

• alert — только предупреждать;
• lock-user — автоматически отключать пользователя при превышении.

Отключение и возврат пользователя:

sudo bash naiveproxy.sh devices-lock <user>
sudo bash naiveproxy.sh devices-unlock <user>

Через Telegram:

/devices
/lockuser <login>
/unlockuser <login>

Скрипт учитывает не только Caddy/Naive logs, но и Xray access logs, если Xray включён. Если один и тот же логин есть в обеих подсистемах, lock/unlock применяется к обеим.

Xray Modern transports

Xray в скрипте — опциональный модуль для современных транспортов и fallback-сценариев.

Поддерживаются:

• VLESS TCP TLS;
• XTLS Vision;
• VLESS REALITY TCP;
• mKCP;
• WebSocket;
• gRPC;
• HTTPUpgrade;
• XHTTP;
• Trojan WebSocket;
• fallback hub на 443.

Команды:

sudo bash naiveproxy.sh xray
sudo bash naiveproxy.sh xray-install
sudo bash naiveproxy.sh xray-config <user>
sudo bash naiveproxy.sh xray-status
sudo bash naiveproxy.sh xray-remove

При включении fallback hub Xray может слушать внешний 443, а Caddy/NaiveProxy переводится на локальный fallback-порт. Это позволяет обслуживать несколько протоколов в одной точке входа без конфликта с Caddy.

Скрипт создаёт Xray config, проверяет его через xray run -test, настраивает systemd service и открывает нужные порты в UFW.

Для пользователя это выглядит просто: команда xray-config показывает набор ссылок, которые можно вставить в совместимый клиент.

Hysteria 2

Hysteria 2 также добавлена как опциональный модуль. Она работает отдельно, обычно на UDP-порту, и не конфликтует с Caddy на 443.

Команды:

sudo bash naiveproxy.sh hysteria
sudo bash naiveproxy.sh hysteria-install
sudo bash naiveproxy.sh hysteria-config
sudo bash naiveproxy.sh hysteria-status
sudo bash naiveproxy.sh hysteria-remove

Скрипт определяет архитектуру сервера, скачивает бинарник, создаёт конфиг, настраивает systemd и открывает нужный UDP-порт.

Если Caddy уже получил TLS-сертификат для домена, Hysteria 2 может использовать тот же сертификат. Это уменьшает количество ручных действий.

Cloudflare WARP proxy mode

WARP в проекте реализован осторожно: не как глобальная смена маршрутизации сервера, а как локальный proxy mode.

Типовая точка:

127.0.0.1:<local-port>

Команды:

sudo bash naiveproxy.sh warp
sudo bash naiveproxy.sh warp-install
sudo bash naiveproxy.sh warp-config
sudo bash naiveproxy.sh warp-status
sudo bash naiveproxy.sh warp-test
sudo bash naiveproxy.sh warp-disable
sudo bash naiveproxy.sh warp-remove

Такой режим безопаснее для сервера: он не меняет весь исходящий трафик системы без явного решения администратора. Администратор сам решает, какие приложения использовать через локальный proxy.

Диагностика умеет проверять, слушается ли локальный порт WARP и отвечает ли proxy mode.

DNS-фильтрация рекламы и трекеров

Модуль DNS-фильтрации построен вокруг unbound. Он может использовать наборы списков для фильтрации рекламных и трекинговых доменов, а также DNS-over-TLS upstream.

Команды:

sudo bash naiveproxy.sh dns
sudo bash naiveproxy.sh dns-install
sudo bash naiveproxy.sh dns-update
sudo bash naiveproxy.sh dns-status

Есть whitelist, чтобы вернуть доступ к нужному домену, если фильтр оказался слишком строгим.

Этот модуль полезен как часть серверной гигиены: меньше мусорных DNS-запросов, меньше трекеров, понятнее статистика.

SSH hardening

SSH hardening — одна из тех функций, где автоматизация должна быть осторожной. Скрипт явно предупреждает, что настройка SSH может изменить порт и правила входа.

По умолчанию hardening можно пропустить, чтобы не потерять доступ к серверу.

Если включить hardening, скрипт может:

• настроить безопасный порт;
• подготовить ED25519-ключ;
• отключить слабые варианты входа;
• учесть особенности Ubuntu 22.04+ и sshd_config.d;
• записать rescue-информацию.

