利用 Nginx SNI 分流隐藏 MTProto Proxy (mtg)#

在当前的防火墙环境下，直接暴露 MTProto 代理端口极易被精准识别并阻断。尝试利用 Nginx 的 stream 模块与 ssl_preread 功能，通过 SNI 分流技术将 mtg 隐藏在标准的 HTTPS（443 端口）流量中。

1. 方案优势#

共用 443 端口：外部看来只是一个正常的 HTTPS 网站。
主动探测防御：直接访问 IP 或错误域名只会看到普通的 Web 页面。
协议混淆：结合 mtg 的 FakeTLS 特性，极大地提高了流量的隐蔽性。

2. 环境准备#

确保你的 Nginx 已经编译了 --with-stream 和 --with-stream_ssl_preread_module 模块。你可以通过 nginx -V 命令查看。

1
wget https://raw.githubusercontent.com/findthewayxf/scripts/refs/heads/main/nginx13.sh
2
bash nginx13.sh

第一步：安装 mtg#

首先，下载并安装支持 FakeTLS 的 mtg。

https://github.com/9seconds/mtg

1
# 设置 mtg 执行权限并移动到系统路径
2
chmod +x mtg
3
mv mtg /usr/local/bin/
4
mtg --version

第二步：生成 FakeTLS 密钥#

我们需要生成一个带有 ee 前缀的密钥，用于启用 Enhanced FakeTLS 模式。

1
# 生成密钥（请记录输出的密钥）
2
mtg generate-secret --hex mtg.test.com
3
# 示例输出：ee39489da88888888cf0f4bdfd1ad533a474756e6e656c2e788888888e6c69

3. 配置 mtg 服务#

创建配置文件#

新建 /etc/mtg/config.toml，并填入你的密钥：

1
secret = "你的生成的密钥"
2
bind-to = "127.0.0.1:3128" # 仅监听本地
3
domain-fronting-port = 443

创建 Systemd 服务#

为了保证 mtg 在后台稳定运行，创建服务文件 /etc/systemd/system/mtg.service：

1
[Unit]
2
Description=MTPROTO Proxy
3
After=network.target
4

5
[Service]
6
ExecStart=/usr/local/bin/mtg run /etc/mtg/config.toml
7
Restart=always
8
RestartSec=3
9
DynamicUser=true
10
AmbientCapabilities=CAP_NET_BIND_SERVICE
11

12
[Install]
13
WantedBy=multi-user.target

启动服务：

1
systemctl daemon-reload
2
systemctl enable mtg --now
3
systemctl status mtg

4. Nginx 核心配置（SNI 分流）#

这是整套方案的“大脑”。修改 /etc/nginx/nginx.conf 或在 stream.d/ 目录下添加配置。

Nginx Stream 配置#

编辑 /etc/nginx/stream.d/mtg.conf：

1
stream {
2
    # 启用 ssl_preread 模块，读取 TLS ClientHello 中的 SNI
3
    ssl_preread on;
4

5
    map $ssl_preread_server_name $backend_name {
6
        mtg.test.com     mtg_backend;   # 代理域名指向 mtg
7
        www.test.com     https_backend; # 正常域名指向网站
8
        default          https_backend; # 默认转发给网站
9
    }
10

11
    upstream mtg_backend {
12
        server 127.0.0.1:3128;
13
    }
14

15
    upstream https_backend {
16
        server 127.0.0.1:4443; # 网站后端监听内部端口
17
    }
18

19
    server {
20
        listen 443;
21
        proxy_pass $backend_name;
22
    }
23
}

Nginx Web 配置#

确保你的 Web 服务（如 www.test.com）监听在内部端口 4443 上：

/etc/nginx/conf.d/mtg-server.conf

1
server {
2
    listen 127.0.0.1:4443 ssl;
3
    server_name www.test.com;
4

5
    ssl_certificate /etc/nginx/ssl/crt.crt;
6
    ssl_certificate_key /etc/nginx/ssl/key.key;
7

8
    root /var/www/html;
9
    index index.html;
10

11
    location / {
12
        try_files $uri $uri/ =404;
13
    }
14
}