Есть команда:

sudo bash naiveproxy.sh ssh-rescue

Она нужна на случай, если администратор хочет восстановить понятные настройки доступа.

Firewall и системная безопасность

Скрипт настраивает UFW так, чтобы входящий трафик был ограничен нужными сервисами. Базово открываются:

• 80/tcp для ACME;
• 443/tcp;
• 443/udp;
• дополнительные порты только для включённых модулей.

Также закрываются типичные нежелательные направления и включается rate limit для отдельных портов. Для SSH дополнительно используется Fail2Ban.

Важная часть безопасности — права файлов:

• конфиг менеджера: 600;
• файлы пользователей: 600;
• Xray users: 600;
• токены подписок: 600;
• директория токенов: 700;
• Caddyfile: 600.

Перед source конфигурационного файла скрипт проверяет владельца. Если файл принадлежит не root, загрузка прерывается. Это защищает от сценария, когда подменённый конфиг становится способом выполнить произвольный код.

Камуфляжные страницы

Скрипт создаёт обычную web-страницу на /. Она выглядит как технический блог или инфраструктурные заметки. Это полезно, потому что порт 443 отвечает не пустой страницей и не технической ошибкой, а нормальным сайтом.

В версии 5.5.0 добавлена отдельная личная страница на /p/<token>/. Она не предназначена для широкой публикации и не содержит чувствительных данных. Это скорее приватная техническая заметка, которую владелец может открыть по секретной ссылке.

Обе web-части не требуют отдельного backend. Они статические и обслуживаются Caddy через file_server.

Обновления

В проекте есть два типа обновлений:

1. Обновление Caddy.
2. Обновление самого скрипта.

Команды:

sudo bash naiveproxy.sh update
sudo bash naiveproxy.sh self-update

Скрипт умеет проверять актуальную версию через raw-файл репозитория и предупреждать, если доступна новая версия.

Обновление Caddy пересобирает бинарник с нужным модулем. Это важно, потому что обычный пакетный Caddy из репозитория не содержит нужный forwardproxy-модуль.

Меню

Интерактивное меню — главный способ управления для тех, кто не хочет запоминать команды.

В версии 5.5.0 меню включает:

• установку NaiveProxy;
• статус;
• клиентский конфиг;
• управление пользователями;
• управление доменами;
• мониторинг;
• Telegram;
• restart/reload/update Caddy;
• логи;
• удаление;
• диагностику;
• DNS-фильтрацию;
• SSH hardening;
• системные обновления;
• Hysteria 2;
• WARP proxy mode;
• лимит устройств;
• Xray;
• diagnose fix;
• страницу подписки;
• личную фейковую страницу.

Такой формат особенно удобен на свежем сервере: можно идти по пунктам и сразу видеть состояние системы.

Почему скрипт полезен

NaiveProxy Manager полезен не потому, что делает что-то невозможное вручную. Всё это можно настроить руками. Его ценность в другом:

• он собирает много мелких системных задач в один инструмент;
• снижает вероятность ошибок;
• валидирует ввод;
• проверяет конфиги перед запуском;
• создаёт резервные и служебные файлы;
• показывает понятную диагностику;
• даёт Telegram-управление;
• помогает быстро восстановиться после типовых проблем;
• поддерживает несколько дополнительных модулей без конфликта портов.

Это особенно важно для VPS, который обслуживается одним человеком. Когда сервер настроен вручную, через несколько месяцев легко забыть, где лежит конкретный конфиг, какой порт был открыт, почему Caddy собран именно так и где хранится список пользователей. Скрипт превращает эту историю в повторяемый процесс.

Модель безопасности

У проекта нет иллюзии, что один Bash-скрипт может заменить полноценный аудит инфраструктуры. Но он закрывает много практических рисков:

• не открывает прокси без пользователей;
• проверяет формат логинов и паролей;
• хранит чувствительные файлы с ограниченными правами;
• проверяет владельца конфигурации перед загрузкой;
• использует systemd restart policies;
• ограничивает входящие порты;
• поддерживает Fail2Ban;
• валидирует Caddyfile;
• валидирует Xray config;
• добавляет privacy headers для секретных web-страниц;
• позволяет быстро отключить пользователя;
• считает уникальные IP по логам;
• не делает SSH hardening без явного подтверждения.

Самые важные рекомендации для администратора:

1. Использовать сильные уникальные пароли.
2. Не публиковать страницы подписки.
3. Перевыпускать токены при подозрении на утечку.
4. Проверять diagnose после обновлений.
5. Не отключать SSH-доступ, пока не проверен новый порт и ключ.
6. Не хранить Telegram token в публичных местах.
7. Следить за логами и ресурсами VPS.

Типовой рабочий процесс

Один из удобных сценариев выглядит так:

1. Запустить установку.
2. Создать первого пользователя.
3. Проверить подключение локально.
4. Настроить Telegram-бот.
5. Включить диагностику и мониторинг.
6. Если нужно, включить лимит устройств.
7. Создать страницу подписки для пользователя.
8. Отправить пользователю только его secret URL.
9. Проверить /devices через Telegram.
10. Раз в неделю запускать diagnose.

Для дополнительного пользователя:

sudo bash naiveproxy.sh users
sudo bash naiveproxy.sh subscription <new-user>

Через Telegram:

/adduser <new-user> <password>
/sub <new-user>
/qr <new-user>

Если пользователь больше не нужен:

/lockuser <user>

или удалить окончательно:

/deluser <user>

Что изменилось в версии 5.5.0

Версия 5.5.0 сфокусирована на удобстве управления пользователями и выдачи конфигураций.

Ключевые изменения:

• добавлены страницы подписки пользователей;
• добавлен raw links.txt;
• добавлена ротация токенов подписки;
• добавлена личная фейковая страница;
• расширен Telegram-бот;
• добавлены команды /sub, /subreset, /devices, /lockuser, /unlockuser, /xray, /xraystatus, /diagfix, /privatepage;
• добавлены headers noindex/noarchive/no-store для приватных web-путей;
• diagnose --fix восстанавливает privacy-файлы;
• README и README_EN обновлены под новую версию.

По сути, версия 5.5.0 делает проект ближе к панели управления, но без тяжёлого web-интерфейса и базы данных. Всё остаётся в формате Bash, системных файлов и статических страниц.

Кому подойдёт проект

Скрипт подойдёт тем, кто:

• арендует VPS и хочет быстро поднять приватный прокси-сервис;
• предпочитает управлять сервером через терминал;
• хочет иметь Telegram-команды для базовых операций;
• хочет выдавать пользователям персональные ссылки;
• хочет видеть диагностику без ручного набора десятков команд;
• хочет включать дополнительные модули только когда они действительно нужны;
• ценит повторяемость установки и понятную структуру файлов.

Он не подойдёт тем, кто ожидает полноценную web-панель с базой пользователей, оплатами, ролями, красивой аналитикой и сложной multi-tenant-архитектурой. NaiveProxy Manager — это в первую очередь системный Bash-менеджер, а не SaaS-платформа.

Возможные направления развития

У проекта есть понятный потенциал для будущих версий:

• web-панель администратора с авторизацией;
• полноценный JSON API для управления пользователями;
• более гибкие профили подписок;
• автоматическое истечение пользователей по дате;
• лимиты по трафику;
• экспорт статистики в Prometheus;
• резервное копирование конфигов в зашифрованный архив;
• импорт и экспорт пользователей;
• отдельные роли Telegram-администраторов;
• автоматическая проверка ссылок подписки;
• более подробный отчёт по Xray и Hysteria 2;
• интеграция с платежными уведомлениями, если проект используется как коммерческий сервис.

Но даже без этих дополнений текущая версия уже решает основную задачу: быстро развернуть, настроить, проверить и сопровождать приватный прокси-сервер на Ubuntu.

Итог

NaiveProxy Manager v5.5.0 — это большой шаг от простого установочного скрипта к полноценному инструменту администрирования. Он объединяет установку, конфигурацию, безопасность, диагностику, Telegram-управление, пользовательские подписки и дополнительные транспортные модули.

Сильная сторона проекта — практичность. Он не требует отдельной панели, базы данных или сложной инфраструктуры. Всё работает через Bash, systemd, Caddy, конфигурационные файлы и понятное меню. При этом владелец получает функции, которые обычно приходится собирать вручную: TLS, пользователи, QR, firewall, логи, диагностика, автофикс, Telegram, лимит устройств и страницы подписки.

Если нужен управляемый приватный прокси-сервис на VPS, который можно поддерживать без постоянного ручного редактирования конфигов, NaiveProxy Manager выглядит как зрелое и удобное решение.

Сам скрипт здесь https://github.com/ivan-yurich/naiveproxy